По данным рейтинга StatCounter, осуществляющего мониторинг общемировой статистики использования web-браузеров, доля десктоп-дистрибутивов Linux впервые превысила 3%. В январе 2023 года доля Linux составляла 2.91%, феврале - 2.94%, марте 2.85%, апреле - 2.83%, мае - 2.70%, июне - 3.08%. C учётом того, что доля основанной на ядре Linux операционной системы Chrome в июне выросла до 4.15%, общая доля настольных Linux-систем достигла отметки в 7.23%. Доля FreeBSD оценивается в 0.01%. Статистика собрана на основании счётчика, размещённого на 1.5 млн сайтах.

Статистика по Linux из других источников:

• По данным компании Net Applications доля настольных систем на базе Linux составляет 1.90%, а Chrome OS - 1%.

• В сервисе доставки игр Steam доля пользователей Linux составляет 1.44%.

• По данным рейтинга w3schools.com доля Linux составляет 4%, Chrome OS - 0.4%.

• По статистике Wikimedia доля Linux составляет 1.9%, Chrome OS - 0.9%.

Источник: OpenNET.

После девяти месяцев разработки опубликован выпуск почтового клиента Geary 44.0, ориентированного на использование в окружении GNOME. Изначально проект был основан организацией Yorba Foundation, создавшей популярный менеджер фотографий Shotwell, но позднее разработка перешла в руки сообщества GNOME. Код написан на языке Vala и распространяется под лицензией LGPL. Готовые сборки в ближайшее время будут подготовлены в форме самодостаточного пакета flatpak.

Целью развития проекта является создание богатого по возможностям продукта, но при этом предельно простого в использовании и потребляющего минимум ресурсов. Почтовый клиент рассчитан как на обособленное использование, так и на работу совместно с web-ориентированными почтовыми сервисами, такими как Gmail и Yahoo! Mail. Интерфейс реализован при помощи библиотеки GTK3+. Для хранения базы сообщений используется БД SQLite, для поиска по базе сообщений создаётся полнотекстовый индекс. Для работы с IMAP задействована базирующаяся на GObject библиотека, работающая в асинхронном режиме (операции по загрузке почты не блокируют интерфейс).

Источник: OpenNET.

После четырёх месяцев разработки опубликован релиз свободного игрового движка Godot 4.1, подходящего для создания 2D- и 3D-игр. Движок поддерживает простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, широкие возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяются под лицензией MIT.

Исходные тексты движка были открыты в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации многих игр для PC, игровых консолей и мобильных устройств. Движком поддерживаются все популярные стационарные и мобильные платформы (Linux, Windows, macOS, Wii, Nintendo 3DS, PlayStation 3, PS Vita, Android, iOS, BBX), а также разработка игр для Web. Готовые для запуска бинарные сборки сформированы для Linux, Android, Windows и macOS.

Источник: OpenNET.

В ядре Linux выявлены две уязвимости:

CVE-2023-35001 уязвимость в модуле nf_tables, позволяющая локальному пользователю выполнить свой код на уровне ядра. Уявзимость вызвана некорректными манипуляциями с указателем при обработке выражений nft_byteorder , которые могут привести к обращению к области памяти за пределами конца массива. Для эксплуатации требуется наличие прав CAP_NET_ADMIN. Проблема проявляется начиная с ядра 3.13 и пока устранена только в форме патча.

CVE-2023-1829 уязвимость в классификаторе трафика tcindex, входящем в состав подсистемы QoS (Quality of service) ядра Linux. Уязвимость позволяет локальному пользователю выполнить код с правами ядра Linux. Возможность эксплуатации уязвимости продемонстрирована в Ubuntu. Проблема вызвана отсутствием проверки существования объекта до выполнения операции по очистке связанной с ним памяти, что приводит к двойному вызову функции free(). Проблема решена через удаление модуля tcindex из ядра, начиная с ветки 6.3. В пакете с ядром для Ubuntu и Debian уязвимость устранена в апреле. В качестве обходного пути защиты можно запретить автоматическую загрузку модуля cls_tcindex, добавив файл /etc/modprobe.d/blacklist-tcindex.conf со строкой "blacklist cls_tcindex".

Источник: OpenNET.

В ядре Linux выявлена уязвимость CVE-2023-31248 в подсистеме Netfilter, позволяющая локальному пользователю выполнить свой код на уровне ядра. Проблема вызвана обращением к памяти после её освобождения (use-after-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables, из-за отсутствия должной проверки состояния цепочки во время обработки операции поиска в цепочке функцией nft_chain_lookup_byid, что не исключает возвращение ссылки на уже удалённую цепочку nf_tables.

Для проведения атаки требуется наличие доступа к nftables, который можно получить при наличии прав CAP_NET_ADMIN в любом пространстве имён идентификаторов пользователей (user namespace) или сетевом пространстве имён (network namespace), которые могут предоставляться, например, в изолированных контейнерах. Уязвимость проявляется начиная с ядра 5.9 (вызвавший уязвимость код не был бэкпортирован в более ранние LTS-ветки ядер). Исправление проблемы пока доступно только в виде патча.

Источник: OpenNET.

В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость CVE-2023-36460, позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.

Уязвимости присвоен уровень опасности 9.9 из 10. Уязвимость вызвана ошибкой в коде обработки мультимедийных файлов и может быть использована через прикрепление к публикации специально оформленного мультимедийного вложения. Проблема выявлена компанией Cure53, которая проводила аудит кода Mastodon по заказу компании Mozilla, которая выбрала платформу Mastodon для построения собственной социальной сети Mozilla.social.

При аудите также выявлена ещё одна критическая уязвимость (CVE-2023-36459) с уровнем опасности 9.3 из 10. Уязвимость позволяет атакующему передать специально оформленные данные oEmbed для обхода защиты от XSS-атак и добиться показа своего HTML и выполнения произвольного JavaScript кода в показанном пользователю блоке предпросмотра.

Уязвимости устранены в обновлениях 3.5.10, 4.0.6 и 4.1.4.

Источник: OpenNET.

Выполненный в ядре Linux 6.1 перевод VMA (Virtual Memory Area) со структуры данных "red-black tree" на "maple tree" привёл к появлению уязвимости (CVE-2023-3269), позволяющей непривилегированному пользователю добиться выполнения своего кода с правами ядра. Уязвимость, которой присвоено кодовое имя StackRot, проявляется начиная с выпуска ядра 6.1 и устранена в обновлениях 6.4.1, 6.3.11 и 6.1.37.

Структура "maple tree" представляет собой вариант B-tree, поддерживающий индексацию по диапазонам значений и спроектированный для эффективного использования кэша современных процессоров. По сравнению с "red-black tree" применение "maple tree" позволяет добиться более высокой производительности. Уязвимость вызвана ошибкой в обработчике расширения стека - в структуре "maple tree", используемой при управлении областями виртуальной памяти в ядре, замена узла в дереве могла произойти без выставления блокировки на запись, что создавало условия для обращения к области памяти после её освобождения (use-after-free).

Эксплуатацию уязвимости усложняло то, что узлы в структуре "maple tree" освобождаются в отложенном режиме с использованием callback-вызовов с блокировками RCU (Read-copy-update). Тем не менее, исследователям удалось преодолеть возникшие трудности и подготовить рабочий эксплоит, который планируют опубликовать в конце июля, чтобы дать пользователям время обновить свои системы. Эксплуатация возможна почти во всех конфигурациях ядра и требует лишь минимальных привилегий.

Опубликован выпуск утилиты rclone 1.63, которая представляет собой аналог rsync, предназначенный для копирования и синхронизации данных между локальной системой и различными облачными хранилищами, такими как Google Drive, Amazon Drive, S3, Dropbox, Backblaze B2, OneDrive, Swift, Hubic, Cloudfiles, Google Cloud Storage, Mail.ru Cloud и Яндекс.Диск. Код проекта написан на языке Go и распространяется под лицензией MIT.

В новом выпуске:

• добавлены бэкенды для хранения резервных копий в хранилищах Pikpak, petabox.io, GCS (Google Cloud Storage) и Fastmail.

• реализован режим частичной загрузки файлов для локальных хранилищ, ftp и sftp, при котором вначале данные передаются во временный файл с расширением ".partial", а после завершения передачи данных этот файл переименовывается в целевой. Для отключения данного поведения предусмотрен флаг "--inplace".

• в бэкендах хранения s3, azureblob и gcs добавлена поддержка маркеров каталогов, позволяющих сохранять пустые каталоги.

• добавлен флаг "--default-time" при помощи которого можно выставить время, которое будет присвоено файлам и каталогам с неизвестным временем изменения.

Источник: OpenNET.

Red Hat объявила о расширении сервиса платной расширенной поддержки (ELS, Extended Life Cycle Support), в рамках которого выпускаются обновления с исправлением критических проблем после окончания базового 10-летнего цикла сопровождения. Для дистрибутива RHEL 6 поддержка ELS осуществлялась в течение трёх лет, а для ветки RHEL 7 расширена до четырёх лет. Таким образом для RHEL 7 возможный срок сопровождения составит 14 лет.

В соответствии со штатным 10-летним циклом поддержки дистрибутив RHEL 9 будет сопровождаться до 31 мая 2032 года, RHEL 8 - до 31 мая 2029 года, а RHEL 7 - до 30 июня 2024 года. Поддержка CentOS Stream 8 продлится до 31 мая 2024 года, а CentOS Stream 9 до 31 мая 2027 года (на 5 лет меньше RHEL 8 и 9).

Что касается других дистрибутивов, 10-летний срок сопровождения предоставляется в дистрибутивах SUSE Linux и Ubuntu (5 лет + 5 лет Extended Security Maintenance). Срок поддержки Debian GNU/Linux с учётом программы расширенной LTS-поддержки составляет 5 лет (плюс выборочно ещё два года в рамках инициативы "Extended LTS"). Fedora Linux поддерживается 13 месяцев, а openSUSE - 18 месяцев.

Источник: OpenNET.

Wikimedia Foundation объявила о переводе свободной энциклопедии Wikipedia и других своих проектов на использование лицензии Creative Commons BY-SA 4.0, которая придёт на смену лицензии Creative Commons BY-SA 3.0, которая в 2009 году заменила изначально применявшуюся в Wikipedia лицензию GNU FDL (Free Documentation License). Обновление лицензии позволит расширить совместимость Wikipedia с другим открытым контентом и даст возможность напрямую переносить в Wikipedia содержимое, доступное только под лицензией СС BY-SA 4.0, например, документы, публикуемые Организацией Объединённых Наций и правительствами некоторых стран.

В правила использования (Terms of Use) проектов Wikimedia внесены изменения, определяющие в качестве основной лицензию Creative Commons Attribution-ShareAlike 4.0. Все новые правки материалов Wikipedia будут распространяться под данной лицензией, а старые материалы продолжат оставаться по лицензией CC BY-SA 3.0. Лицензии CC BY-SA 3.0 и 4.0 разрешают распространять, редактировать, изменять и использовать произведение в своих проектах, в том числе в коммерческих, при условии упоминания изначального авторства и распространения производных продуктов под аналогичной лицензией.

По сравнению с версией Creative Commons 3.0 в редакции 4.0 улучшена совместимость с другими лицензиями; упрощено упоминание оригинального автора (допускается ссылка на web-страницу); текст адаптирован для совместимости с законодательствами разных стран.

Источник: OpenNET.

После двух лет разработки опубликован релиз пакета UDisks 2.10.0, включающего системный фоновый процесс, библиотеки и инструментарий для организации доступа и управления дисками, устройствами хранения и связанными с ними технологиями. UDisks предоставляет D-Bus API для работы с дисковыми разделами, настройки MD RAID, работы с блочными устройствами в файле (loop-монтирование), манипуляций с файловыми системами и т.п. Дополнительно поставляются модули для мониторинга и управления BTRFS, iSCSI, libStorageManagement, LVM2 и LVM Cache. Например, UDisks используется в приложениях GNOME для работы с дисковыми разделами GNOME и различных графических конфигураторах.

В новой версии:

• Добавлена встроенная поддержка накопителей NVMe, реализованная на базе библиотеки libnvme.

• Проведена большая внутренняя переработка, которая не повлияла на совместимость на уровне API. Код для работы с дисковыми разделами переведён на использование библиотеки libfdisk. Определения поддерживаемых файловых систем перенесены в libblockdev, проведена унификация операций с ФС.

• Расширен синтаксис настраиваемых опций монтирования (разделены драйвер ФС и сигнатура ФС, добавлена возможность определения приоритета свойств для драйвера).

• Добавлена поддержка определения устройств по метке и UUID раздела.

• Добавлена возможность привязки UUID к разделам и ФС.

• Добавлена поддержка LVM2 RAID.

• Удалены плагины kbd и vdo libblockdev, а также модули zram, bcache и vdo.

Источник: OpenNET.

Вышла новая версия статического анализатора кода cppcheck 2.11, позволяющего выявлять различные классы ошибок в коде на языках Си и Си++, в том числе при использовании нестандартного синтаксиса, типичного для встраиваемых систем. Предоставляется коллекция плагинов, через которые обеспечена интеграция cppcheck с различными системами разработки, непрерывной интеграции и тестирования, а также предоставлены такие возможности как проверка соответствия кода стилю оформления кода. Для разбора кода может применяться как собственный парсер, так и внешний парсер от Clang. В состав также входит скрипт donate-cpu.py для предоставления локальных ресурсов для выполнения работы по совместной проверке кода пакетов Debian. Исходные тексты проекта распространяются под лицензией GPLv3.

Развитие cppcheck сосредоточено на выявлении проблем, связанных с неопределённым поведением и применением конструкций, опасных с точки зрения безопасности. Целью также является минимизация ложных срабатываний. Среди выявляемых проблем: указатели на несуществующие объекты, деления на ноль, целочисленные переполнения, некорректные операции битового сдвига, некорректные преобразования, проблемы при работе с памятью, некорректное использование STL, разыменование нулевых указателей, применение проверок после фактического обращения к буферу, выход за границы буферов, использование неинициализированных переменных.

Источник: OpenNET.

Федерация спортивного программирования и «Лаборатория Касперского» подписали соглашение о стратегическом сотрудничестве.

Генеральный директор «Лаборатории Касперского» Евгений Касперский:

«Наш альянс с Федерацией спортивного программирования не только поможет усилить подготовку спортсменов к соревнованиям, но и будет способствовать наращиванию кадрового потенциала в ИТ-сфере. Развитие детско-юношеского спорта — это отличная возможность для студентов и школьников расширить свои знания, усилить компетенции, а также узнавать из первых рук о том, что происходит в мире информационных технологий».

Президент Федерации спортивного программирования Максим Паршин:

«Уже сейчас Федерация проводит в России международные соревнования. Мы находимся на старте глобального движения, и такие партнеры как «Лаборатория Касперского» помогут нам развиваться в этом направлении еще активнее» .

Председатель Правления Федерации спортивного программирования Одес Байсултанов:

«Уверен, это сотрудничество будет полезно для обеих сторон. Мы поможем в подготовке и повышении квалификации кадров. А наши партнеры, в том числе, в проведении соревнований и подготовке актуальных для ИТ-отрасли задач».

Oracle представила инструментарий bpftune, предназначенный для автоматической оптимизации настроек ядра Linux с учётом выполняемых задач, активности в системе и характера нагрузки. Основу bpftune составляет фоновый процесс, работающий в пространстве пользователя и использующий подсистему ядра BPF. Код проекта написан на языке C и распространяется под лицензией GPLv2.

В качестве причины создания проекта упоминается потребность в оптимизации самодостаточных систем, рассчитанных на работу с минимальным вмешательством администратора, а также увеличение сложности современного ядра, повышающая трудоёмкость ручных оптимизаций (ядром предоставляется более 1500 sysctl параметров, влияющих на производительность и потребление ресурсов, и часто администратор просто копирует готовые рецепты, детально не вникая в их суть и надеясь, что они помогут).

Bpftune осуществляет непрерывный мониторинг состояния системы, адаптивно корректирует влияющие на производительность параметры ядра и оценивает изменение поведения для достижения оптимального результата.

В процессе автонастройки bpftune пытается добиться оптимального баланс между предоставлением и потреблением ресурсов, учитывая косвенное влияние изменений. Например, для повышения пропускной способности необходимо увеличить размер сетевого буфера, но его увеличение приводит к повышению потребления памяти и увеличению задержек при передаче данных, поэтому при увеличении размера буфера следует учитывать и эти параметры.

Источник: OpenNET.

Представлен выпуск операционной системы InkBox OS 2.0, нацеленной на замену штатных прошивок электронных книг Kobo и Kindle.

Системные компоненты InkBox OS 2.0 построены на основе дистрибутива Alpine Linux 3.10, а в качестве пользовательского окружения задействована развиваемая тем же проектом оболочка InkBox с интерфейсом для чтения электронных книг и управления домашней библиотекой. Интерфейс пользователя оптимизирован для работы на экранах на основе электронной бумаги. Код оболочки написан на языке С++ с использованием фреймворка Qt и распространяется под лицензией GPLv3.

Загрузочные сборки InkBox OS 2.0 подготовлены для устройств Kobo и Kindle Touch.

Источник: OpenNET.

Минцифры РФ порекомендовало предоставить 26 июня выходной день не задействованным в выполнении критически важных функций сотрудникам IT- и телеком-компаний, а также средств массовой информации.

Суббота была очень эмоциональным и напряжённым днем. Поэтому рекомендуем даже непрерывно действующим ИТ-компаниям, операторам связи и СМИ, работающим в регионах, которые были вчера в эпицентре событий, дать завтра выходной тем сотрудникам, которые не задействованы в выполнении критически важных функций.

Многие сотрудники Минцифры провели выходные на рабочем месте, поэтому мы тоже приняли такое решение для своих сотрудников.

Red Hat изменила параметры программы Red Hat Developer, предоставляющей возможность бесплатного использования дистрибутива Red Hat Enterprise Linux в организациях, развивающих открытое ПО, и в окружениях индивидуальных разработчиков. Число окружений, разрешённых для установки в рамках инициативы Red Hat Developer, увеличено с 16 до 240 виртуальных или физических систем. Изменение пока не анонсировано официально, но отражено в web-интерфейсе для клиентов компании.

Источник: OpenNET.

Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 8.11. С момента выпуска версии 8.10 было закрыто 26 отчётов об ошибках и внесено 221 изменение.

Наиболее важные изменения:

• Продолжено улучшение поддержки ограничения (clipping) перемещения курсора мыши заданной областью на экране.

• Добавлена поддержка протокола TLS Alert для отправки другой стороне пакетов с уведомлениями о причинах сбоя согласования соединения TLS.

• Увеличено адресное пространство, доступное в WoW64, прослойке для запуска 32-разрядных программ в 64-разрядной Windows.

• Закрыты отчёты об ошибках, связанные с работой приложений: Microsoft Office, LibreOffice 7.2.0, Lunar Magic 3.33, Framemaker 8, Steam, Ubisoft Connect.

• Закрыты отчёты об ошибках, связанные с работой игры StarCraft II.

Источник: OpenNET.

Хидео Кодзима (Hideo Kojima) не боится искусственного интеллекта. На премьере посвященного гейм-дизайнеру документального фильма он рассказал, что ИИ не удастся «взять верх» над человечеством.

Тем не менее, глава Kojima Productions отметил, что он не против использования ИИ в создании игр. Как считает Кодзима, подобные технологии позволят ускорить разработку и вдвое сократить команду, однако кто-то по-прежнему должен будет руководить процессом и давать указания ИИ. Если же ИИ перестанет слушаться, то Кодзима пообещал «выпотрошить» его.

Опубликован релиз Proxmox Virtual Environment 8.0, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.1 ГБ.

Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. Среди особенностей web-интерфейса: поддержка безопасной VNC-консоли; управление доступом ко всем доступным объектам (VM, хранилище, узлы и т.п.) на основе ролей; поддержка различных механизмов аутентификации (MS ADS, LDAP, Linux PAM, Proxmox VE authentication).

Источник: OpenNET.