Целью разработки Bcachefs является достижение уровня XFS в производительности, надёжности и масштабируемости, предоставляя при этом дополнительные возможности, свойственные Btrfs и ZFS, такие как включение в раздел нескольких устройств, многослойные раскладки накопителей, репликация (RAID 1/10), кэширование, прозрачное сжатие данных (режимы LZ4, gzip и ZSTD), срезы состояния (снапшоты), верификация целостности по контрольным суммам, возможность хранения кодов коррекции ошибок Рида—Соломона (RAID 5/6), хранение информации в зашифрованном виде (используются ChaCha20 и Poly1305). По производительности Bcachefs опережает Btrfs и другие ФС на базе механизма Copy-on-Write, и демонстрирует скорость работы, близкую к Ext4 и XFS.

Bcachefs развивается с использованием технологий, уже опробованных при разработке блочного устройства Bcache, предназначенного для кэширования доступа к медленным жёстким дискам на быстрых SSD-накопителях (входит в ядро, начиная с выпуска 3.10). В Bcachefs используется механизм Copy-on-Write (COW), при котором изменения не приводят к перезаписи данных - новое состояние записывается в новое место, после чего меняется указатель актуального состояния.

Особенностью Bcachefs является поддержка многослойного подключения накопителей, при котором хранилище компонуется из нескольких слоёв - к нижнему слою подключаются наиболее быстрые накопители (SSD), которые используются для кэширования часто используемых данных, а верхний слой образуют более ёмкие и дешёвые диски, обеспечивающие хранение менее востребованных данных. Между слоями может применяться кэширование в режиме отложенной записи (writeback). Накопители можно динамически добавлять и отсоединять от раздела без остановки использования файловой системы (данные мигрируют автоматически).

1. OpenNews: Работа по включению Bcachefs в состав ядра Linux
2. OpenNews: Bcachefs доведена до состояния, пригодного для включения в состав ядра Linux
3. OpenNews: Значительное обновление файловой системы Bcachefs
4. OpenNews: Новая ФС Bcachefs, сочетающая функциональность btrfs/zfs с производительностью ext4/xfs

1. OpenNews: Ядру Linux исполнилось 32 года
2. OpenNews: 30 лет с момента первого релиза ядра Linux 0.01
3. OpenNews: Статистика развития ядра Linux

Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Обновления сформированы для Community Edition и Enterprise Edition, но уязвимость затрагивает редакцию GitLab Enterprise Edition и облачный сервис GitLab.com, в которых доступна поддержка политик сканирования безопасности. Подробности эксплуатации будут опубликованы через месяц после публикации обновления. При этом известно, что уязвимость является вариацией ранее исправленной похожей проблемы CVE-2023-3932.

1. OpenNews: Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере (доступен эксплоит)
2. OpenNews: Уязвимость в GitLab, позволяющая запустить код при сборке в CI любого проекта
3. OpenNews: Критическая уязвимость в GitLab
4. OpenNews: Вторая за неделю критическая уязвимость в GitLab
5. OpenNews: GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года (дополнено)

В более ранних выпусках Firefox изменение можно протестировать при помощи настроек browser.urlbar.trimHttps, "security.insecure_connection_text.enabled" и "security.insecure_connection_text.pbmode.enabled" в about:config. В Firefox 119 значение по умолчанию для данных настроек будет инвертировано, а настройки security.insecure_connection_icon.enabled и security.insecure_connection_icon.pbmode.enabled будут удалены, так как разработчики не видят смысла в опциональном отключении пиктограммы с замком. В качестве причины изменения упоминается переход к более заметной индикации незашифрованных соединений, на фоне внедрения большинством сайтов HTTPS (т.е. смещение акцента с выделения защищённых соединений на пометку незащищённых).

1. OpenNews: Инициатива по форсированию протокола HTTPS в Chrome
2. OpenNews: Google отменил скрытие поддоменов "www" и "m", но намерен стандартизировать их особый статус
3. OpenNews: В Chrome 90 утверждено использование HTTPS по умолчанию в адресной строке
4. OpenNews: В Chrome решено убрать индикатор замка из адресной строки
5. OpenNews: В Firefox 75 будут убраны https:// и www из выпадающего блока адресной строки

За день до своего ухода Бен опубликовал большой набор патчей (около 14 тысяч строк кода), добавляющий в модуль ядра Nouveau поддержку прошивки GSP-RM, которая используется в GPU NVIDIA RTX 20+ для выноса инициализации и управления GPU на сторону отдельного микроконтроллера GSP (GPU System Processor). Патчи добавляют в Nouveau возможность работы через обращение к прошивке, вместо прямого программирования операций взаимодействия с оборудованием, что значительно упрощает добавление поддержки новых GPU NVIDIA благодаря использованию уже готовых вызовов для инициализации и управления энергопотреблением. Ожидается, что поддержка GSP-RM будет принята в состав ядра Linux 6.7.

1. OpenNews: В драйвере Nouveau выявлена ошибка, приводящая к повреждению памяти в ядре Linux 6.3
2. OpenNews: На базе Nouveau развивается новый драйвер для графического API Vulkan
3. OpenNews: В Mesa принят код NVK, открытого Vulkan-драйвера для видеокарт NVIDIA
4. OpenNews: В Nouveau не получается обеспечить качественную поддержку GeForce GTX 900 из-за ограничений NVIDIA
5. OpenNews: Компания NVIDIA передала проекту Nouveau вторую порцию кода для поддержки GPU Tegra K1

Свободно использовать загруженную версию могут только физические лица, в том числе – индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать дистрибутив. Для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме.

Новшества 10.2:

• Включена поддержка биометрической аутентификации по отпечатку пальца. Доступно при наличии технической возможности.
• Появилась возможность присоединиться к установщику системы по VNC.
• По умолчанию включена опция запуска пользовательской сессии Plasma через systemd.
• Добавлен модуль ролей libnss-role. Механизм добавления групп в группы позволяет управлять группами пользователей через категории ролей и привилегий.
• По умолчанию установка производится на файловую систему BTRFS.
• После установки системы автоматически создаётся точка восстановления.
• В дистрибутиве появились специальные возможности: синтезатор речи, зачитывание с экрана, служба обработки речевого вывода. Зачитывание с экрана ORCA устанавливается по умолчанию и требует включения.

Новые версии приложений:

• Ядро Linux 6.1
• KDE: Plasma 5.27, Frameworks 5.108, Applications 22.12, Mesa 23.1.
• Samba 4.16.11 и механизм применения групповых политик gpupdate 0.9.12.6.

1. OpenNews: Десятое обновление стартовых наборов ALT p10
2. OpenNews: Доступен дистрибутив Альт СП 10, соответствующий требованиям ФСТЭК
3. OpenNews: Выпуск Альт Сервер 10.1
4. OpenNews: Выпуск Альт Рабочая станция 10.1

• В межсетевых экранах Juniper серий SRX и коммутаторах Juniper серий EX, построенных на базе Junos OS c web-интерфейсом J-Web, выявлена уязвимость (CVE-2023-36845), позволяющая прочитать содержимое любого файла в системе, в том числе файла с заданным во время начальной настройки root-паролем, или выполнить произвольный PHP-код через отправку запроса к web-интерфейсу без аутентификации. Пример выполнения функции phpinfo(): curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'
• Три уязвимости в беспроводных маршрутизаторах ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U (CVE-2023-39238, CVE-2023-39239, CVE-2023-39240), связанные с отсутствием должной проверки входных данных перед использованием в функциях форматирования строки в CGI-скриптах web-интерфейса. Уязвимости позволяют удалённо выполнить свой код через отправку запроса без аутентификации.
• 95 уязвимостей (CVE-2023-35724 - CVE-2023-34756, CVE-2023-37310 - CVE-2023-37326, CVE-2023-41188 - CVE-2023-41230) в маршрутизаторах D-Link DIR-3040, DAP-1325 и DAP-2622. 79 уязвимостей позволяют выполнить свой код с правами root через отправку сетевого запроса без аутентификации.
• Уязвимость (CVE-2023-4498 ) в беспроводном маршрутизаторе Tenda N300 Wireless N VDSL2, позволяющая получить удалённый доступ к управляющему web-интерфейсу без прохождения аутентификации через указание в путях ключевых слов из белого списка, наличие которых приводит к выполнению запроса без аутентификации.
• Уязвимости в маршрутизаторах NETGEAR RAX30 (CVE-2023-40480, CVE-2023-40479) позволяющие добиться выполнения команд с правами root через отправку специально оформленных данных по DHCP и UPnP. Проблемы вызваны отсутствием проверки внешних данных перед их использованием в числе аргументов функции system(). Уязвимость в маршрутизаторах NETGEAR Orbi 760 (CVE-2023-41183), позволяющая получить доступ к системе без аутентификации из-за ошибки в реализации API SOAP.

1. OpenNews: Уязвимости в маршрутизаторах Netgear и D-Link, приводящие к удалённому выполнению кода
2. OpenNews: Уязвимость в маршрутизаторах MikroTik, приводящая к выполнению кода при обработке IPv6 RA
3. OpenNews: Уязвимость в домашних маршрутизаторах, охватывающая 17 производителей
4. OpenNews: Уязвимость в маршрутизаторах Netgear, приводящая к удалённому выполнению кода
5. OpenNews: Удалённо эксплуатируемая уязвимость в маршрутизаторах D-Link

Ключевые изменения:

• Реализован новый механизм рендеринга, использующий разделяемые буферы DMA-BUF.
• Добавлен новый запрос полномочий, применяемый для предоставления доступа к вставке через DOM (DOM paste).
• Добавлен API для настройки экспериментальных возможностей во время работы.
• Добавлен API для установки объёма хранилища, используемого для хранения данных.
• Реализация WebGL избавлена от привязки к GBM.

Дополнительно можно отметить публикацию отчёта о последних достижениях браузерного движка Servo, написанного на языке Rust и ориентированного на выполнение рендеринга web-страниц в многопоточном режиме, распараллеливание операций с DOM (Document Object Model) и достижение более высокого уровня безопасности кодовой базы. Servo позволяет разбить код DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

В свежих ночных сборках Servo реализованы следующие возможности:

• Включён по умолчанию интерфейс пользователя minibrowser (рабочий пример браузера на базе движка Servo), оснащённый адресной строкой.
• Обновлена экспериментальная реализация API WebGPU, включаемая через параметр "--pref dom.webgpu.enabled". Новая версия успешно проходит более 5000 тестов, оценивающих совместимость со спецификацией.
• Код, обеспечивающий работу HTTPS, переведён с OpenSSL на пакет rustls.
• Добавлена возможность сборки для архитектуры ARM32, помимо ARM64.
• Возвращена поддержка плавающих элементов CSS и свойства "white-space: nowrap".
• Улучшена страница, показываемая при аварийном завершении.

1. OpenNews: Разработка браузерного движка Servo переведена в организацию Linux Foundation Europe
2. OpenNews: Возобновлена активная разработка браузерного движка Servo
3. OpenNews: Компания Mozilla передала движок Servo организации Linux Foundation

Наиболее важные изменения:

• Продолжено развитие функциональности, нацеленной на реализацию возможности использования Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11. В драйвер winewayland.drv добавлена поддержка обработки событий wl_pointer, необходимых для взаимодействия с приложением при помощи мыши, а также реализована возможность обновления изображения курсора, используя растровое изображение курсора из Windows.
• Предложена начальная реализация API DirectMusic.
• Улучшена система регрессивных тестов.
• Закрыты отчёты об ошибках, связанные с работой приложений: GPS Track Editor, PC-Win ST 750-760, Softerra LDAP Browser, PS Core (pwsh.exe), Vitis 2020.1.
• Закрыты отчёты об ошибках, связанные с работой игр: Roblox, Antecrypt.
1. OpenNews: Выпуск Wine 8.14
2. OpenNews: Выпуск Wine 8.15 и Wine staging 8.15
3. OpenNews: Apple представил инструментарий для портирования игр, основанный на Wine

Развитие cppcheck сосредоточено на выявлении проблем, связанных с неопределённым поведением и применением конструкций, опасных с точки зрения безопасности. Целью также является минимизация ложных срабатываний. Среди выявляемых проблем: указатели на несуществующие объекты, деления на ноль, целочисленные переполнения, некорректные операции битового сдвига, некорректные преобразования, проблемы при работе с памятью, некорректное использование STL, разыменование нулевых указателей, применение проверок после фактического обращения к буферу, выход за границы буферов, использование неинициализированных переменных.

Основные изменения:

• Добавлена проверка "uselessOverride" обнаруживающая бесполезные переопределения функций, которые дублируют код или вызывают реализацию базового класса;
• Добавлена проверка "knownPointerToBool" - преобразование указателя в переменную булевского типа, результатом которой всегда является истинное или ложное значение.
• Улучшенные проверки:
  • В проверки "truncLongCastAssignment" и "truncLongCastReturn" добавлен контроль дополнительных типов, включая float и double;
  • Проверка "duplInheritedMember" теперь дополнительно сообщает о дубликатных функциях-членах;
  • Проверки "constParameter*"/"constVariable*" обнаруживают больше случаев, когда указатели/ссылки могут иметь модификатор const, например при вызове библиотечных функций.
• Графический интерфейс:
  • В статистике формируются сведения о том, какие проверки были включены в последнем анализе;
  • Реализовано выделение критических ошибок, из-за которых могли быть пропущены проверки.
• Изменения в интерфейсе:
  • Добавлена выдача количества проверок, сработавших с запуска;
  • Добавлен параметр командной строки '--checkers-report' который управляет формированием в файле протокола сведений о том, какие проверки сработали, а какие были отключены.
• Объявлено устаревшим:
  • Система сборки qmake объявлена устаревшей и будет удалена в будущей версии;
  • Параметр командной строки '--template ' объявлен устаревшим и будет удалён в версии 2.13, используйте '--template=';
  • Параметр командной строки '--template-location ' объявлен устаревшим и будет удалён в версии 2.13, используйте '--template-location=';
• Другое:
  • Параметр сборки "USE_QT6=On" больше автоматически не переключается на Qt5, если Qt6 не найдена;
  • Если аварийное завершение дополнения сопровождалось кодом завершения, то теперь будет приводить к "internalError", а не будет проигнорировано;
  • Конфигурация "Win32" была удалена из проектов и решений Visual Studio. Cборку исполняемых файлов для 32-х битной архитектуры по-прежнему можно выполнить при помощи CMake, но такой способ не тестируется и не сопровождается.

1. OpenNews: Выпуск cppcheck 2.11, статического анализатора кода для языков C++ и С
2. OpenNews: Выпуск PHPStan 1.0, статического анализатора для кода на языке PHP
3. OpenNews: Facebook открыл код статического анализатора Infer
4. OpenNews: Релиз свободного статического анализатора кода frama-clang 0.0.5
5. OpenNews: Открыт код статического анализатора Code Climate

Например, защиту можно обойти при выделения памяти при помощи функции alloca() или использовании в коде массивов переменной длины (VLA, Variable-Length Arrays), предоставляющих возможность указания переменной в качестве размера при создании массива ("void foo(int n){ int m[n];}"). Уязвимость не затрагивает ядро Linux, так как использование в коде ядра массивов переменной длины было прекращено в выпуске 4.20 (2018 год).

Защита "-fstack-protector" основана на добавлении в стек после указателей и объектов канареечных меток - случайных последовательностей, неизменность которых проверяется. В случае переполнения буфера в процессе эксплуатации уязвимости канареечная метка оказывается перезаписана другими данными, что приводит к срабатыванию последующей проверки неизменности метки и инициированию аварийного завершения приложения. Суть уязвимости в том, что динамически выделяемые локальные переменные размещаются на системах AArch64 в памяти не до, а после канареечной метки и переполнение динамических переменных не приводит к повреждению метки, т.е. переполнение остаётся необнаруженным.

1. OpenNews: Релиз набора компиляторов GCC 11

Изменение вступает в силу в следующем году и будет действовать для устройств, поступивших в продажу начиная с 2021 года, т.е. Chromebook-и выпущенные в 2021 году, будут получать обновления до 2031 года. Для устройств, выпущенных до 2021 года после доставки последнего автоматического обновления будет предоставлена опция, также позволяющая продлить срок доставки обновлений до 10 лет с момента выпуска платформы.

1. OpenNews: Выпуск Chrome OS 116
2. OpenNews: В ChromeOS намечено разделение браузера и системного интерфейса
3. OpenNews: Google отключил поддержку io_uring в ChromeOS и Android из-за плачевного состояния безопасности
4. OpenNews: Доступны первые игровые Chromebook
5. OpenNews: В Chrome OS появилась возможность запуска игр, распространяемых через Steam

Среди изменений в новой версии:

• Обеспечена совместимость с ядрами Linux 6.4 и 6.5, а также пакетами с ядром, поставляемыми в дистрибутивах RHEL 9.1 и 9.2.
• Добавлен spec-файл для сборки RPM-пакета ("rpmbuild -tb") для дистрибутивов, совместимых с Red Hat Enterprise Linux.
• В usermodehelper в список разрешённых файловых путей добавлен /usr/bin/modprobe, используемый в Arch Linux.
• Внесены изменения в скрипт загрузки.
• Обновлена конфигурация системы непрерывной интеграции.
1. OpenNews: Выпуск модуля LKRG 0.9.4 для защиты от эксплуатации уязвимостей в ядре Linux
2. OpenNews: Проект grsecurity опубликовал реализацию механизма защиты RAP для ядра Linux
3. OpenNews: Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux
4. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
5. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux

• Проект Serpent OS находился в состоянии относительного застоя из-за технических проблем, связанных с реализацией дополнительных средств для безопасной работы с памятью в языке программирования D и ограниченностью ресурсов для создания и поддержки пакетов на языке D, который ранее использовался для разработки инструментария Serpent OS.
• Айки Доэрти любит язык программирования D и ценит его выразительность и свободу творчества, ввиду чего продолжит использовать D в своих личных проектах, с оптимизмом смотря на его будущее.
• После сотрудничества с компанией Solus приоритеты проекта изменились, и теперь архитектурные решения принимаются с учётом потребностей всех заинтересованных сторон, включая существующий состав сопровождающих.
• При разработке проекта планируется использовать языки Rust, ReactJS/TypeScript и Go. Rust будет применяться вместо языка D для низкоуровневого инструментария (moss, boulder, libstone), ReactJS/TypeScript для фронтенда, а Go для веб-систем и инфраструктуры сборки.
• Новая инфраструктура будет масштабируемой и развёртываться с помощью Kubernetes. Планируется активно использовать кэширование при пересборке всего дистрибутива после изменения какой-то части графа зависимостей.
• В настоящее время проект сосредоточен на реализации пакетного менеджера moss на языке Rust и использовании лицензии MPL-2.0 для нового инструментария.
• Проект закрепляет авторские права за коллективом разработчиков Serpent OS, чтобы предотвратить изменения лицензии в будущем.

Дистрибутив SerpentOS не является ответвлением от других проектов и основывается на пакетном менеджере moss, который заимствует многие современные возможности, развиваемые в таких пакетных менеджерах, как eopkg/pisi, rpm, swupd и nix/guix, сохраняя при этом традиционный взгляд на манипуляцию пакетами и использующий сборку в режиме stateless по умолчанию. Пакетный менеджер использует атомарную модель обновления системы, при которой фиксируется состояние rootfs, а после обновления состояние переключается на новое.

1. OpenNews: Релиз дистрибутива Solus 4.4
2. OpenNews: Проект разработки документации для Serpent OS
3. OpenNews: Дистрибутив Solus 5 будет построен на технологиях SerpentOS
4. OpenNews: Запуск пакетной инфраструктуры SerpentOS
5. OpenNews: Инструментарий SerpentOS доступен для тестирования

Одним из недостатков нового инсталлятора, который также используется в Ubuntu Server, было отсутствие поддержки ZFS, но в осеннем выпуске эта недоработка будет устранена, с одним ограничением - пока не реализована возможность создания шифрованных разделов ZFS. По умолчанию во всех редакциях Ubuntu продолжает предлагаться файловая система Ext4, а поддержка ZFS позиционируется как экспериментальная.

Напомним, что возможность распространения готового модуля ZFS в составе дистрибутивов вызывает споры у юристов. Код ZFS распространяется под свободной лицензией CDDL, которая несовместима с GPLv2, что не позволяет добиться интеграции модуля zfs.ko в состав основной ветки ядра Linux, так как смешивание кода под лицензиями GPLv2 и CDDL недопустимо. Для обхода данной лицензионной несовместимости проектом OpenZFS было решено распространять продукт целиком под лицензией CDDL в виде отдельно загружаемого модуля, который поставляется отдельно от ядра.

Юристы организации Software Freedom Conservancy (SFC) считают, что поставка в дистрибутиве бинарного модуля ядра образует комбинированный с GPL продукт с требованием распространения итоговой работы под GPL. Юристы компании Canonical не согласны и утверждают, что поставка модуля zfs допускается, если компонент поставляется в виде самодостаточного модуля, отдельно от пакета с ядром. Canonical отмечает, что дистрибутивы давно используют подобный подход для поставки проприетарных драйверов, таких как драйверы NVIDIA.

SFC считает, что аналогия неуместна, так как проблема совместимости с ядром в проприетарных драйверах решается поставкой небольшой прослойки, распространяемой под лицензией GPL (в ядро грузится модуль под лицензией GPL, который уже загружает проприетарные компоненты). Для ZFS подобную прослойку можно подготовить только в случае предоставления лицензионных исключений от компании Oracle. В Oracle Linux несовместимость с GPL решается предоставлением компанией Oracle лицензионного исключения, снимающего требование по лицензированию комбинированной работы под CDDL, но это исключение не действует для других дистрибутивов.

Обходным манёвром является поставка в дистрибутиве только исходных текстов модуля, которая не приводит к связыванию и рассматривается как поставка двух отдельных продуктов. В Debian для этого задействована система DKMS (Dynamic Kernel Module Support), при которой модуль поставляется в исходных текстах и собирается на системе пользователя, непосредственно после установки пакета.

1. OpenNews: Линус Торвальдс пояснил, в чём проблемы реализации ZFS для ядра Linux
2. OpenNews: В ночных сборках Ubuntu Desktop появился новый инсталлятор
3. OpenNews: Организация SFC заявила, что поставка модуля ZFS в Ubuntu нарушает лицензию GPL
4. OpenNews: В Ubuntu 19.10 появится экспериментальная поддержка ZFS для корневого раздела
5. OpenNews: Релиз OpenZFS 2.1 с поддержкой dRAID