Сформированы новые загрузочные сборки дистрибутива Void Linux, который является самостоятельным проектом, не использующим наработки других дистрибутивов и разрабатываемый с применением непрерывного цикла обновления версий программ (rolling-обновления, без отдельных релизов дистрибутива).
Кроме появления актуальных загрузочных образов на основе более свежего среза системы обновление сборок функциональных изменений не несёт и их использование имеет смысл только для новых установок.
Кроме появления актуальных загрузочных образов на основе более свежего среза системы обновление сборок функциональных изменений не несёт и их использование имеет смысл только для новых установок.
🎉7👍4🥴3
В библиотеке LibKSBA выявлена критическая уязвимость (CVE-2022-3515), приводящая к целочисленному переполнению и записи произвольных данных за пределы выделенного буфера при разборе структур ASN.1, используемых в S/MIME, X.509 и CMS.
Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо.
Уязвимость также может использоваться для атаки на серверы dirmngr, занимающиеся загрузкой и разбором списков отозванных сертификатов (CRLs) и верификацией сертификатов, применяемых в TLS.
Уязвимость устранена в выпуске Libksba 1.6.2 и в бинарных сборках GnuPG 2.3.8.
Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо.
Уязвимость также может использоваться для атаки на серверы dirmngr, занимающиеся загрузкой и разбором списков отозванных сертификатов (CRLs) и верификацией сертификатов, применяемых в TLS.
Уязвимость устранена в выпуске Libksba 1.6.2 и в бинарных сборках GnuPG 2.3.8.
🤬11🤣3👍2😢2
Первый выпуск libcamera, стека для поддержки камер в Linux
После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1). Он предлагает программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, продолжает развитие API V4L2 и со временем заменит его. Код проекта написан на C++ и распространяется под лицензией LGPLv2.1.
Проект развивается с целью нормализации ситуации с поддержкой в Linux камер для смартфонов и встраиваемых устройств, которые привязаны к проприетарным драйверам. Уже имеющийся в ядре Linux API V4L2 в своё время был создан в расчёте на работу с традиционными обособленными web-камерами и плохо адаптирован для появившейся в последнее время тенденции выноса функциональности MCU на плечи CPU.
Библиотека также предоставляет доступ к алгоритмам для обработки и улучшения качества изображений и видео (корректировка баланса белого, устранение шума, стабилизация видео, автофокус, выбор экспозиции и т.п.), которые могут подключаться в виде открытых внешних библиотек или проприетарных изолированных модулей.
После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1). Он предлагает программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, продолжает развитие API V4L2 и со временем заменит его. Код проекта написан на C++ и распространяется под лицензией LGPLv2.1.
Проект развивается с целью нормализации ситуации с поддержкой в Linux камер для смартфонов и встраиваемых устройств, которые привязаны к проприетарным драйверам. Уже имеющийся в ядре Linux API V4L2 в своё время был создан в расчёте на работу с традиционными обособленными web-камерами и плохо адаптирован для появившейся в последнее время тенденции выноса функциональности MCU на плечи CPU.
Библиотека также предоставляет доступ к алгоритмам для обработки и улучшения качества изображений и видео (корректировка баланса белого, устранение шума, стабилизация видео, автофокус, выбор экспозиции и т.п.), которые могут подключаться в виде открытых внешних библиотек или проприетарных изолированных модулей.
👍30🔥1
Уязвимость в подсистеме io_uring ядра Linux, позволяющая повысить привилегии в системе
В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-2602), позволяющая непривилегированному пользователю получить права root в системе.
▪️Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15.
Уязвимость вызвана обращением к уже освобождённому блоку памяти в подсистеме io_uring, которое возникает в результате состояния гонки при обработке запроса io_uring над целевым файлом во время выполнения сборки мусора для Unix-сокетов, если сборщик мусора освобождает все зарегистрированные файловые дескрипторы и файловый дескриптор с которым работает io_uring.
▫️Для искусственного создания условий проявления уязвимости можно задержать запрос при помощи userfaultfd до момента, когда сработает освобождение памяти сборщиком мусора.
Выявившие проблему исследователи объявили о создании рабочего эксплоита, который намерены опубликовать 25 октября, чтобы дать пользователям время на установку обновлений. Исправление пока доступно в виде патча. Обновления для дистрибутивов пока не выпущены.
В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-2602), позволяющая непривилегированному пользователю получить права root в системе.
▪️Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15.
Уязвимость вызвана обращением к уже освобождённому блоку памяти в подсистеме io_uring, которое возникает в результате состояния гонки при обработке запроса io_uring над целевым файлом во время выполнения сборки мусора для Unix-сокетов, если сборщик мусора освобождает все зарегистрированные файловые дескрипторы и файловый дескриптор с которым работает io_uring.
▫️Для искусственного создания условий проявления уязвимости можно задержать запрос при помощи userfaultfd до момента, когда сработает освобождение памяти сборщиком мусора.
Выявившие проблему исследователи объявили о создании рабочего эксплоита, который намерены опубликовать 25 октября, чтобы дать пользователям время на установку обновлений. Исправление пока доступно в виде патча. Обновления для дистрибутивов пока не выпущены.
😁6👍1
Выпуск Ubuntu 22.10
Доступен релиз дистрибутива Ubuntu 22.10 "Kinetic Kudu", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Некоторые изменения:
- Рабочий стол обновлён до выпуска GNOME 43, в котором появился блок с кнопками для быстрого изменения наиболее часто используемых настроек, продолжен перевод приложений на использование GTK 4 и библиотеки libadwaita, обновлён файловый менеджер Nautilus, добавлены настройки безопасности оборудования и прошивок, возвращена поддержка самодостаточных web-приложений в формате PWA (Progressive Web Apps).
- Произведён переход на использование по умолчанию мультимедийного сервера PipeWire для обработки звука.
- По умолчанию предложен новый текстовый редактор "GNOME Text Editor", реализованный с использованием GTK 4 и библиотеки libadwaita.
И другие изменения
Доступен релиз дистрибутива Ubuntu 22.10 "Kinetic Kudu", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Некоторые изменения:
- Рабочий стол обновлён до выпуска GNOME 43, в котором появился блок с кнопками для быстрого изменения наиболее часто используемых настроек, продолжен перевод приложений на использование GTK 4 и библиотеки libadwaita, обновлён файловый менеджер Nautilus, добавлены настройки безопасности оборудования и прошивок, возвращена поддержка самодостаточных web-приложений в формате PWA (Progressive Web Apps).
- Произведён переход на использование по умолчанию мультимедийного сервера PipeWire для обработки звука.
- По умолчанию предложен новый текстовый редактор "GNOME Text Editor", реализованный с использованием GTK 4 и библиотеки libadwaita.
И другие изменения
👍22👎7❤3
AntiX 22 построен на пакетной базе Debian и ориентирован для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 11, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Сборки подготовлены для архитектур x86_64 и i386.
В новом выпуске:
- Обновлены версии программ, включая ядро Linux 4.9.0-326, IceWM 3 и seamonkey 2.53.14.
- Многие пакеты Debian, в том числе apt, cups, dbus, gvfs, openssh, policykit-1, procps, pulseaudio, rpcbind, rsyslog, samba, sane-backends, udisks2, util-linux, webkit2gtk и xorg-server, пересобраны и избавлены от привязок к libsystemd0 и libelogind0.
- Улучшена локализация.
- Из поставки удалён mps-youtube.
- Modem-manager заменён на Sakis3G.
- Вместо elogind, libpam-elogind и libelogind0 для управления пользовательскими сеансами задействованы seatd и consolekit.
В новом выпуске:
- Обновлены версии программ, включая ядро Linux 4.9.0-326, IceWM 3 и seamonkey 2.53.14.
- Многие пакеты Debian, в том числе apt, cups, dbus, gvfs, openssh, policykit-1, procps, pulseaudio, rpcbind, rsyslog, samba, sane-backends, udisks2, util-linux, webkit2gtk и xorg-server, пересобраны и избавлены от привязок к libsystemd0 и libelogind0.
- Улучшена локализация.
- Из поставки удалён mps-youtube.
- Modem-manager заменён на Sakis3G.
- Вместо elogind, libpam-elogind и libelogind0 для управления пользовательскими сеансами задействованы seatd и consolekit.
👍21👎2🥰2🔥1
Разработчик открытого Linux-драйвера для GPU Apple AGX, используемого в чипах Apple M1, сообщил об успешном прохождении 99.3% тестов из набора dEQP-GLES2, проверяющего уровень поддержки спецификации OpenGL ES 2. В работе использованы два компонента: DRM-драйвер для ядра Linux, написанный на языке Rust, и драйвер для Mesa, написанный на языке Си.
❤🔥34🔥4
Линус Торвальдс предложил прекратить поддержку CPU i486 в ядре Linux
В ходе обсуждения обходных путей работы на процессорах x86, не поддерживающих инструкцию "cmpxchg8b", Линус Торвальдс заявил, что возможно настало время объявить наличие данной инструкции обязательным для работы ядра и отказаться от поддержки процессоров i486, не поддерживающих "cmpxchg8b", вместо того чтобы пытаться эмулировать работу данной инструкции на процессорах, которые уже никто не использует.
В настоящее время почти все дистрибутивы Linux, продолжающие поддержку 32-разрядных систем x86, перешли на сборку ядра с опцией X86_PAE, требующей наличия поддержки "cmpxchg8b".
По мнению Линуса с точки зрения поддержки в ядре процессоры i486 потеряли актуальность, несмотря на то, что они всё ещё встречаются в обиходе. В определённый момент процессоры становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. Пользователи, у которых остаются системы с процессорами i486, смогут использовать LTS-выпуски ядра, которые будут сопровождаться ещё много лет.
Прекращение поддержки классических i486 не затронет выпускавшиеся компанией Intel встроенные процессоры Quark, которые хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b". То же самое относится и к процессорам Vortex86DX. Поддержка процессоров i386 была прекращена в ядре 10 лет назад.
В ходе обсуждения обходных путей работы на процессорах x86, не поддерживающих инструкцию "cmpxchg8b", Линус Торвальдс заявил, что возможно настало время объявить наличие данной инструкции обязательным для работы ядра и отказаться от поддержки процессоров i486, не поддерживающих "cmpxchg8b", вместо того чтобы пытаться эмулировать работу данной инструкции на процессорах, которые уже никто не использует.
В настоящее время почти все дистрибутивы Linux, продолжающие поддержку 32-разрядных систем x86, перешли на сборку ядра с опцией X86_PAE, требующей наличия поддержки "cmpxchg8b".
По мнению Линуса с точки зрения поддержки в ядре процессоры i486 потеряли актуальность, несмотря на то, что они всё ещё встречаются в обиходе. В определённый момент процессоры становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. Пользователи, у которых остаются системы с процессорами i486, смогут использовать LTS-выпуски ядра, которые будут сопровождаться ещё много лет.
Прекращение поддержки классических i486 не затронет выпускавшиеся компанией Intel встроенные процессоры Quark, которые хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b". То же самое относится и к процессорам Vortex86DX. Поддержка процессоров i386 была прекращена в ядре 10 лет назад.
👍47👎5🤔3😢1
Релиз Memtest86+ 6.00 с поддержкой UEFI
Спустя 9 лет с момента формирования прошлой значительной ветки опубликован выпуск программы для тестирования оперативной памяти MemTest86+ 6.00. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти.
Основные новшества:
- Полностью переписан код для загрузки и запуска при использовании прошивок UEFI.
- Добавлена поддержка SDRAM.
- Реализовано определение памяти DDR4 и DDR5.
- Реализовано определение процессоров AMD Zen 1/2/3/4.
- Реализовано определение процессоров Intel вплоть до 13-поколения.
- Улучшена поддержка поколений CPU AMD, предшествующих Zen.
- Добавлена поддержка режима Long Mode Paging.
- Добавлена поддержка до 256 ядер CPU.
- Добавлена поддержка профилей XMP 3.0 (Extreme Memory Profile).
- Добавлена поддержка старых чипсетов NVIDIA и AMD.
Спустя 9 лет с момента формирования прошлой значительной ветки опубликован выпуск программы для тестирования оперативной памяти MemTest86+ 6.00. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти.
Основные новшества:
- Полностью переписан код для загрузки и запуска при использовании прошивок UEFI.
- Добавлена поддержка SDRAM.
- Реализовано определение памяти DDR4 и DDR5.
- Реализовано определение процессоров AMD Zen 1/2/3/4.
- Реализовано определение процессоров Intel вплоть до 13-поколения.
- Улучшена поддержка поколений CPU AMD, предшествующих Zen.
- Добавлена поддержка режима Long Mode Paging.
- Добавлена поддержка до 256 ядер CPU.
- Добавлена поддержка профилей XMP 3.0 (Extreme Memory Profile).
- Добавлена поддержка старых чипсетов NVIDIA и AMD.
👍43🔥3👏3
Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
Леннарт Поттеринг опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов. Оно нацелено на упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image). Он объединяет образ ядра Linux, обработчик для загрузки ядра из UEFI и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС.
Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память.
📌Основные цели внедрения новой архитектуры загрузки:
- Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
- Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
- Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
- Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
- Упрощение и повышение надёжности обновлений.
- Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
- Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
- Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
- Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
- Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.
Леннарт Поттеринг опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов. Оно нацелено на упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image). Он объединяет образ ядра Linux, обработчик для загрузки ядра из UEFI и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС.
Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память.
📌Основные цели внедрения новой архитектуры загрузки:
- Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
- Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
- Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
- Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
- Упрощение и повышение надёжности обновлений.
- Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
- Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
- Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
- Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
- Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.
👎23👍13😱2🌚1