👨🏻💻 @Social_Engineering — канал с бесплатными обучающими материалами для ИТ специалистов.
• Тысячи книг которые невозможно найти в открытом доступе.
• Сотни статей и публикаций с обучающим материалом для ИБ специалистов.
• Раздача платных курсов - БЕСПЛАТНО.
• Переводы зарубежных статей и конференций.
DevOps, ИБ, Пентест, Системное Администрирование, Сети, Инструменты и многое другое.
Не упусти возможность подписаться.
• Тысячи книг которые невозможно найти в открытом доступе.
• Сотни статей и публикаций с обучающим материалом для ИБ специалистов.
• Раздача платных курсов - БЕСПЛАТНО.
• Переводы зарубежных статей и конференций.
DevOps, ИБ, Пентест, Системное Администрирование, Сети, Инструменты и многое другое.
Не упусти возможность подписаться.
Компания Canonical представила оболочку Ubuntu Frame
Canonical представила первый выпуск оболочки Ubuntu Frame, предназначенной для создания интернет-киосков, терминалов самообслуживания, информационных стендов, цифровых вывесок, умных зеркал, промышленных экранов, IoT-устройств и других подобных применений. Оболочка рассчитана на предоставление полноэкранного интерфейса для одного приложения и базируется на использовании дисплейного сервера Mir и протокола Wayland. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены пакеты в формате snap.
Ubuntu Frame можно использования для запуска приложений на базе GTK, Qt, Flutter и SDL2, а также программ на базе Java, HTML5 и Electron. Возможен запуск как приложений, собранных с поддержкой Wayland, так и программ на базе протокола X11 (используется Xwayland).
Для создания кастомизированного киоска, ограниченного работой одного приложения, разработчику достаточно подготовить само приложение, а все остальные задачи по поддержке оборудования, поддержанию системы в актуальном состоянии и организации взаимодействия с пользователем берут на себя Ubuntu Core и Ubuntu Frame, включая поддержку управления при помощи экранных жестов на системах с сенсорными экранами. Заявлено, что обновления с устранением ошибок и уязвимостей в выпусках Ubuntu Frame будут формироваться в течение 10 лет. При желании оболочку можно запустить не только в Ubuntu Core, но и в любом дистрибутиве Linux с поддержкой пакетов Snap.
Canonical представила первый выпуск оболочки Ubuntu Frame, предназначенной для создания интернет-киосков, терминалов самообслуживания, информационных стендов, цифровых вывесок, умных зеркал, промышленных экранов, IoT-устройств и других подобных применений. Оболочка рассчитана на предоставление полноэкранного интерфейса для одного приложения и базируется на использовании дисплейного сервера Mir и протокола Wayland. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены пакеты в формате snap.
Ubuntu Frame можно использования для запуска приложений на базе GTK, Qt, Flutter и SDL2, а также программ на базе Java, HTML5 и Electron. Возможен запуск как приложений, собранных с поддержкой Wayland, так и программ на базе протокола X11 (используется Xwayland).
Для создания кастомизированного киоска, ограниченного работой одного приложения, разработчику достаточно подготовить само приложение, а все остальные задачи по поддержке оборудования, поддержанию системы в актуальном состоянии и организации взаимодействия с пользователем берут на себя Ubuntu Core и Ubuntu Frame, включая поддержку управления при помощи экранных жестов на системах с сенсорными экранами. Заявлено, что обновления с устранением ошибок и уязвимостей в выпусках Ubuntu Frame будут формироваться в течение 10 лет. При желании оболочку можно запустить не только в Ubuntu Core, но и в любом дистрибутиве Linux с поддержкой пакетов Snap.
Выпуск Wine 6.19 и Wine staging 6.19
Состоялся выпуск экспериментальной ветки открытой реализации WinAPI - Wine 6.19. С момента выпуска версии 6.18 было закрыто 22 отчёта об ошибках и внесено 520 изменений.
Некоторые изменения:
— В формат PE (Portable Executable) преобразованы IPHlpApi, NsiProxy, WineDbg и некоторые другие модули.
— Продолжено развитие бэкенда для джойстиков, поддерживающих протокол HID (Human Interface Devices).
— Связанные с ядром части GDI перенесены в библиотеку Win32u.
Проведена дополнительная работа по поддержке отладочного формата DWARF 3/4.
— Закрыты отчёты об ошибках, связанные с работой игр: Control Ultimate Edition, A Plague Tale: Innocence, Levelhead, FreeOrion, Darksiders Warmastered Edition, Simucube 2 TrueDrive, Mass Effect Legendary, SimHub, Fanaleds, Thronebreaker: The Witcher Tales.
— Закрыты отчёты об ошибках, связанные с работой приложений: Corel Painter 12, Open Metronome, IEC 61850 v2.02, PureBasic x64 IDE, TP-Link PLC 2.2, MikuMikuMoving.
И другие изменения.
Состоялся выпуск экспериментальной ветки открытой реализации WinAPI - Wine 6.19. С момента выпуска версии 6.18 было закрыто 22 отчёта об ошибках и внесено 520 изменений.
Некоторые изменения:
— В формат PE (Portable Executable) преобразованы IPHlpApi, NsiProxy, WineDbg и некоторые другие модули.
— Продолжено развитие бэкенда для джойстиков, поддерживающих протокол HID (Human Interface Devices).
— Связанные с ядром части GDI перенесены в библиотеку Win32u.
Проведена дополнительная работа по поддержке отладочного формата DWARF 3/4.
— Закрыты отчёты об ошибках, связанные с работой игр: Control Ultimate Edition, A Plague Tale: Innocence, Levelhead, FreeOrion, Darksiders Warmastered Edition, Simucube 2 TrueDrive, Mass Effect Legendary, SimHub, Fanaleds, Thronebreaker: The Witcher Tales.
— Закрыты отчёты об ошибках, связанные с работой приложений: Corel Painter 12, Open Metronome, IEC 61850 v2.02, PureBasic x64 IDE, TP-Link PLC 2.2, MikuMikuMoving.
И другие изменения.
Обновление Debian 11.1 и 10.11
Сформировано первое корректирующее обновление дистрибутива Debian 11, в которое включены обновления пакетов, выпущенные за два месяца с момента релиза новой ветки, и устранены недоработки в инсталляторе. Выпуск включает 75 обновлений с устранением проблем со стабильностью и 35 обновлений с устранением уязвимостей. Из изменений в Debian 11.1 можно отметить обновление до свежих стабильных версий пакетов clamav, dpdk, flatpak, galera, gnome-maps, gnome-shell, mariadb, mutter, postgresql и ublock-origin.
Одновременно доступен новый выпуск предыдущей стабильной ветки Debian 10.11, в который включено 55 обновлений с устранением проблем со стабильностью и 50 обновлений с устранением уязвимостей. Из репозитория исключены пакеты birdtray (дополнение потеряло совместимость с актуальной версией Thunderbird) и libprotocol-acme-perl (поддерживает только старую версию протокола ACME).
Сформировано первое корректирующее обновление дистрибутива Debian 11, в которое включены обновления пакетов, выпущенные за два месяца с момента релиза новой ветки, и устранены недоработки в инсталляторе. Выпуск включает 75 обновлений с устранением проблем со стабильностью и 35 обновлений с устранением уязвимостей. Из изменений в Debian 11.1 можно отметить обновление до свежих стабильных версий пакетов clamav, dpdk, flatpak, galera, gnome-maps, gnome-shell, mariadb, mutter, postgresql и ublock-origin.
Одновременно доступен новый выпуск предыдущей стабильной ветки Debian 10.11, в который включено 55 обновлений с устранением проблем со стабильностью и 50 обновлений с устранением уязвимостей. Из репозитория исключены пакеты birdtray (дополнение потеряло совместимость с актуальной версией Thunderbird) и libprotocol-acme-perl (поддерживает только старую версию протокола ACME).
Выпуск ROSA Fresh 12 на новой платформе rosa2021.1
Компания НТЦ ИТ РОСА выпустила дистрибутив ROSA Fresh 12 на базе новой платформы rosa2021.1. ROSA Fresh 12 позиционируется как первый выпуск, демонстрирующий возможности новой платформы. Этот релиз предназначен прежде всего для энтузиастов Linux и содержит свежие версии программного обеспечения. В настоящий момент официально сформирован только образ со средой рабочего стола KDE Plasma 5.
Некоторые особенности новой платформы rosa2021.1:
— Осуществлён переход с пакетных менеджеров RPM 5 и urpmi на RPM 4 и dnf, что позволило сделать работу пакетной системы гораздо стабильнее и предсказуемее.
— Обновлена пакетная база. В том числе обновлены Glibc 2.33 (в режиме обратной совместимости с ядрами Linux до 4.14.x), GCC 11.2, systemd 249+.
— Добавлена полноценная поддержка платформы aarch64 (ARMv8), в том числе российских процессоров «Байкал-М».
— 32-битная архитектура x86 переименована из i586 в i686.
— Улучшена минимальная базовая система, значительно уменьшен её размер, обеспечена поставка регулярных сборок минимальных rootfs для всех трёх поддерживаемых архитектур, которые можно использовать для создания контейнеров на базе платформы rosa2021.1 или для установки системы.
И другие изменения.
Компания НТЦ ИТ РОСА выпустила дистрибутив ROSA Fresh 12 на базе новой платформы rosa2021.1. ROSA Fresh 12 позиционируется как первый выпуск, демонстрирующий возможности новой платформы. Этот релиз предназначен прежде всего для энтузиастов Linux и содержит свежие версии программного обеспечения. В настоящий момент официально сформирован только образ со средой рабочего стола KDE Plasma 5.
Некоторые особенности новой платформы rosa2021.1:
— Осуществлён переход с пакетных менеджеров RPM 5 и urpmi на RPM 4 и dnf, что позволило сделать работу пакетной системы гораздо стабильнее и предсказуемее.
— Обновлена пакетная база. В том числе обновлены Glibc 2.33 (в режиме обратной совместимости с ядрами Linux до 4.14.x), GCC 11.2, systemd 249+.
— Добавлена полноценная поддержка платформы aarch64 (ARMv8), в том числе российских процессоров «Байкал-М».
— 32-битная архитектура x86 переименована из i586 в i686.
— Улучшена минимальная базовая система, значительно уменьшен её размер, обеспечена поставка регулярных сборок минимальных rootfs для всех трёх поддерживаемых архитектур, которые можно использовать для создания контейнеров на базе платформы rosa2021.1 или для установки системы.
И другие изменения.
Релиз рабочего стола KDE Plasma 5.23
Выпуск приурочен ко дню 25-летия проекта - 14 октября 1996 года Маттиас Эттрих объявил о создании нового свободного десктоп-окружения, ориентированного на конечных пользователей, а не на программистов или системных администраторов, и способного конкурировать с доступными в то время коммерческими продуктами, такими как CDE.
Некоторые изменения:
— В теме оформления Breeze изменён дизайн кнопок, элементов меню, переключателей, ползунков и полос прокрутки.
— Значительно переработан код с реализацией нового меню Kickoff, повышена производительность и устранены мешающие работе ошибки.
— В интерфейсе показа уведомлений предоставлена поддержка копирования текста в буфер обмена при помощи комбинации клавиш Ctrl+C.
— Предоставлена возможность быстрого переключения между профилями энергопотребления: "экономия энергии", "высокая производительность" и "сбалансированные настройки".
— В системном мониторе и виджетах для показа состояния датчиков обеспечено отображение усреднённого показателя нагрузки (LA, load average).
И другие изменения.
Выпуск приурочен ко дню 25-летия проекта - 14 октября 1996 года Маттиас Эттрих объявил о создании нового свободного десктоп-окружения, ориентированного на конечных пользователей, а не на программистов или системных администраторов, и способного конкурировать с доступными в то время коммерческими продуктами, такими как CDE.
Некоторые изменения:
— В теме оформления Breeze изменён дизайн кнопок, элементов меню, переключателей, ползунков и полос прокрутки.
— Значительно переработан код с реализацией нового меню Kickoff, повышена производительность и устранены мешающие работе ошибки.
— В интерфейсе показа уведомлений предоставлена поддержка копирования текста в буфер обмена при помощи комбинации клавиш Ctrl+C.
— Предоставлена возможность быстрого переключения между профилями энергопотребления: "экономия энергии", "высокая производительность" и "сбалансированные настройки".
— В системном мониторе и виджетах для показа состояния датчиков обеспечено отображение усреднённого показателя нагрузки (LA, load average).
И другие изменения.
Microsoft портировала Sysmon для Linux и открыла его код
Microsoft портировала на платформу Linux сервис мониторинга активности в системе Sysmon. Для отслеживания работы Linux применяется подсистема eBPF, позволяющая запускать обработчики, работающие на уровне ядра операционной системы. Отдельно развивается библиотека SysinternalsEBPF, включающая функции, полезные для создания BPF-обработчиков для мониторинга событий в системе. Код инструментария открыт под лицензией MIT, а BPF-программы под лицензией GPLv2. В репозитории packages.microsoft.com размещены готовые пакеты RPM и DEB, подходящие для популярных дистрибутивов Linux.
Sysmon позволяет вести лог с детализированной информацией о создании и завершении процессов, сетевых соединениях и манипуляциях с файлами. В логе сохраняются не только общие сведения, но и информация, полезная для разбора связанных с безопасностью инцидентов.
Microsoft портировала на платформу Linux сервис мониторинга активности в системе Sysmon. Для отслеживания работы Linux применяется подсистема eBPF, позволяющая запускать обработчики, работающие на уровне ядра операционной системы. Отдельно развивается библиотека SysinternalsEBPF, включающая функции, полезные для создания BPF-обработчиков для мониторинга событий в системе. Код инструментария открыт под лицензией MIT, а BPF-программы под лицензией GPLv2. В репозитории packages.microsoft.com размещены готовые пакеты RPM и DEB, подходящие для популярных дистрибутивов Linux.
Sysmon позволяет вести лог с детализированной информацией о создании и завершении процессов, сетевых соединениях и манипуляциях с файлами. В логе сохраняются не только общие сведения, но и информация, полезная для разбора связанных с безопасностью инцидентов.
Выпуск дистрибутива Devuan 4.0, форка Debian без systemd
Новая ветка примечательна переходом на пакетную базу Debian 11 "Bullseye". В рамках проекта созданы ответвления около 400 пакетов Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы для создания специализированных сборок Debian без systemd.
Рабочий стол по умолчанию основан на Xfce и дисплейном менеджере Slim. Опционально доступны для установки KDE, MATE, Cinnamon, LXQt и LXDE. Вместо systemd поставляется классическая система инициализации SysVinit, а также опционально системы openrc и runit. Предусмотрена возможность работы без D-Bus, которая позволяет создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Вместо systemd-udev задействован eudev, форк udev от проекта Gentoo. Для управления пользовательскими сеансами в Xfce и MATE используется consolekit, а в остальных рабочих столах применяется elogind, вариант logind, не привязанный к systemd.
Новая ветка примечательна переходом на пакетную базу Debian 11 "Bullseye". В рамках проекта созданы ответвления около 400 пакетов Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы для создания специализированных сборок Debian без systemd.
Рабочий стол по умолчанию основан на Xfce и дисплейном менеджере Slim. Опционально доступны для установки KDE, MATE, Cinnamon, LXQt и LXDE. Вместо systemd поставляется классическая система инициализации SysVinit, а также опционально системы openrc и runit. Предусмотрена возможность работы без D-Bus, которая позволяет создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Вместо systemd-udev задействован eudev, форк udev от проекта Gentoo. Для управления пользовательскими сеансами в Xfce и MATE используется consolekit, а в остальных рабочих столах применяется elogind, вариант logind, не привязанный к systemd.
Выпуск дистрибутива Ubuntu Web 20.04.3
Дистрибутив нацелен на создание похожего на Chrome OS окружения, оптимизированного для работы с web-браузером и запуска web-приложений в форме обособленных программ. Выпуск основан на пакетной базе Ubuntu 20.04.3 с рабочим столом GNOME. Браузерное окружение для выполнение web-приложений базируется на Firеfox. Размер загрузочного iso-образа 2.5 ГБ.
Особенностью новой версии является предоставление окружения для выполнения Android-приложений, построенное с использованием пакета Waydroid, позволяющего в обычном Linux-дистрибутиве сформировать изолированное окружение для загрузки полного системного образа платформы Android. В Waydroid-окружении предлагается /e/ 10, ответвление от платформы Android 10. Поддерживается установка Android- и web-приложений (PWA), распространяемых для платформы /e/. Android-приложения могут запускаться бок о бок с web-приложениями и родными приложениями для Linux.
Дистрибутив развивает Rudra Saraswat, одиннадцатилетний подросток из Индии, известный созданием дистрибутива Ubuntu Unity и разработкой проекта UnityX, форка рабочего стола Unity7.
Дистрибутив нацелен на создание похожего на Chrome OS окружения, оптимизированного для работы с web-браузером и запуска web-приложений в форме обособленных программ. Выпуск основан на пакетной базе Ubuntu 20.04.3 с рабочим столом GNOME. Браузерное окружение для выполнение web-приложений базируется на Firеfox. Размер загрузочного iso-образа 2.5 ГБ.
Особенностью новой версии является предоставление окружения для выполнения Android-приложений, построенное с использованием пакета Waydroid, позволяющего в обычном Linux-дистрибутиве сформировать изолированное окружение для загрузки полного системного образа платформы Android. В Waydroid-окружении предлагается /e/ 10, ответвление от платформы Android 10. Поддерживается установка Android- и web-приложений (PWA), распространяемых для платформы /e/. Android-приложения могут запускаться бок о бок с web-приложениями и родными приложениями для Linux.
Дистрибутив развивает Rudra Saraswat, одиннадцатилетний подросток из Индии, известный созданием дистрибутива Ubuntu Unity и разработкой проекта UnityX, форка рабочего стола Unity7.
Представлен смартфон PinePhone Pro, поставляемый с KDE Plasma Mobile
Сообщество Pine64 представило смартфон PinePhone Pro, при подготовке которого был учтён опыт производства первой модели PinePhone и пожелания пользователей. PinePhone Pro позиционируется как устройство для энтузиастов, которые хотят получить полностью контролируемое и защищённое окружение на базе альтернативных открытых Linux-платформ. Стоимость устройства составит 399 долларов. Начало массового производства запланировано на ноябрь.
PinePhone Pro построен на основе SoC Rockchip RK3399S с двумя ядрами ARM Cortex-A72 и четырьмя ядрами ARM Cortex-A53, работающими на частоте 1.5GHz, а также с четырёхядерным GPU ARM Mali T860 (500MHz). Примечательно, что совместно с инженерами компании Rockchip специально для PinePhone Pro был разработан новый вариант чипа RK3399 - RK3399S, в котором реализованы дополнительные техники энергосбережения и особый режим сна, позволяющий принимать звонки и SMS.
Устройство оснащено 4 GB ОЗУ, 128GB eMMC (внутренний) и двумя камерами (5 Mpx OmniVision OV5640 и 13Mpx Sony IMX258). Как и в прошлой модели использован 6-дюймовый IPS-экран с разрешением 1440x720, но он лучше защищён благодаря применению стекла Gorilla Glass 4. PinePhone Pro полностью совместим дополнениями, подключаемыми вместо задней крышки, ранее выпущенными для первой модели (по корпусу PinePhone Pro и PinePhone почти не отличимы). Размер 160.8 x 76.6 x 11.1мм. Вес 215 гр.
По умолчанию PinePhone Pro будет комплектоваться дистрибутивом Manjaro Linux с пользовательским окружением KDE Plasma Mobile, но разработчики также работают над созданием альтернативных сборок.
Сообщество Pine64 представило смартфон PinePhone Pro, при подготовке которого был учтён опыт производства первой модели PinePhone и пожелания пользователей. PinePhone Pro позиционируется как устройство для энтузиастов, которые хотят получить полностью контролируемое и защищённое окружение на базе альтернативных открытых Linux-платформ. Стоимость устройства составит 399 долларов. Начало массового производства запланировано на ноябрь.
PinePhone Pro построен на основе SoC Rockchip RK3399S с двумя ядрами ARM Cortex-A72 и четырьмя ядрами ARM Cortex-A53, работающими на частоте 1.5GHz, а также с четырёхядерным GPU ARM Mali T860 (500MHz). Примечательно, что совместно с инженерами компании Rockchip специально для PinePhone Pro был разработан новый вариант чипа RK3399 - RK3399S, в котором реализованы дополнительные техники энергосбережения и особый режим сна, позволяющий принимать звонки и SMS.
Устройство оснащено 4 GB ОЗУ, 128GB eMMC (внутренний) и двумя камерами (5 Mpx OmniVision OV5640 и 13Mpx Sony IMX258). Как и в прошлой модели использован 6-дюймовый IPS-экран с разрешением 1440x720, но он лучше защищён благодаря применению стекла Gorilla Glass 4. PinePhone Pro полностью совместим дополнениями, подключаемыми вместо задней крышки, ранее выпущенными для первой модели (по корпусу PinePhone Pro и PinePhone почти не отличимы). Размер 160.8 x 76.6 x 11.1мм. Вес 215 гр.
По умолчанию PinePhone Pro будет комплектоваться дистрибутивом Manjaro Linux с пользовательским окружением KDE Plasma Mobile, но разработчики также работают над созданием альтернативных сборок.
Выпуск файлового менеджера Double Commander 1.0.0
Double Commander пытается повторить функциональность Total Commander и обеспечить совместимость с его плагинами. Предлагается три варианта интерфейса пользователя - на базе GTK2, Qt4 и Qt5. Из особенностей можно отметить выполнение всех операций в фоновом режиме, поддержку переименования группы файлов по маске, интерфейс на базе вкладок, двухпанельный режим с вертикальным или горизонтальным размещением панелей, встроенный текстовый редактор с подсветкой синтаксиса, работа с архивами как с виртуальными директориями, расширенные средства поиска, настраиваемая панель, поддержка плагинов Total Commander в форматах WCX, WDX и WLX, функция ведения лога файловых операций.
Основные изменения:
— Разработка кодовой базы перенесена c Sourceforge на GitHub.
— Добавлен режим выполнения файловых операций с повышенными привилегиями (с правами администратора).
— Обеспечено копирование расширенных атрибутов файлов.
— Реализована вертикальная панель инструментов, размещаемая между панелями.
— Добавлена функция поиска дубликатов.
— Добавлен режим Flat view (вид без подкаталогов), работающий только для выделенных файлов и каталогов.
И другие изменения.
Double Commander пытается повторить функциональность Total Commander и обеспечить совместимость с его плагинами. Предлагается три варианта интерфейса пользователя - на базе GTK2, Qt4 и Qt5. Из особенностей можно отметить выполнение всех операций в фоновом режиме, поддержку переименования группы файлов по маске, интерфейс на базе вкладок, двухпанельный режим с вертикальным или горизонтальным размещением панелей, встроенный текстовый редактор с подсветкой синтаксиса, работа с архивами как с виртуальными директориями, расширенные средства поиска, настраиваемая панель, поддержка плагинов Total Commander в форматах WCX, WDX и WLX, функция ведения лога файловых операций.
Основные изменения:
— Разработка кодовой базы перенесена c Sourceforge на GitHub.
— Добавлен режим выполнения файловых операций с повышенными привилегиями (с правами администратора).
— Обеспечено копирование расширенных атрибутов файлов.
— Реализована вертикальная панель инструментов, размещаемая между панелями.
— Добавлена функция поиска дубликатов.
— Добавлен режим Flat view (вид без подкаталогов), работающий только для выделенных файлов и каталогов.
И другие изменения.
Раскрыта техника эксплуатации уязвимости CVE-2020-29661 в tty-подсистеме ядра Linux
Вызывающая проблему ошибка устранена в ядре Linux ещё 3 декабря прошлого года. Проблема проявляется в ядрах до версии 5.9.13, но большинство дистрибутивов устранили проблему (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch).
Проблема вызвана ошибкой при установке блокировок, приводящей к состоянию гонки в коде drivers/tty/tty_jobctrl.c. Это состояние удалось использовать для создания условий обращения к памяти после её освобождения (use-after-free), эксплуатируемых из пространства пользователя через манипуляции с ioct-вызовом TIOCSPGRP.
Какие же инструменты в ядре существуют для защиты от подобных уязвимостей? Вывод делается неутешительный, методы типа сегментирования памяти в куче и контроля за обращением к памяти после её освобождения не применяются на практике, так как приводят к снижению производительности, а защита на основе CFI (Control Flow Integrity), блокирующая эксплоиты на поздних стадиях атаки, требует доработки.
В долгосрочной перспективе выделяется применение продвинутых статических анализаторов или использование языков, обеспечивающих безопасную работу с памятью, таких как Rust и диалекты языка Си с расширенными аннотациями. Из методов защиты также упоминается активация режима panic_on_oops, перевод структур ядра в режим только для чтения и ограничение доступа к системным вызовам при помощи таких механизмов, как seccomp.
Вызывающая проблему ошибка устранена в ядре Linux ещё 3 декабря прошлого года. Проблема проявляется в ядрах до версии 5.9.13, но большинство дистрибутивов устранили проблему (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch).
Проблема вызвана ошибкой при установке блокировок, приводящей к состоянию гонки в коде drivers/tty/tty_jobctrl.c. Это состояние удалось использовать для создания условий обращения к памяти после её освобождения (use-after-free), эксплуатируемых из пространства пользователя через манипуляции с ioct-вызовом TIOCSPGRP.
Какие же инструменты в ядре существуют для защиты от подобных уязвимостей? Вывод делается неутешительный, методы типа сегментирования памяти в куче и контроля за обращением к памяти после её освобождения не применяются на практике, так как приводят к снижению производительности, а защита на основе CFI (Control Flow Integrity), блокирующая эксплоиты на поздних стадиях атаки, требует доработки.
В долгосрочной перспективе выделяется применение продвинутых статических анализаторов или использование языков, обеспечивающих безопасную работу с памятью, таких как Rust и диалекты языка Си с расширенными аннотациями. Из методов защиты также упоминается активация режима panic_on_oops, перевод структур ядра в режим только для чтения и ограничение доступа к системным вызовам при помощи таких механизмов, как seccomp.