Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
Леннарт Поттеринг опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов. Оно нацелено на упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image). Он объединяет образ ядра Linux, обработчик для загрузки ядра из UEFI и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС.
Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память.
📌Основные цели внедрения новой архитектуры загрузки:
- Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
- Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
- Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
- Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
- Упрощение и повышение надёжности обновлений.
- Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
- Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
- Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
- Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
- Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.
Леннарт Поттеринг опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов. Оно нацелено на упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image). Он объединяет образ ядра Linux, обработчик для загрузки ядра из UEFI и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС.
Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память.
📌Основные цели внедрения новой архитектуры загрузки:
- Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
- Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
- Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
- Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
- Упрощение и повышение надёжности обновлений.
- Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
- Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
- Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
- Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
- Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.
👎23👍13😱2🌚1
Разработчики проекта Fedora объявили о переносе релиза Fedora 37 на 15 ноября в связи с необходимостью устранения критической уязвимости в библиотеке OpenSSL. Так как данные о сути уязвимости будут раскрыты только 1 ноября и непонятно сколько времени потребуется для реализации защиты в дистрибутиве решено отложить выпуск на 2 недели.
В настоящее время в финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Помимо необходимости устранения уязвимости в openssl, упоминается зависание композитного менеджера kwin при запуске сеанса KDE Plasma на базе Wayland при выставлении режима nomodeset (базовая графика) в UEFI и зависание приложения gnome-calendar при редактировании повторяющихся событий.
В настоящее время в финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Помимо необходимости устранения уязвимости в openssl, упоминается зависание композитного менеджера kwin при запуске сеанса KDE Plasma на базе Wayland при выставлении режима nomodeset (базовая графика) в UEFI и зависание приложения gnome-calendar при редактировании повторяющихся событий.
❤12👍5🤯1
Дистрибутив openSUSE предложил протестировать новый инсталлятор
Разработчики проекта openSUSE предложили пользователям принять участие в тестировании нового инсталлятора D-Installer. Загруженный образ позволяет установить три платформы: стабильный релиз openSUSE Leap 15.4, непрерывно обновляемую сборку openSUSE Tumbleweed и редакцию Leap Micro 5.2, построенную на базе изолированных контейнеров (только для x86_64).
Новый инсталлятор примечателен отделением пользовательского интерфейса от внутренних компонентов YaST и предоставлением возможности использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс.
Среди целей разработки D-Installer упоминается устранение имеющихся ограничений графического интерфейса, расширение возможностей по использованию функциональности YaST в других приложениях, уход от привязки к одному языку программирования (D-Bus API позволит создавать надстройки на разных языках) и стимулирование создания альтернативных настроек представителями сообщества.
Разработчики проекта openSUSE предложили пользователям принять участие в тестировании нового инсталлятора D-Installer. Загруженный образ позволяет установить три платформы: стабильный релиз openSUSE Leap 15.4, непрерывно обновляемую сборку openSUSE Tumbleweed и редакцию Leap Micro 5.2, построенную на базе изолированных контейнеров (только для x86_64).
Новый инсталлятор примечателен отделением пользовательского интерфейса от внутренних компонентов YaST и предоставлением возможности использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс.
Среди целей разработки D-Installer упоминается устранение имеющихся ограничений графического интерфейса, расширение возможностей по использованию функциональности YaST в других приложениях, уход от привязки к одному языку программирования (D-Bus API позволит создавать надстройки на разных языках) и стимулирование создания альтернативных настроек представителями сообщества.
👍12👎1
В дерево исходных текстов FreeBSD приняты изменения с новой реализацией VPN WireGuard. Она основана на коде модуля ядра, совместно подготовленного основными командами разработчиков FreeBSD и WireGuard.
Перед принятием кода при поддержке организации FreeBSD Foundation было проведено полное рецензирование изменений, в ходе которого также было проанализировано взаимодействие драйвера с остальными подсистемами ядра и оценена возможность задействования предоставляемых ядром криптографических примитивов.
Перед принятием кода при поддержке организации FreeBSD Foundation было проведено полное рецензирование изменений, в ходе которого также было проанализировано взаимодействие драйвера с остальными подсистемами ядра и оценена возможность задействования предоставляемых ядром криптографических примитивов.
👍18👎2
Для Haiku реализована прослойка для совместимости с Wayland
Для открытой операционной системы Haiku подготовлена прослойка для обеспечения совместимости с Wayland, позволяющая запускать тулкиты и приложения, использующие данный протокол, в том числе приложения на базе библиотеки GTK.
Прослойка предоставляет библиотеку libwayland-client.so, основанную на коде libwayland и совместимую на уровне API и ABI, что позволяет запускать приложения Wayland без изменений. В отличие от типовых композитных серверов Wayland, прослойке не запускается в форме отдельного серверного процесса, а загружается как плагин к клиентским процессам. Вместо сокетов в сервере используется нативный цикл обработки сообщений на основе BLooper.
Для открытой операционной системы Haiku подготовлена прослойка для обеспечения совместимости с Wayland, позволяющая запускать тулкиты и приложения, использующие данный протокол, в том числе приложения на базе библиотеки GTK.
Прослойка предоставляет библиотеку libwayland-client.so, основанную на коде libwayland и совместимую на уровне API и ABI, что позволяет запускать приложения Wayland без изменений. В отличие от типовых композитных серверов Wayland, прослойке не запускается в форме отдельного серверного процесса, а загружается как плагин к клиентским процессам. Вместо сокетов в сервере используется нативный цикл обработки сообщений на основе BLooper.
👍17🤡1
В утилите ntfs-3g из набора NTFS-3G, предлагающего работающую в пространстве пользователя реализацию файловой системы NTFS, выявлена уязвимость CVE-2022-40284. Она потенциально позволяет выполнить код с правами root в системе при монтировании специально оформленного раздела. Уязвимость устранена в выпуске NTFS-3G 2022.10.3.
Уязвимость вызвана ошибкой в коде разбора метаданных в NTFS-разделах, приводящий к переполнению буфера при обработке определённым образом оформленных образов с ФС NTFS. Атака может быть совершена при монтировании пользователем образа или накопителя, подготовленного атакующим, или при подключении к компьютеру USB Flash со специально оформленным разделом. Рабочие эксплоиты для указанной уязвимости пока не продемонстрированы.
Уязвимость вызвана ошибкой в коде разбора метаданных в NTFS-разделах, приводящий к переполнению буфера при обработке определённым образом оформленных образов с ФС NTFS. Атака может быть совершена при монтировании пользователем образа или накопителя, подготовленного атакующим, или при подключении к компьютеру USB Flash со специально оформленным разделом. Рабочие эксплоиты для указанной уязвимости пока не продемонстрированы.
😁17👍3
Ключевым изменением в новой версии стала интеграция поддержки модернизированного процесса загрузки, позволяющего верифицировать по цифровым подписям не только ядро и загрузчик, но и компоненты базового системного окружения.
Предложенный метод подразумевает использование при загрузке унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС.
UKI-образ оформляется в виде одного исполняемого файла в формате PE, который может быть загружен при помощи традиционных загрузчиков или напрямую вызван из прошивки UEFI. При вызове из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd.
Предложенный метод подразумевает использование при загрузке унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС.
UKI-образ оформляется в виде одного исполняемого файла в формате PE, который может быть загружен при помощи традиционных загрузчиков или напрямую вызван из прошивки UEFI. При вызове из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd.
👎8🌚5👍2🔥2👌1
- Добавлена поддержка обобщённых ассоциированных типов (GAT, Generic Associated Types), дающие возможность создавать псевдонимы типов, ассоциированные с другим типом, и позволяющие связывать конструкторы типов с типажами.
- Реализовано выражение "let ... else", позволяющее проверять условие соответствия шаблону непосредственно внутри выражения "let" и выполнять произвольный код, если шаблон не совпадает.
- Разрешено использование выражения break для преждевременного выхода из именованных блоков, используя имя блока (метку) для определения завершаемого блока.
- Для Linux добавлена возможность раздельного сохранения отладочной информации (split-debuginfo), ранее доступная только для платформы macOS.
И другие изменения.
- Реализовано выражение "let ... else", позволяющее проверять условие соответствия шаблону непосредственно внутри выражения "let" и выполнять произвольный код, если шаблон не совпадает.
- Разрешено использование выражения break для преждевременного выхода из именованных блоков, используя имя блока (метку) для определения завершаемого блока.
- Для Linux добавлена возможность раздельного сохранения отладочной информации (split-debuginfo), ранее доступная только для платформы macOS.
И другие изменения.
👍7😍1
Опубликован корректирующий релиз библиотеки Pixman 0.42.2, которая применяется для низкоуровневой отрисовки графики во многих открытых проектах, в том числе в X. Org, Cairo, Firefox и композитных менеджерах на основе протокола Wayland. В новой версии устранена опасная уязвимость (CVE-2022-44638), приводящая к переполнению буфера при обработке пиксельных данных c параметрами, приводящими к целочисленному переполнению.
Исследователями опубликован прототип эксплоита, демонстрирующий возможность контролируемой записи данных за пределы выделенного буфера. Не исключается использование уязвимости для организации выполнения кода атакующего. Проследить за публикацией исправлений дистрибутивами можно на данных страницах: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD.
Исследователями опубликован прототип эксплоита, демонстрирующий возможность контролируемой записи данных за пределы выделенного буфера. Не исключается использование уязвимости для организации выполнения кода атакующего. Проследить за публикацией исправлений дистрибутивами можно на данных страницах: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD.
👍4🔥3
Подготовлен новый дистрибутив Static Linux, основанный Alpine Linux, musl libc и BusyBox, и примечательный поставкой в виде образа, работающего из оперативной памяти и загружаемого напрямую из UEFI. В образ входят оконный менеджер JWM, Firefox, Transmission, утилиты для восстановления данных ddrescue, testdisk, photorec. На данный момент статически собрано 210 пакетов, но в будущем их число планируют увеличить.
Ядро и корневая файловая система упакованы в единый файл для запуска на системах с загрузкой через UEFI (Secure Boot не поддерживается). Для установки достаточно загрузить файл bootx64.efi (222 МБ) и разместить его на отформатированный в FAT32 диск в директории X:/efi/boot/bootx64.efi. Дополнительно подготовлена версия с графическим окружением на базе Wayland (156 МБ), в которой задействованы ядро Linux 6.0.3, labwc, yambar, weston-terminal, mpv, обеспечена работа libinput без udev.
Ядро и корневая файловая система упакованы в единый файл для запуска на системах с загрузкой через UEFI (Secure Boot не поддерживается). Для установки достаточно загрузить файл bootx64.efi (222 МБ) и разместить его на отформатированный в FAT32 диск в директории X:/efi/boot/bootx64.efi. Дополнительно подготовлена версия с графическим окружением на базе Wayland (156 МБ), в которой задействованы ядро Linux 6.0.3, labwc, yambar, weston-terminal, mpv, обеспечена работа libinput без udev.
🔥21👍3
Выпуск engge2, открытого движка для игры Thimbleweed Park
Опубликован выпуск открытого игрового движка engge2 2.0, который можно использовать вместо проприетарного движка для прохождения квеста Thimbleweed Park. Для работы требуются файлы с игровыми ресурсами, входящие в оригинальную поставку Thimbleweed Park. Код движка написан на языках Lua и Nim, и распространяется под лицензией MIT.
Движок engge2 продолжает развитие проекта engge и отличается полным переписыванием с нуля и переходом на использование языков Lua и Nim. Версия 2.0 является первым выпуском проекта, номер 1.0 был пропущен для более явного отделения от старого движка, в котором использовался язык C++. Для работы с графикой в engge2 задействована библиотека SDL2 и пакет NimGL, графический интерфейс пользователя построен на фреймворке ImGui.
Опубликован выпуск открытого игрового движка engge2 2.0, который можно использовать вместо проприетарного движка для прохождения квеста Thimbleweed Park. Для работы требуются файлы с игровыми ресурсами, входящие в оригинальную поставку Thimbleweed Park. Код движка написан на языках Lua и Nim, и распространяется под лицензией MIT.
Движок engge2 продолжает развитие проекта engge и отличается полным переписыванием с нуля и переходом на использование языков Lua и Nim. Версия 2.0 является первым выпуском проекта, номер 1.0 был пропущен для более явного отделения от старого движка, в котором использовался язык C++. Для работы с графикой в engge2 задействована библиотека SDL2 и пакет NimGL, графический интерфейс пользователя построен на фреймворке ImGui.
👍8👎1😢1