Уязвимости в eBPF, позволяющие обойти защиту от атаки Spectre 4
В ядре Linux выявлены две уязвимости, позволяющие использовать подсистему еBPF для обхода защиты от атаки Spectre v4 (SSB, Speculative Store Bypass). При помощи непривилегированной BPF-программы атакующий может создать условия для спекулятивного выполнения определённых операций и определить содержимое произвольных областей памяти ядра. Сопровождающие подсистемы eBPF в ядре получили доступ к прототипу эксплоита, демонстрирующего возможность совершения атак на практике. Проблемы устранены в форме патчей (1, 2), которые войдут в состав ближайшего обновления ядра Linux. Обновления в дистрибутивах пока не сформированы (Debian, RHEL, SUSE, Arch, Fedora, Ubuntu).
Первая уязвимость (CVE-2021-35477) вызвана недоработкой в механизме проверки программ BPF. Вторая уязвимость (CVE-2021-3455) связана с тем, что при выявлении верификатором BPF потенциально опасных операций сохранения в память, не учитываются неинициализированные области стека BPF, первая операция записи в которые не защищается.
В ядре Linux выявлены две уязвимости, позволяющие использовать подсистему еBPF для обхода защиты от атаки Spectre v4 (SSB, Speculative Store Bypass). При помощи непривилегированной BPF-программы атакующий может создать условия для спекулятивного выполнения определённых операций и определить содержимое произвольных областей памяти ядра. Сопровождающие подсистемы eBPF в ядре получили доступ к прототипу эксплоита, демонстрирующего возможность совершения атак на практике. Проблемы устранены в форме патчей (1, 2), которые войдут в состав ближайшего обновления ядра Linux. Обновления в дистрибутивах пока не сформированы (Debian, RHEL, SUSE, Arch, Fedora, Ubuntu).
Первая уязвимость (CVE-2021-35477) вызвана недоработкой в механизме проверки программ BPF. Вторая уязвимость (CVE-2021-3455) связана с тем, что при выявлении верификатором BPF потенциально опасных операций сохранения в память, не учитываются неинициализированные области стека BPF, первая операция записи в которые не защищается.
С 10 по 12 августа во Владивостоке пройдет серия отраслевых практических конференций, посвященных цифровой трансформации и ИТ-импортозамещению на Дальнем Востоке и в Сибири.
ВОСТОЧНЫЙ ФОРУМ «ЦИФРОВИЗАЦИЯ И ИТ-ТРАНСФОРМАЦИЯ – 2021»
Три насыщенных конференц-дня с представителями сфер образования и медицины, IТ-производителей и органов власти:
1️⃣ ИТ-трансформация органов исполнительной власти и госкорпораций
2️⃣ Цифровизация современного образования
3️⃣ ИТ-трансформация здравоохранения
Организаторы – Правительство Приморского края и Ассоциация отрасли информационных технологий Азиатско-Тихоокеанского региона.
Генеральный партнер - ГК Astra Linux @astralinux
Регистрируйтесь и выбирайте удобный вариант участия (офлайн или онлайн) - по ссылке
ВОСТОЧНЫЙ ФОРУМ «ЦИФРОВИЗАЦИЯ И ИТ-ТРАНСФОРМАЦИЯ – 2021»
Три насыщенных конференц-дня с представителями сфер образования и медицины, IТ-производителей и органов власти:
1️⃣ ИТ-трансформация органов исполнительной власти и госкорпораций
2️⃣ Цифровизация современного образования
3️⃣ ИТ-трансформация здравоохранения
Организаторы – Правительство Приморского края и Ассоциация отрасли информационных технологий Азиатско-Тихоокеанского региона.
Генеральный партнер - ГК Astra Linux @astralinux
Регистрируйтесь и выбирайте удобный вариант участия (офлайн или онлайн) - по ссылке
В ночных сборках Ubuntu Desktop появился новый инсталлятор
В ночных сборках Ubuntu Desktop 21.10 началось тестирование нового инсталлятора, реализованного в виде надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса.
Предложено три режима: "Repair Installation" для переустановки всех имеющихся в системе пакетов без изменения настроек, "Try Ubuntu" для ознакомления с дистрибутивом в Live-режиме и "Install Ubuntu" для установки дистрибутива на диск.
Из новых возможностей выделяется возможность выбора между тёмной и светлой темами оформления, поддержка отключения режима Intel RST (Rapid Storage Technology) при установке параллельно с Windows и новый интерфейс разбивки дисковых разделов. Доступные варианты установки пока сводятся к выбору между нормальным и минимальным набором устанавливаемых пакетов. Из ещё не реализованных функций отмечается включение шифрования разделов и выбор часового пояса.
В ночных сборках Ubuntu Desktop 21.10 началось тестирование нового инсталлятора, реализованного в виде надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса.
Предложено три режима: "Repair Installation" для переустановки всех имеющихся в системе пакетов без изменения настроек, "Try Ubuntu" для ознакомления с дистрибутивом в Live-режиме и "Install Ubuntu" для установки дистрибутива на диск.
Из новых возможностей выделяется возможность выбора между тёмной и светлой темами оформления, поддержка отключения режима Intel RST (Rapid Storage Technology) при установке параллельно с Windows и новый интерфейс разбивки дисковых разделов. Доступные варианты установки пока сводятся к выбору между нормальным и минимальным набором устанавливаемых пакетов. Из ещё не реализованных функций отмечается включение шифрования разделов и выбор часового пояса.
Системный менеджер InitWare, форк systemd, портирован для OpenBSD
Проект InitWare, развивающий экспериментальный форк системного менеджера systemd, реализовал поддержку операционной системы OpenBSD на уровне возможности управления пользовательскими сервисами (user manager - режим "iwctl —user", позволяющий пользователям управлять собственными сервисами). PID1 и системные сервисы пока не поддерживаются. Ранее аналогичная поддержка была обеспечена для DragonFly BSD, а возможность управления системными сервисами и управления входом для NetBSD и FreeBSD. Следующим шагом станет реализация поддержки управления пользовательскими сервисами для Illumos.
Проект InitWare нацелен на создание переносимого и модульного системного менеджера, способного работать на системах, отличных от Linux. При этом в отличие от systemd проект не пытается охватить необъятное и сосредотачивается только на функциях управления сервисами, пользовательскими сеансами и управлением входом (login management). Из состава исключены компоненты для управления устройствами (udev), настройки сети (networkd), резолвинга в DNS (resolved) и ведения логов (journald).
Проект InitWare, развивающий экспериментальный форк системного менеджера systemd, реализовал поддержку операционной системы OpenBSD на уровне возможности управления пользовательскими сервисами (user manager - режим "iwctl —user", позволяющий пользователям управлять собственными сервисами). PID1 и системные сервисы пока не поддерживаются. Ранее аналогичная поддержка была обеспечена для DragonFly BSD, а возможность управления системными сервисами и управления входом для NetBSD и FreeBSD. Следующим шагом станет реализация поддержки управления пользовательскими сервисами для Illumos.
Проект InitWare нацелен на создание переносимого и модульного системного менеджера, способного работать на системах, отличных от Linux. При этом в отличие от systemd проект не пытается охватить необъятное и сосредотачивается только на функциях управления сервисами, пользовательскими сеансами и управлением входом (login management). Из состава исключены компоненты для управления устройствами (udev), настройки сети (networkd), резолвинга в DNS (resolved) и ведения логов (journald).
Опрос Stack Overflow: Rust назван самым любимым, а Python самым востребованным языком
Дискуссионная площадка Stack Overflow опубликовала результаты ежегодного опроса, в котором приняло участие более 83 тысяч разработчиков ПО.
Наиболее часто используемым участниками опроса языком является JavaScript 64.9% (год назад 67.7%, большинство участников Stack Overflow web-разработчики). Наибольший рост популярности как и в прошлом году демонстрирует Python, который за год переместился с 4 (44.1%) на 3 место (48.2%), обогнав SQL. Число пользователей языка Rust за год выросло с 5% до 7%, TypeScript с 25.4% до 30.2%, Dart с 4% до 6%, а Go с 8.8% до 9.5%. Популярность Ruby снизилась с 7.1% до 6.7%, Perl c 3.1% до 2.4%, а PHP с 26.2% до 21.98%.
Шестой год подряд Rust признаётся самым любимым языком. Пятый год подряд Python определяется как самый востребованный язык.
Дискуссионная площадка Stack Overflow опубликовала результаты ежегодного опроса, в котором приняло участие более 83 тысяч разработчиков ПО.
Наиболее часто используемым участниками опроса языком является JavaScript 64.9% (год назад 67.7%, большинство участников Stack Overflow web-разработчики). Наибольший рост популярности как и в прошлом году демонстрирует Python, который за год переместился с 4 (44.1%) на 3 место (48.2%), обогнав SQL. Число пользователей языка Rust за год выросло с 5% до 7%, TypeScript с 25.4% до 30.2%, Dart с 4% до 6%, а Go с 8.8% до 9.5%. Популярность Ruby снизилась с 7.1% до 6.7%, Perl c 3.1% до 2.4%, а PHP с 26.2% до 21.98%.
Шестой год подряд Rust признаётся самым любимым языком. Пятый год подряд Python определяется как самый востребованный язык.
Новая версия музыкального проигрывателя DeaDBeeF 1.8.8
Исходные тексты проекта распространяются в рамках лицензии GPLv2. Плеер написан на языке Си и может работать с минимальным набором зависимостей. Интерфейс построен с использованием библиотеки GTK+, поддерживает вкладки и может расширяться через виджеты и плагины.
Среди возможностей: автоматическое перекодирование кодировки текста в тегах, эквалайзер, поддержка cue-файлов, минимум зависимостей, возможность управления через командную строку или из системного лотка, возможность загрузки и отображения обложек, встроенный редактор тегов, гибкие возможности в отображении нужных полей в списках композиций, поддержка потокового интернет-радио, режим воспроизведения без пауз, наличие плагина для перекодирования контента.
Некоторые изменения:
— Реализована обработка метаданных с названием альбома (Disc subnoscript) в тегах ID3v2 и APE.
— Улучшен интерфейс для настройки плагинов.
— Реализовано немодальное окно с настройками.
— Добавлена поддержка изменения цвета заголовков. В средства для определения формата заголовка добавлена функция $rgb().
— В списке плагинов реализована поддержка фильтров и вывода информации о плагинах. Обеспечена сортировка плагинов по алфавиту.
— Добавлены вкладки со списками воспроизведения, для которых поддерживается изменение фокуса и навигация при помощи клавиатуры.
— Добавлена возможность чтения тегов WAV RIFF.
И другие изменения.
Исходные тексты проекта распространяются в рамках лицензии GPLv2. Плеер написан на языке Си и может работать с минимальным набором зависимостей. Интерфейс построен с использованием библиотеки GTK+, поддерживает вкладки и может расширяться через виджеты и плагины.
Среди возможностей: автоматическое перекодирование кодировки текста в тегах, эквалайзер, поддержка cue-файлов, минимум зависимостей, возможность управления через командную строку или из системного лотка, возможность загрузки и отображения обложек, встроенный редактор тегов, гибкие возможности в отображении нужных полей в списках композиций, поддержка потокового интернет-радио, режим воспроизведения без пауз, наличие плагина для перекодирования контента.
Некоторые изменения:
— Реализована обработка метаданных с названием альбома (Disc subnoscript) в тегах ID3v2 и APE.
— Улучшен интерфейс для настройки плагинов.
— Реализовано немодальное окно с настройками.
— Добавлена поддержка изменения цвета заголовков. В средства для определения формата заголовка добавлена функция $rgb().
— В списке плагинов реализована поддержка фильтров и вывода информации о плагинах. Обеспечена сортировка плагинов по алфавиту.
— Добавлены вкладки со списками воспроизведения, для которых поддерживается изменение фокуса и навигация при помощи клавиатуры.
— Добавлена возможность чтения тегов WAV RIFF.
И другие изменения.
9–11 августа, в 21:00 по московскому времени пройдёт бесплатный онлайн-интенсив по работе с Python. Всего за 3 дня вы познакомитесь с основами универсального языка и технологиями искусственного интеллекта. А ещё с помощью BotFather создадите первый полноценный проект — Telegram-бота.
Регистрируйтесь: ▶️ https://clc.am/6fG_Dw.
🔥 Изучите структуру данных Python, Machine Learning и сможете сразу применить теорию на практике. Создадите чат-бота, научите его говорить и подключите к Telegram.
☝️ Преподавателем будет Николай Герасименко — ведущий исследователь данных (NLP) в Сбере.
⭐️ Все участники получат электронную книгу Кей Петерсон и Дэвида Колба «Век живи — век учись» от издательства «МИФ». А те, кто сдаст домашнее задание, — сертификаты на 15 000 рублей. Их можно будет потратить на любой курс образовательной платформы Skillbox!
Регистрируйтесь: ▶️ https://clc.am/6fG_Dw.
🔥 Изучите структуру данных Python, Machine Learning и сможете сразу применить теорию на практике. Создадите чат-бота, научите его говорить и подключите к Telegram.
☝️ Преподавателем будет Николай Герасименко — ведущий исследователь данных (NLP) в Сбере.
⭐️ Все участники получат электронную книгу Кей Петерсон и Дэвида Колба «Век живи — век учись» от издательства «МИФ». А те, кто сдаст домашнее задание, — сертификаты на 15 000 рублей. Их можно будет потратить на любой курс образовательной платформы Skillbox!
Новое руководство GNOME по человеческому интерфейсу теперь официально
В последние месяцы были приложены усилия для обновления Руководства по человеческому интерфейсу GNOME (HIG), чтобы отразить инструментарий GTK4 и рекомендации по новым виджетам, служебным панелям и многому другому для повышения доступности приложений GNOME.
HIG охватывает ресурсы по дизайну, ресурсы в целом, рекомендации по дизайну UX, шаблоны и ссылки на сочетания клавиш и цвета пользовательского интерфейса.
В последние месяцы были приложены усилия для обновления Руководства по человеческому интерфейсу GNOME (HIG), чтобы отразить инструментарий GTK4 и рекомендации по новым виджетам, служебным панелям и многому другому для повышения доступности приложений GNOME.
HIG охватывает ресурсы по дизайну, ресурсы в целом, рекомендации по дизайну UX, шаблоны и ссылки на сочетания клавиш и цвета пользовательского интерфейса.
DevOps-инженер выполняет функции системного администратора, разработчика, тестировщика и менеджера. Он связывает воедино все этапы работы над продуктом. Такие специалисты востребованы во многих IT-компаниях.
Узнайте больше о DevOps на онлайн-интенсиве: 👉 https://clc.am/W232Ng.
📌 Junior-разработчики:
познакомитесь с понятиями Docker, CI и Kubernetes;
развернёте и запустите первое приложение в облаке;
добавите работу в портфолио и сделаете первый шаг к карьере DevOps-инженера.
📌 Опытные разработчики и сисадмины:
научитесь организовывать процессы непрерывной доставки и развёртывания продукта в облаке;
поймёте, как перейти из разработки или системного администрирования в DevOps-инжиниринг.
🎁 Всем участникам интенсива дарим электронную книгу Кей Петерсон и Дэвида Колба «Век живи — век учись» от издательства «МИФ». А каждый, кто сдаст домашнюю работу, получит сертификат стоимостью 15 000 рублей на любой курс Skillbox.
Присоединяйтесь к онлайн-трансляциям 9–11 августа, в 19:00 по московскому времени.
Узнайте больше о DevOps на онлайн-интенсиве: 👉 https://clc.am/W232Ng.
📌 Junior-разработчики:
познакомитесь с понятиями Docker, CI и Kubernetes;
развернёте и запустите первое приложение в облаке;
добавите работу в портфолио и сделаете первый шаг к карьере DevOps-инженера.
📌 Опытные разработчики и сисадмины:
научитесь организовывать процессы непрерывной доставки и развёртывания продукта в облаке;
поймёте, как перейти из разработки или системного администрирования в DevOps-инжиниринг.
🎁 Всем участникам интенсива дарим электронную книгу Кей Петерсон и Дэвида Колба «Век живи — век учись» от издательства «МИФ». А каждый, кто сдаст домашнюю работу, получит сертификат стоимостью 15 000 рублей на любой курс Skillbox.
Присоединяйтесь к онлайн-трансляциям 9–11 августа, в 19:00 по московскому времени.