The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

14.05 Доступна платформа обмена сообщениями Zulip 4.0 (49 +4)
  Представлен релиз Zulip 4.0, серверной платформы для развёртывания корпоративных мессенджеров, подходящих для организации общения сотрудников и групп разработчиков. Проект изначально был разработан компанией Zulip и открыт после её поглощения компанией Dropbox под лицензией Apache 2.0. Код серверной части написан на языке Python с использованием фреймворка Django. Клиентское ПО доступно для Linux, Windows, macOS, Android и iOS, также предоставляется встроенный web-интерфейс.

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, aвтоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

  • Пользователям предоставлена возможность приглушения активности других пользователей, чтобы не видеть их сообщения.
  • В системе прав доступа реализована новая роль - "модератор", позволяющая предоставлять пользователям дополнительные полномочия для управления разделами публикаций (stream) и обсуждениями, не давая при этом прав на изменение настроек.
  • Реализована возможность перемещения обсуждений между разделами, в том числе возможность перемещения тем в приватные секции.
  • Интегрирована поддержка сервиса GIPHY, позволяющая выбирать и вставлять мемы и анимированные изображения.
  • Добавлена возможность быстрого копирования блоков с кодом в буфер обмена или редактирования выделенного блока во внешнем обработчике.
  • Вместо отдельной компактной кнопки "Reply" для начала написания ответа добавлена отдельная универсальная область ввода, позволяющая сразу начать набирать текст, показывающая сведения о получателе и более привычная пользователям других приложений для чата.
  • В подсказке, выводимой при автодополнении ввода, обеспечена индикация присутствия пользователя.
  • По умолчанию при открытии приложения теперь показывается список недавних обсуждений (Recent topics) с возможностью включения фильтра для просмотра обсуждений, в которых есть сообщения текущего пользователя.
  • Выделенные звёздочкой избранные сообщения теперь по умолчанию показываются в левой панели, что позволяет использовать данную функциональность для напоминания о том, к каким сообщениям и обсуждениям нужно вернуться.
  • Расширено число доступных звуковых уведомлений.
  • Добавлен виджет About, позволяющий быстро узнать сведения о номере версии сервера Zulip.
  • В web-интерфейсе и десктоп-приложениях реализован вывод предупреждения, если пользователь подключился к серверу, не обновлявшемуся более 18 месяцев.
  • Проведена работа по увеличению масштабируемости и производительности сервера.
  • Для интернационализации интерфейса задействована библиотека FormatJS, вместо ранее применяемой библиотеки i18next.
  • Обеспечена интеграция с открытым прокси Smokescreen, применяемым для предотвращения SSRF-атак на другие сервисы (через Smokescreen можно перенаправить все переходы по внешним ссылкам).
  • Добавлены модули для интеграции с сервисами Freshping, JotForm и Uptime Robot, улучшена интеграция с Bitbucket, Clubhouse, GitHub, GitLab, NewRelic и Zabbix. Добавлен новый GitHub action для отправки сообщений в Zulip.
  • В новых установках в качестве СУБД по умолчанию задействован PostgreSQL 13. Обновлён фреймворк Django 3.2.x. Добавлена начальная поддержка Debian 11.
  • Реализовано клиентское приложение для работы с Zulip из текстового терминала, близкое по функциональности к основному web-клиенту, в том числе на уровне раскладки блоков на экране и клавиатурных комбинаций.

  1. Главная ссылка к новости
  2. OpenNews: Доступны платформы обмена сообщениями Zulip 3.0 и Mattermost 5.25
  3. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire
  4. OpenNews: Проект TFC развивает параноидально защищённую систему обмена сообщениями
  5. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
  6. OpenNews: Релиз платформы для конфиденциального обмена сообщениями RetroShare 0.6.6
Обсуждение (49 +4) | Тип: Программы |


14.05 Уязвимости в подсистеме eBPF, позволяющие выполнить код на уровне ядра Linux (68 +11)
  Выявлены две новые уязвимости в подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT. Обе уязвимость дают возможность выполнить свой код с правами ядра, вне изолированной виртуальной машины eBPF. Информацию о проблемах опубликовала команда Zero Day Initiative, проводящая соревнования Pwn2Own, в ходе которых в этом году были продемонстрированы три атаки на Ubuntu Linux, в которых использовались ранее неизвестные уязвимости (связаны ли уявзимости в eBPF с данными атаками не сообщается).
  • CVE-2021-3490 - уязвимость вызвана отсутствием проверки выхода за границу 32-разрядных значений при выполнения битовых операций AND, OR и XOR в eBPF ALU32. Атакующий может воспользоваться данной ошибкой для чтения и записи данных вне границ выделенного буфера. Проблема с операций XOR проявляется начиная с версии ядра 5.7-rc1, а AND и OR - начиная с выпуска 5.10-rc1.
  • CVE-2021-3489 - уязвимость вызвана ошибкой в реализации кольцевого буфера и связана с тем, что функция bpf_ringbuf_reserve не проверяла возможность того, что размер выделенной области памяти может оказаться меньше фактического размера кольцевого буфера ringbuf. Проблема проявляется начиная с выпуска 5.8-rc1.

Статус исправления уязвимостей в дистрибутивах можно проследить на данных страницах: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch). Исправления также доступны в виде патчей (CVE-2021-3489, CVE-2021-3490). Возможность эксплуатации проблемы зависит от доступности пользователю системного вызова eBPF. Например, в конфигурации по умолчанию в RHEL для эксплуатации уязвимости требуется наличие у пользователя прав CAP_SYS_ADMIN.

Отдельно можно отметить ещё одну уязвимость в ядре Linux - CVE-2021-32606, позволяющую локальному пользователю поднять свои привилегии до уровня root. Проблема проявляется начиная с ядра Linux 5.11 и вызвана состоянием гонки в реализации протокола CAN ISOTP, которое даёт возможность изменить параметры привязки к сокету из-за отсутствия установки должных блокировок в функции isotp_setsockopt() при обработке флага CAN_ISOTP_SF_BROADCAST.

После закрытия сокета ISOTP продолжает действовать привязка к сокету получателя, который может продолжить использовать связанные с сокетом структуры после освобождения связанной с ними памяти (use-after-free из-за обращения при вызове isotp_rcv() к уже освобождённой структуре isotp_sock). Через манипуляции с данными можно добиться переопределения указателя на функцию sk_error_report() и выполнить свой код на уровне ядра. Уязвимость исправлена в выпусках 5.12.4, 5.11.21, 5.10.37 и 5.4.119.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимости в подсистеме eBPF ядра Linux
  3. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
  4. OpenNews: В eBPF найдена возможность обхода защиты ядра Linux от атаки Spectre
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Microsoft подготовил реализацию eBPF для Windows
Обсуждение (68 +11) | Тип: Проблемы безопасности |


14.05 Обновление PostgreSQL с устранением уязвимостей (33 +13)
  Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки.

Уязвимость CVE-2021-32027 может привести к записи данных за границы буфера из-за целочисленного переполнения при вычислениях индексов массивов. Через манипуляцию со значениями массивов в SQL-запросах атакующий, имеющий доступ к выполнению запросов SQL, может записать любые данные в произвольную область памяти процесса и добиться выполнения своего кода с правами сервера СУБД. Две другие уязвимости (CVE-2021-32028, CVE-2021-32029) приводят у течке содержимого памяти процесса при манипуляции с запросами "INSERT ... ON CONFLICT ... DO UPDATE" и "UPDATE ... RETURNING".

Из не связанных с уязвимостями исправлений можно выделить:

  • Устранение некорректных вычислений при выполнении "UPDATE ... RETURNING" для обновления объединённых сегментированных таблиц.
  • Устранение сбоя команды "ALTER TABLE ... ALTER CONSTRAINT" при наличии ограничений для внешних ключей в сочетании с использованием сегментированных таблиц.
  • Налажена работа функциональности "COMMIT AND CHAIN".
  • Для новых выпусков FreeBSD обеспечено выставление по умолчанию режима fdatasync в thatwal_sync_method.
  • Отключён по умолчанию параметр vacuum_cleanup_index_scale_factor.
  • Исправлены утечки памяти, проявляющиеся при инициализации TLS -соединений.
  • В pg_upgrade добавлены дополнительные проверки на наличие в пользовательских таблицах типов данных, не подлежащих обновлению.

  1. Главная ссылка к новости
  2. OpenNews: Обновление PostgreSQL с устранением уязвимостей
  3. OpenNews: Релиз СУБД PostgreSQL 13
  4. OpenNews: Для PostgreSQL подготовлено дополнение AGE для хранения данных в форме графа
  5. OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
  6. OpenNews: Обновление PostgreSQL с устранением уязвимости. Выпуск системы репликации pgcat
Обсуждение (33 +13) | Тип: Проблемы безопасности |


14.05 Открытая клавиатура Launch перешла на стадию приёма предзаказов (184 +19)
  Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, объявила о начале приёма предзаказов на клавиатуру, развиваемую в рамках открытого проекта Launch. Клавиатура может быть полностью настроена пользователем, который может изменять назначение клавиш, заменять клавиши при помощи специального съёмника и создавать собственные раскладки клавиатуры. Стоимость устройства при предзаказе составляет 285 долларов.

Механические и электрические схемы, а также прошивки и используемое для управления программное обеспечение полностью открыты. Проектная документация и модели для САПР FreeCAD распространяются под лицензией CC BY-SA-4.0. Схемы и распайки печатных плат доступны в формате pcb для KiCad и поставляются под лицензией GPLv3.

Программное обеспечение включает конфигуратор и прошивку, основанную на коде QMK (Quantum Mechanical Keyboard), которые распространяются под лицензиями GPLv3 и GPLv2. Для обновления прошивки применяется fwupd (LGPLv2.1). Конфигуратор, позволяющий во время работы менять назначение и раскладку клавиш, написан на языке Rust и доступен для платформ Linux, macOS и Windows. В качестве материала для производства применяется алюминий. Для увеличения угла наклона на 15 градусов предусмотрено применение съёмной планки, прикрепляемой на магнитах.

В клавиатуру встроена dock-станция, включающая два порта USB-C и два порта USB-A, соответствующих спецификации USB 3.2 Gen 2, с пропускной способностью до 10 Gbps. Для подключения устройства к компьютеру предлагается порт USB-C (возможно применение кабелей USB-C -> USB-C или USB-C -> USB-A). Имеется независимая светодиодная подсветка каждой клавиши, управляемая прошивкой (к каждой клавише привязан свой цветной светодиод, которым можно управлять отдельно). Размер устройства 30,9 x 13,6 x 3,3 см. Вес - 948 г.





  1. Главная ссылка к новости
  2. OpenNews: Компания System76 объявила о разработке пользовательского окружения COSMIC
  3. OpenNews: Компания System76 опубликовала открытую клавиатуру Launch
  4. OpenNews: Выпуск Linux-дистрибутива Pop!_OS 20.10
  5. OpenNews: Устройство Pocket P.C. переведено в категорию открытого аппаратного обеспечения
  6. OpenNews: Pro1 X - смартфон с выдвижной клавиатурой, совместимый с Ubuntu Touch и Android
Обсуждение (184 +19) | Тип: К сведению |


13.05 Гвидо ван Россум намерен достигнуть двукратного увеличения производительности в CPython 3.11 (245 +29)
  Гвидо ван Россум, создатель языка программирования Python, в своём докладе на конференции Python Language Summit рассказал о планах по оптимизации производительности CPython. К версии 3.11, которая ожидается в 2022 году, разработчики надеются добиться увеличения производительности в два раза. Проектом по оптимизации CPython занимается небольшая команда разработчиков из компании Microsoft, в которую недавно перешёл на работу Гвидо.

При реализации проекта разработчики намерены придерживаться ряда ограничений, таких как сохранение полной совместимости на уровне ABI и кода, а также недопустимость повышения производительности за счёт замедления в пограничных случаях. Из составных частей, которые можно будет изменить для повышения производительности отмечаются байткод, размещение данных в памяти, компилятор и интерпретатор.

Наработки проекта публикуются в отдельном репозитории faster-cpython. Один из участников проекта, ранее занимавшийся разработкой JIT-компилятора HotPy для CPython, опубликовал план, в соответствии с которым считает реалистичным поднять производительность в пять раз и добиться этого результата в выпуске Python 3.13. Проект разделён на четыре стадии:

  • В Python 3.10 планируется реализовать оптимизации в интерпретаторе, связанные с адаптацией процесса интерпретации к типам и значениям в процессе выполнения.
  • В выпуске Python 3.11 ожидается внесение улучшений в runtime и ключевые объекты, а также включение множества мелких специализированных оптимизаций, таких как ускорение бинарных операторов и работы с целыми значениями, умещающимися в одно машинное слово, ускорение вызова и возврата из функций, снижение накладных расходов при работе с памятью и при обработке исключений.
  • В Python 3.12 появится простой JIT-компилятор, применяемый для небольшой части специализированного кода.
  • В Python 3.13 будут добавлены новые возможности генерации машинного кода во время выполнения и расширено применение JIT-компилятора.

  1. Главная ссылка к новости
  2. OpenNews: Проект Pyston, предлагающий Python с JIT-компилятором, вернулся к открытой модели разработки
  3. OpenNews: Facebook открыл код Cinder, форка CPython, используемого в Instagram
  4. OpenNews: Языку Python исполнилось 30 лет
  5. OpenNews: Утверждено добавление в Python операторов для сопоставления с образцом
  6. OpenNews: Google открыл Atheris, инструментарий для fuzzing-тестирования кода на языке Python
Обсуждение (245 +29) | Тип: К сведению |


13.05 Доступна программа для ведения заметок OutWiker 3.0 (85 +20)
  Вышла новая стабильная версия программы для хранения заметок OutWiker 3.0. Особенностью программы является то, что заметки хранятся в виде каталогов с текстовыми файлами, к каждой заметке можно прикреплять произвольное количество файлов, программа позволяет писать заметки с использованием различных нотаций: HTML, вики, Markdown (если установлен соответствующий плагин). Также с помощью плагинов можно добавить возможность размещения на викистраницах формул в формате LaTeX и вставки блока кода с раскраской ключевых слов для различных языков программирования. Программа написана на языке Python (интерфейс на wxWidgets), распространяется под лицензией GPLv3 и доступна в сборках для Linux и Windows.

Основные изменения для версии 3.0:

  • Добавлены псевдонимы страниц (когда отображаемое имя заметки не соответствует имени каталога, в котором она хранится).
  • В именах заметок разрешено использовать любые символы (для этой возможности как раз используются псевдонимы).
  • Переделаны панели инструментов.
  • Новый интерфейс выбора значков заметок.
  • Новый интерфейс всплывающего окна при клике на тег.
  • Новый интерфейс при выборе корня дерева заметок.
  • Новый интерфейс для отображения страниц неизвестного типа (будет полезно, если вы ковыряете руками файлы с заметками).
  • Улучшен диалог с вопросом о перезаписи прикрепленных файлов.
  • Добавлена возможность выбора положения новой заметки в списке заметок.
  • Добавлена настройка для шаблона имени новых страниц (стало удобнее вести в OutWiker дневник, по умолчанию имя заметки теперь может включать текущую дату).
  • Новые викикоманды для раскраски текста и применения пользовательских стилей.
  • Добавлена возможность вставки комментариев в викинотации.
  • Добавлено слежение за прикреплёнными файлами для текущей страницы.
  • В файлы стилей страниц добавлена новая переменная $title.
  • Добавлен новый стиль страниц.
  • Добавлена немецкая локализация.
  • Изменён способ хранения стандартных значков в заметках.
  • Переделан инсталлятор программы. Теперь OutWiker под Windows можно устанавливать без админских прав или в портабельном режиме, а также при установке выбрать нужные плагины.
  • Изменён формат плагинов.
  • Выполнен переход на Python 3.x и wxPython 4.1.
  • Обеспечено распространение OutWiker в виде snap- и flatpak-пакетов.

Особенности программы:

  • База заметок хранится в виде директорий на диске, а не в одном файле.
  • К заметкам можно прикреплять любые файлы. Прикрепленные таким образом картинки можно показывать на странице.
  • С помощью плагинов можно добавлять новые возможности.
  • Можно проверять орфографию одновременно для нескольких языков.
  • Страницы могут быть разных типов. В данный момент поддерживаются текстовые страницы, страницы в формате HTML и вики-страницы. С помощью плагина Markdown можно создавать заметки с использованием языка Markdown.
  • Страницы можно помечать тегами (метками).
  • Можно устанавливать закладки на страницы.
  • Можно менять внешний вид страниц с помощью стилей CSS.
  • Каждой странице можно присвоить иконку из набора встроенных картинок или из внешнего файла.
  • Можно создавать ссылки между страницами.
  • Можно вставлять формулы в формате TeX (с помощью плагина TexEquation).
  • Есть возможность раскраски исходных текстов программ на различных языках программирования (с помощью плагина Source).
  • Программа может работать в переносимом режиме, т.е. может хранить все настройки рядом с запускаемым файлом (для этого рядом с запускаемым файлом нужно создать файл outwiker.ini).

  1. Главная ссылка к новости
  2. OpenNews: Доступна программа для ведения заметок OutWiker 2.0
  3. OpenNews: GNote - попытка переписать программу для ведения заметок TomBoy на C++
  4. OpenNews: В Fedora 12 для ведения заметок будет установлен Gnote, вместо Tomboy
  5. OpenNews: В Firefox началось тестирование отправки файлов, голосового ввода и заметок
Обсуждение (85 +20) | Автор: Jenyay | Тип: Программы |


13.05 Доступен пакетный менеджер GNU Guix 1.3 и дистрибутив на его основе (100 +12)
  Состоялся релиз пакетного менеджера GNU Guix 1.3 и построенного на его основе дистрибутива GNU/Linux. Для загрузки сформированы образы для установки на USB Flash (610 МБ) и использования в системах виртуализации (972 МБ). Поддерживается работа на архитектурах i686, x86_64, Power9, armv7 и aarch64.

Дистрибутив допускает установку как в качестве обособленной ОС в системах виртуализации, в контейнерах и на обычном оборудовании, так и запуск в уже установленных дистрибутивах GNU/Linux, выступая в роли платформы для развёртывания приложений. Пользователю предоставляются такие функции, как учёт зависимостей, повторяемые сборки, работа без root, откат на прошлые версии в случае проблем, управление конфигурацией, клонирование окружений (создание точной копии программного окружения на других компьютерах) и т.п.

Основные новшества:

  • Реализована начальная поддержка архитектуры POWER9 (powerpc64le-linux).
  • Предоставлена возможность использования декларативного режима развёртывания, при котором вместо серии команд "guix install" и "guix remove" запускается одна команда "guix package --manifest=manifest.scm" с определением в файле manifest.scm всех приложений, которые требуется установить. Для генерации манифеста на основе имеющегося профиля установки в команде "guix package" предложены опции "--export-manifest" и "--export-channels".
  • Добавлена опция трансформации пакетов "--with-latest", полезная для тех, кто хочет иметь самые свежие версии программ, даже если для приложения ещё не сформирован готовый пакет для Guix. Также добавлена опция "--with-patch" для сборки серии пакетов c применением патча к одному или нескольким из них.
  • В командах "guix" реализован вывод рекомендаций с предложением замен в случае опечатки или наличия альтернативных подкоманд.
    
       $ guix package --export-manifests
       guix package: error: export-manifests: unrecognized option
       hint: Did you mean `export-manifest'?
    
  • В "guix refresh" добавлена поддержка загрузки обновлений с хостинга SourceForge, а также режим generic-html для получения обновления с домашней страницы проекта.
  • Добавлена новая команда "guix import go" для рекурсивного импорта пакетов на языке Go с учётом зависимостей. В команде "guix import opam" реализована поддержка пакетов Coq. В "guix import crate" обеспечен учёт семантического версионирования в режиме рекурсивной загрузки. Удалена команда "guix import nix".
  • Проведена оптимизация установки предварительно собранных бинарных пакетов (substitute) и ускорена работа команды "guix system init".
  • В команду "guix environment" добавлена опция "--profile".
  • В guix-daemon добавлена опция "--discover" для обнаружения в локальной сети серверов, отдающих собранные бинарные пакеты (substitute), используя протоколы mDNS/DNS-SD. Для отправки анонсов с серверов в команду "guix publish" добавлена опция "--advertise".
  • Реализована возможность использования алгоритма Zstd для сжатия пакетов.
  • В режиме "--verbosity=1" прекращён вывод загружаемых URL.
  • Вместо подкоманд "disk-image" и "vm-image" предложена общая команда "guix system image".
  • В образе дистрибутива для виртуальных машин добавлена поддержка протокола SPICE.
  • В установочный скрипт добавлен режим автоматической инсталляции.
  • Добавлен сервис lvm-device-mapping для поддержки менеджера томов LVM (Linux Logical Volume Manager).
  • Добавлен режим "guix system image -t rock64-raw" для генерации образов дистрибутива для плат Rock64.
  • В initrd по умолчанию включена поддержка bcachefs.
  • В сервере печати CUPS по умолчанию включён сервис "brlaser" для поддержки принтеров Brother.
  • Добавлены новые системные сервисы agate, cuirass-remote-worker, ipfs, keepalived, laminar, radicale, syncthing, transmission-daemon, wireguard, xorg-server.
  • Обновлены версии программ в 3100 пакетах, добавлено 2009 новых пакетов. В том числе обновлены версии gcc 10.3.0, glibc 2.31, GNOME 3.34.5, gnupg 2.2.27, go 1.14.15, guile 3.0.5, icecat 78.10.0-guix0-preview1, icedtea 3.7.0, inkscape 1.0.2, julia 1.5.3, libreoffice 6.4.7.2, linux-libre 5.11.15, ocaml 4.11.1, octave 6.2.0, openjdk 14.0, python 3.8.2, racket 8.0, rust 1.51.0, r 4.0.4, sbcl 2.1.3, Xfce 4.16.0 и xorg-server 1.20.10.
  • Устранена уязвимость CVE-2021-27851 в guix-daemon, позволяющая локальному пользователю поднять свои привилегии в системе. Проблема связана с тем, что во время выполнения команды "guix build" сборочный каталог оставался доступен всем на запись и пользователь мог создать жёсткую ссылку на файл, принадлежащий пользователю root и размещённый вне сборочного каталога, например, "/etc/shadow". Если при сборке была указана опция "--keep-failed" то в случае сбоя guix-daemon менял владельца для всего сборочного дерева на текущего пользователя, включая жёсткие ссылки.

Напомним, что пакетный менеджер GNU Guix основан на наработках проекта Nix и кроме типичных функций управления пакетами поддерживает такие возможности, как выполнение транзакционных обновлений, возможность отката обновлений, работа без получения привилегий суперпользователя, поддержка привязанных к отдельным пользователям профилей, возможность одновременной установки нескольких версий одной программы, средства уборки мусора (выявление и удаление неиспользуемых версий пакетов). Для определения сценариев сборки приложений и правил формирования пакетов предлагается использовать специализированный высокоуровневый предметно-ориентированный язык и компоненты Guile Scheme API, позволяющие выполнять все операции по управлению пакетами на функциональном языке программирования Scheme.

Поддерживается возможность использования пакетов, подготовленных для пакетного менеджера Nix и размещённых в репозитории Nixpkgs. Кроме операций с пакетами возможно создание сценариев для управления конфигурацией приложений. При сборке пакета автоматически загружаются и собираются все связанные с ним зависимости. Возможна как загрузка готовых бинарных пакетов из репозитория, так и сборка из исходных текстов со всеми зависимостями. Реализованы средства для поддержания версий установленных программ в актуальном состоянии через организацию установки обновлений из внешнего репозитория.

Сборочное окружение для пакетов формируется в виде контейнера, содержащего все необходимые для работы приложений компоненты, что позволяет сформировать набор пакетов, способный работать без оглядки на состав базового системного окружения дистрибутива, в котором Guix используется в качестве надстройки. Между пакетами Guix возможно определение зависимостей, при этом для поиска наличия уже установленных зависимостей используется сканирование хэшей-идентификаторов в директории установленных пакетов. Пакеты устанавливаются в отдельное дерево директорий или поддиректорию в каталоге пользователя, что позволяет обеспечить его параллельное сосуществование с другими пакетными менеджерами и обеспечить поддержку широкого спектра существующих дистрибутивов. Например, пакет устанавливается как /nix/store/452a5978f3b0b426064a2b64a0c6f41-firefox-88.0.0/, где "452a59..." является уникальным идентификатором пакета, используемым для контроля зависимостей.

Дистрибутив включает только свободные компоненты и поставляется с ядром GNU Linux-Libre, очищенным от несвободных элементов бинарных прошивок. Для сборки применяется GCC 9.3. В качестве системы инициализации используется сервисный менеджер GNU Shepherd (бывший dmd), развиваемый как альтернатива SysV-init с поддержкой зависимостей. Управляющий демон и утилиты Shepherd написаны на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов. Базовый образ поддерживает работу в консольном режиме, но для установки подготовлено 17243 готовых пакета, среди которых и компоненты графического стека на базе X.Org, оконные менеджеры dwm и ratpoison, рабочий стол Xfce, а также подборка графических приложений.

  1. Главная ссылка к новости
  2. OpenNews: Доступен пакетный менеджер GNU Guix 1.2 и дистрибутив на его основе
  3. OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
  4. OpenNews: Уязвимость в пакетном менеджере GNU Guix
  5. OpenNews: Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage
  6. OpenNews: Выпуск дистрибутива NixOS 20.09, использующего пакетный менеджер Nix
Обсуждение (100 +12) | Тип: Программы |


13.05 Автор Libopenaptx сменил лицензию, чтобы блокировать заимствование кода проектами Freedesktop (204 +25)
  Пали Рохар (Pali Rohár) изменил лицензию на проект libopenaptx, предлагающий реализацию кодека aptX (Audio Processing Technology), применяемого в Bluetooth-профиле A2DP. Пакет включает библиотеку libopenaptx.so и утилиты для кодирования и декодирования звука. Лицензия изменена с LGPLv2.1 на GPLv3+, что приведёт к невозможности использования кода libopenaptx в проектах, поставляемых только под лицензией GPLv2 без перелицензирования связываемого с библиотекой кода до GPLv3. При этом будет достигнута лицензионная совместимость с проектами под лицензией Apache 2.0.

Смена лицензии стала ответом на конфликт с разработчиками проекта Freedesktop и компанией Collabora, которые по мнению создателя Libopenaptx нарушили лицензионное соглашение и злоупотребили принятым кодексом поведения. В частности, по словам Пали разработчики Freedesktop и Collabora перенесли его код в PulseAudio, не указав информацию об авторе.

В качестве доказательства автор Libopenaptx сослался на написанную им функцию decode_buffer, в которой совпадают даже комментарии, но по словам Пали разработчики Freedesktop заявили, что это их собственный код. В ответ на возмущение и попытку обсудить то, что данное действие является нарушением лицензионного соглашения, разработчики Freedesktop просто удалили сообщение о проблеме под предлогом того, что данное обсуждение нарушает принятый в проекте кодекс поведения.

Осознав невозможность решить проблему мирным путём автор Libopenaptx изменил лицензию на GPLv3 и добавил примечание о запрете использования кода в проектах Freedesktop. Изменение лицензии начало действовать начиная с версии libopenaptx 0.2.1, которая уже добавлена разработчиками Freedesktop в чёрный список, запрещающий использование в коде PipeWire из-за лицензионной несовместимости.

Дэниэл Стон (Daniel Stone), бывший член совета директоров X.Org Foundation и один из ключевых разработчиков Wayland и PipeWire, занимающий пост руководителя по графическим проектам в компании Collabora, заявил, что изменение лицензии на libopenaptx сомнительно с юридической точки зрения. Libopenaptx не является личной разработкой Пали Рохара, а лишь форк кода из проекта FFmpeg, который изначально поставлялся под лицензией LGPLv2.1 и Пали Рохар не может в одностороннем порядке изменить лицензию на непринадлежащие ему части кода и тем более вносить дополнительные ограничения на область использования.

Для перелицензирования требуется явное согласие от оригинальных авторов кода, на основе которого было создано ответвление. В соответствии с условиями LGPL обновление лицензии без получения согласия от других авторов возможно только до более новой версии LGPL, т.е. до LGPL v3.0, но не до GPLv3, включающей дополнительные ограничения. Пали Рохар ответил, что дополнительные ограничения он не вносил, проект теперь поставляется под чистой лицензией GPLv3, а упоминания про Freedesktop и Collabora лишь пояснение в файле README о том, что проекты нарушающие GPLv3 не могут использовать код

Что касается утверждения о том, что Freedesktop нарушил лицензию на Libopenaptx, по мнению Дэниэла Стона оно не соответствует действительности, так как код был передан разработчиком проекту PulseAudio с принятием условий лицензионного соглашения и дальнейшие попытки разработчика Libopenaptx отозвать переданное право на код не имеет силы. Безосновательно и выстраивание связи между соблюдением кодекса поведения и нарушением лицензии, а также утверждение о нарушении лицензии компанией Collabora, которая никак не связана с действиями, приведшими к бану участника.

Дэниэл Стон заявил, что это он удалил то обсуждение и заблокировал разработчика Libopenaptx, но сделал это по своей личной инициативе в свободное от работы время, а не как сотрудник Collabora. Удаление было выполнено после систематических нарушений кодекса поведения, с которым соглашаются все участники дискуссий. Приравнивание удаления за поведение к нарушению лицензии абсурдно, так как открытые лицензии не регламентирует право вести разработку только на немодерируемых платформах и не требуют предоставления неограниченного доступа ко всем платформам разработки.

  1. Главная ссылка к новости
  2. OpenNews: Мэйнтейнеры Fedora и Gentoo отказались от сопровождения пакетов с Telegram Desktop
  3. OpenNews: Нарушение авторского права в хранителе экрана GNOME и производных проектах
  4. OpenNews: Разработчик Rust-фреймворка actix-web удалил репозиторий из-за травли
  5. OpenNews: Основатель Void Linux убрал ограничение на использование своих разработок
  6. OpenNews: Проект Pale Moon блокировал доступ пользователей форка Mypal к каталогу дополнений
Обсуждение (204 +25) | Тип: Тема для размышления |


13.05 Выпуск дистрибутива NomadBSD 130R-20210508 (55 +15)
  Доступен выпуск Live-дистрибутива NomadBSD 130R-20210508, представляющего собой редакцию FreeBSD, адаптированную для использования в качестве переносного рабочего стола, загружаемого с USB-накопителя. Графическое окружение основано на оконном менеджере Openbox. Для монтирования накопителей применяется DSBMD (поддерживается монтирование CD9660, FAT, HFS+, NTFS, Ext2/3/4). Размер загрузочного образа 2.4 Гб (x86_64).

В новом выпуске базовое окружение обновлено до FreeBSD 13.0. Предложена новая схема назначения номеров версий, соответствующая формату FFfX-YYYYMMDD, где "FFf" отражают номер лежащей в основе версии FreeBSD, "X" указывает на тип выпуска (ALPHA - A, BETA - B, RELEASE - R), а YYYYMMDD включает дату сборки. Новая схема позволит формировать образы на основе разных версий FreeBSD и даст возможность сразу видеть когда подготовлен релиз и на основе какой версии FreeBSD. Из изменений также отмечается переход к выравниванию дисковых разделов по границе в 1M для повышения производительности записи на Flash-накопителях. Решена проблема при выключении GLX. Добавлены драйверы для VMware.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск GhostBSD 21.04.27
  3. OpenNews: Релиз FreeBSD 13.0
  4. OpenNews: Выпуск дистрибутива NomadBSD 1.4
  5. OpenNews: Выпуск операционной системы MidnightBSD 2.0
Обсуждение (55 +15) | Тип: Программы |


12.05 В Fedora Silverblue, Fedora IoT и Fedora CoreOS добавят код для подсчёта пользователей (80 –30)
  Разработчики дистрибутива Fedora сообщили о решении интегрировать в редакции дистрибутива Fedora Silverblue, Fedora IoT и Fedora CoreOS компонент для отправки на сервер проекта статистики, позволяющей судить о числе пользователей, у которых установлен дистрибутив. Ранее подобная статистика отправлялась в традиционных сборках Fedora, а теперь будет добавлена и в атомарно обновляемые редакции на основе rpm-ostree.

По умолчанию отправка данных будет включена в Fedora 34 IoT и Silverblue, а в Fedora CoreOS появится в августе. При нежелании отправлять данные о своей системе пользователю предлагается отключить сервис rpm-ostree-countme.timer командой "systemctl mask --now rpm-ostree-countme.timer". Отмечается, что отправляются только обезличенные данные, не включающие информацию, которую можно было бы использовать для идентификации конкретных пользователей. Применяемый механизм подсчёта аналогичен задействованному в Fedora 32 сервису Count Me, основанному на передаче счётчика времени установки и переменной с данными об архитектуре и версии ОС.

Значение передаваемого счётчика увеличивается каждую неделю. Указанный метод позволяет оценить как давно установлен используемый выпуск, чего достаточно для анализа динамики перехода пользователей на новые версии и выявления недолго живущих установок в системах непрерывной интеграции, тестовых системах, контейнерах и виртуальных машинах. Переменная с данными о редакции ОС (VARIANT_ID из /etc/os-release) и архитектуре системы позволяет разделять редакции, ответвления и спины.

  1. Главная ссылка к новости
  2. OpenNews: Для Fedora утверждён метод подсчёта пользователей, не использующий UUID
  3. OpenNews: В DNF предлагают встроить UUID для идентификации установок Fedora
  4. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  5. OpenNews: Первый стабильный выпуск Fedora CoreOS
  6. OpenNews: В Fedora 33 начнёт поставляться официальная редакция для интернета вещей
Обсуждение (80 –30) | Тип: Тема для размышления |


12.05 Выпуск дистрибутива Bodhi Linux 6.0, предлагающего десктоп-окружение Moksha (44 +12)
  Представлен релиз дистрибутива Bodhi Linux 6.0, поставляемого с десктоп-окружением Moksha. Moksha развивается как форк кодовой базы Enlightenment 17 (E17), созданный для продолжения разработки Enlightenment как легковесного рабочего стола, в результате несогласия с политикой развития проекта, разрастания окружения Enlightenment 19 (E19) и ухудшения стабильности кодовой базы. Для загрузки предлагается три установочных образа: обычный (872 МБ), с дополнительными драйверами (877 МБ) и расширенный с дополнительным набором приложений (1.7 ГБ).

В новой версии:

  • Осуществлён переход на использование пакетной базы Ubuntu 20.04.2 LTS (в прошлом выпуске применялся Ubuntu 18.04).
  • Значительно обновлены тема оформления, экран входа в систему и загрузочная заставка.
  • Добавлены анимированные обои рабочего стола.
  • Проведена работа по улучшению поддержки в дистрибутиве языков, отличных от английского.
  • По умолчанию задействована утилита проверки правописания GNOME Language Tool.
  • Файловый менеджер PcManFm заменён на собственную редакцию Thunar с возможностью настройки через контекстное меню фоновых изображений для рабочего стола.
  • В программе Leafpad решена проблема с усечением файлов.
  • В ePhoto обеспечена загрузка изображений не из домашнего каталога.
  • По умолчанию отключена установка пакетов в формате snap.
  • Добавлен новый индикатор уведомлений в нижней панели, через который можно получить доступ к истории уведомлений.
  • По умолчанию вместо Firefox задействован web-браузер Chromium (поставляется традиционный пакет, а не snap от компании Canonical).
  • Утилита apturl-elm заменена на собственный скрипт, использующий policy-kit и synaptic.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива Bodhi Linux 5.1, предлагающего десктоп-окружение Moksha
  3. OpenNews: Новая версия EFL 1.20 (Enlightenment Foundation Library)
  4. OpenNews: Обновление Elive 3.0.3, Linux-дистрибутива с рабочим столом Enlightenment
  5. OpenNews: Выпуск пользовательского окружения Enlightenment 0.24
Обсуждение (44 +12) | Тип: Программы |


12.05 Выпуск дистрибутива SystemRescue 8.03 (22 +6)
  Доступен релиз SystemRescue 8.03, специализированного Live-дистрибутива на основе Arch Linux, предназначенного для восстановления системы после сбоя. В качестве графического окружения используется Xfce. Размер iso-образа - 717 МБ (amd64, i686).

Из изменений в новой версии упоминается обновление ядра Linux 5.10.34, включение в состав утилиты gsmartcontrol для выявление проблем с дисками и SSD-накопителями, а также добавление утилиты xfburn для записи CD/DVD/Blu-ray. Из поставки удалён текстовый редактор joe. Обновлена версия редактора разделов gparted 1.3.0. Решены проблемы с загрузкой с NTFS.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива SystemRescue 8.0.0
  3. OpenNews: Автор AppImage развивает дистрибутив helloSystem, использующий FreeBSD и напоминающий macOS
  4. OpenNews: Выпуск дистрибутива NomadBSD 1.4
  5. OpenNews: Выпуск дистрибутива 4MLinux 36.0
  6. OpenNews: Выпуск редактора разделов GParted 1.3 и дистрибутива GParted Live 1.3
Обсуждение (22 +6) | Тип: Программы |


12.05 Семнадцатое обновление прошивки Ubuntu Touch (34 +18)
  Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-17 (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri.

Обновление Ubuntu Touch OTA-17 сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, VollaPhone, Bq Aquaris E5/E4.5/M10, Sony Xperia X/XZ, OnePlus 3/3T, Xiaomi Redmi 4X, Huawei Nexus 6P, Sony Xperia Z4 Tablet, Google Pixel 3a, OnePlus Two, F(x)tec Pro1/Pro1 X, Xiaomi Redmi Note 7, Samsung Galaxy Note 4, Xiaomi Mi A2 и Samsung Galaxy S3 Neo+ (GT-I9301I). Отдельно, без метки "OTA-17", будут подготовлены обновления для устройств Pine64 PinePhone и PineTab. По сравнению с прошлым выпуском началось формирование стабильных сборок для устройств Xiaomi Redmi Note 7 Pro и Xiaomi Redmi 3s/3x/3sp.

Ubuntu Touch OTA-17 по-прежнему основан на Ubuntu 16.04, но в последнее время усилия разработчиков сосредоточены на подготовке к переходу на Ubuntu 20.04. Из новшеств в OTA-17 отмечается обновление дисплейного сервера Mir до версии 1.8.1 (ранее использовался выпуск 1.2.0) и реализация поддержки NFC в большинстве устройств, изначально поставляемых с платформой Android 9, таких как Pixel 3a и Volla Phone. В том числе приложения теперь могут читать и записывать метки NFC и взаимодействовать с другими устройствами при помощи данного протокола.

На многих поддерживаемых устройствах, включая смартфон OnePlus One, решены проблемы с камерой, касающиеся вспышки, масштабирования, вращения и фокусировки. На устройствах OnePlus 3 налажена корректная настройка контейнеров для запуска обычных десктоп-приложений при помощи менеджера приложений Libertine. В Pixel 3a налажена генерация миниатюр, решены проблемы с вибросигналом и оптимизировано потребление энергии. В Nexus 4 и Nexus 7 устранено зависание при использовании функций trust-store и online-accounts. В Volla Phone решены проблемы с автоматической настройкой яркости экрана.

  1. Главная ссылка к новости
  2. OpenNews: Шестнадцатое обновление прошивки Ubuntu Touch
  3. OpenNews: Pro1 X - смартфон с выдвижной клавиатурой, совместимый с Ubuntu Touch и Android
  4. OpenNews: Доступен для заказа планшет PineTab, поставляемый с Ubuntu Touch
Обсуждение (34 +18) | Тип: Программы |


12.05 Релиз OpenIPC 2.1, альтернативной прошивки для камер видеонаблюдения (63 +30)
  Опубликован выпуск Linux-дистрибутива OpenIPC 2.1, предназначенного для использования в камерах видеонаблюдения вместо штатных прошивок, большинство из которых со временем перестают обновляться производителями. Выпуск позиционируется как экспериментальный и в отличие от стабильной ветки собран не на основе пакетной базы OpenWRT, а с использованием buildroot. Наработки проекта распространяются под лицензией MIT. Образы прошивок подготовлены для IP-камер на основе чипов Hisilicon Hi35xx, SigmaStar SSC335, XiongmaiTech XM510 и XM530.

Предлагаемая прошивка предоставляет такие функции, как поддержка аппаратных детекторов движения, собственная реализация протокола RTSP для раздачи видео с одной камеры более чем 10 клиентам одновременно, возможность задействования аппаратной поддержки кодеков h264/h265, поддержка звука с частотой дискретизации до 96КГц, возможность перекодирования JPEG-изображений на лету для чересстрочной загрузки (progressive) и поддержка RAW-формата Adobe DNG, позволяющего решать задачи вычислительной фотографии.

Основные отличия новой версии от прошлой редакции на основе OpenWRT:

  • В дополнение к SoC HiSilicon, который применяется на 60% китайских камер, представленных на отечественном рынке, заявлена поддержка камер на базе чипов SigmaStar и Xiongmai.
  • Добавлена поддержка протокола HLS (HTTP Live Streaming), при помощи которого можно организовать трансляцию видео с камеры в браузер без использования промежуточного сервера.
  • В OSD-интерфейсе (on screen display) реализована поддержка вывода символов Unicode, в том числе для отображения данных на русском языке.
  • Добавлена поддержка протокола NETIP (DVRIP), разработанного для управления китайскими камерами. Указанный протокол может применяться для обновления камер.

  1. Главная ссылка к новости
  2. OpenNews: Доступен WebThings Gateway 1.0, шлюз для умного дома и IoT-устройств
  3. OpenNews: Атака по деаутентификации камер наблюдения, использующих Wi-Fi
  4. OpenNews: Проект FastoTV развивает новую открытую IPTV-платформу
  5. OpenNews: В рамках проекта libcamera развивается стек для поддержки камер в Linux
  6. OpenNews: В 29 Android-приложениях для работы с камерой и фото выявлен вредоносный код
Обсуждение (63 +30) | Автор: widgetii | Тип: Программы |


12.05 FragAttacks - серия уязвимостей в стандартах и реализациях Wi-Fi (176 +47)
  Мэти Ванхоф (Mathy Vanhoef), автор атаки KRACK на беспроводные сети, раскрыл сведения о 12 уязвимостях, затрагивающих различные беспроводные устройства. Выявленные проблемы представлены под кодовым именем FragAttacks и охватывают практически все находящиеся в обиходе беспроводные платы и точки доступа - из протестированных 75 устройств каждое было подвержено как минимум одному из предложенных методов атаки.

Проблемы разделены на две категории: 3 уязвимости выявлены непосредственно в стандартах Wi-Fi и охватывают все устройства, поддерживающие актуальные стандарты IEEE 802.11 (проблемы прослеживаются с 1997 года). 9 уязвимостей касаются ошибок и недоработок в конкретных реализациях беспроводных стеков. Основную опасность представляет вторая категория, так как организация атак на недоработки стандартов требует наличия специфичных настроек или выполнения жертвой определённых действий. Все уязвимости проявляются независимо от использования протоколов для обеспечения безопасности Wi-Fi, в том числе при использовании WPA3.

Большинство выявленных методов атак позволяют злоумышленнику осуществить подстановку L2-кадров в защищённой сети, что даёт возможность вклиниться в трафик жертвы. В качестве наиболее реалистичного сценария атак упоминается подмена ответов DNS для направления пользователя на хост атакующего. Также приводится пример использования уязвимостей для обхода транслятора адресов на беспроводном маршрутизаторе и организации прямого доступа к устройству в локальной сети или игнорирования ограничений межсетевого экрана. Вторая часть уязвимостей, которая связана с обработкой фрагментированных кадров, даёт возможность извлечь данные о трафике в беспроводной сети и перехватить данные пользователя, передаваемые без использования шифрования.

Исследователем подготовлена демонстрация, показывающая, как можно использовать уязвимости для перехвата пароля, переданного при обращении к сайту по протоколу HTTP без шифрования, Также показано как атаковать умную розетку, управляемую через Wi-Fi, и использовать её в форме плацдарма для продолжения атаки на необновлённые устройства в локальной сети, имеющие неисправленные уязвимости (например, удалось через обход NAT атаковать необновлённый компьютер с Windows 7 во внутренней сети).

Для эксплуатации уязвимостей атакующий должен находиться в пределах досягаемости целевого беспроводного устройства, чтобы отправить жертве специально оформленный набор кадров. Проблемы затрагивают как клиентские устройства и беспроводные карты, так и точки доступа и Wi-Fi маршрутизаторы. В общем виде в качестве обходных мер защиты достаточно использования HTTPS в сочетании с шифрованием DNS-трафика при помощи DNS over TLS или DNS over HTTPS. Для защиты также подходит применение VPN.

Наиболее опасными называются четыре уязвимости в реализациях беспроводных устройств, позволяющие тривиальными методами добиться подстановки своих незашифрованных кадров:

  • Уязвимости CVE-2020-26140 и CVE-2020-26143 допускают подстановку кадров на некоторых точках доступа и беспроводных картах в Linux, Windows и FreeBSD.
  • Уязвимость CVE-2020-26145 допускает обработку широковещательных незашифрованных фрагментов как полноценных кадров в macOS, iOS и FreeBSD и NetBSD.
  • Уязвимость CVE-2020-26144 допускает обработку незашифрованных пересобранных кадров A-MSDU с EtherType EAPOL в Huawei Y6, Nexus 5X, FreeBSD и LANCOM AP.

Другие уязвимости в реализациях в основном связаны с проблемами, возникающими при обработке фрагментированных кадров:

  • CVE-2020-26139: допускает перенаправление кадров с флагом EAPOL, отправленных неаутентифицированным отправителем (затрагивает 2/4 проверенных точек доступа, а также решения на базе NetBSD и FreeBSD).
  • CVE-2020-26146: допускает пересборку (reassembling) зашифрованных фрагментов без проверки порядка номеров последовательности.
  • CVE-2020-26147: допускает пересборку смешанных шифрованных и нешифрованных фрагментов.
  • CVE-2020-26142: позволяет обрабатывать фрагментированные кадры как полные кадры (затрагивает OpenBSD и беспроводной модуль ESP12-F).
  • CVE-2020-26141: отсутствует проверка TKIP MIC для фрагментированных кадров.

Проблемы в спецификациях:

  • CVE-2020-24588 - атака на агрегированные кадры (флаг "is aggregated" не защищён и может быть заменён атакующим в кадрах A-MSDU в WPA, WPA2, WPA3 и WEP). В качестве примера применения атаки упоминается перенаправление пользователя на вредоносный DNS-сервер или обход NAT.
  • CVE-2020-245870 - атака на смешивание ключей (допускается пересборка фрагментов, зашифрованных с использованием разных ключей в WPA, WPA2, WPA3 и WEP). Атака позволяет определить данные, отправленные клиентом, например, определить содержимое Cookie при обращении по HTTP.
  • CVE-2020-24586 - атака на кэш фрагментов (стандарты, охватывающие WPA, WPA2, WPA3 и WEP, не требуют удаления уже осевших в кэше фрагментов после нового подключения к сети). Позволяет определить данные, отправленные клиентом, и осуществить подстановку своих данных.

Для тестирования степени подверженности проблемам своих устройств подготовлен специальный инструментарий и готовый Live-образ для создания загрузочного USB-накопителя. В Linux проблемы проявляются в беспроводном стеке mac80211, в отдельных беспроводных драйверах и в прошивках, загружаемых на беспроводные платы. Для устранения уязвимостей предложен набор патчей, охватывающий стек mac80211 и драйверы ath10k/ath11k. Для некоторых устройств, таких как беспроводные карты Intel, дополнительно требуется установка обновления прошивки.

Тесты типовых устройств:

Тесты беспроводных карт в Linux и Windows:

Тесты беспроводных карт во FreeBSD и NetBSD:

Производители были уведомлены о проблемах ещё 9 месяцев назад. Столь длительный период эмбарго объясняется скоординированной подготовкой обновлений и задержками при подготовке изменений спецификаций организациями ICASI и Wi-Fi Alliance. Изначально планировалось раскрыть сведения 9 марта, но, сопоставив риски, было решено отложить публикацию ещё на два месяца для того, чтобы дать больше времени на подготовку патчей с учётом нетривиальности вносимых изменений и трудностей, возникающих из-за пандемии COVID-19.

Примечательно, что несмотря на эмбарго компания Microsoft в мартовском обновлении Windows досрочно устранила некоторые уязвимости. Раскрытие информации было отложено за неделю до изначально намеченного срока и компания Microsoft не успела или не захотела вносить изменения в готовое для публикации плановое обновление, чем создала угрозу для пользователей других систем, так как злоумышленники могли получить информацию об уязвимостях через проведение обратного инжиниринга содержимого обновлений.

  1. Главная ссылка к новости
  2. OpenNews: Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
  3. OpenNews: Уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
  4. OpenNews: Уязвимость в wpa_supplicant, не исключающая удалённое выполнение кода
  5. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
  6. OpenNews: Техника канальной MITM-атаки через наводнение эфира беспроводной сети
Обсуждение (176 +47) | Тип: Проблемы безопасности | Интересно


Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Ideco
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру