Изменения в Android 15 Beta2 по сравнению со первой бета-версией:

• Расширены возможности для одновременной работы с несколькими приложениями на устройствах с большими экранами. Реализована поддержка добавления на экран панели задач для быстрого переключения между приложениями и закрепления ярлыков наиболее часто используемых программ.
• Добавлена возможность определения отдельной приватной секции с приложениями, появляющейся только после дополнительной аутентификации пользователя. Фактически приложения в данной секции хранятся в отдельном профиле, приостанавливаемом, когда доступ к приложениям не разблокирован (т.е. приложения из данного профиля активны только при разблокировке профиля). При просмотре списка приложений, содержимое приватной секции показывается в отдельном блоке. Связанные с приватными приложениями уведомления и настройки при блокировке скрываются, а созданные и загруженные с использованием данных приложений файлы отделены от файлов основного профиля (доступ к приватному контенту из приложений в основном профиле осуществляется через интерфейсы обмена файлами и доступа к изображениям).
• Предоставлена поддержка отображения персонализированных миниатюр. Приложения могут предоставлять виджетам релевантные для пользователя представления миниатюр, вместо выставленных по умолчанию заглушек.
• По умолчанию на уровне системы задействована визуализация при навигации при помощи экранных жестов, при помощи анимации предупреждающая пользователя о предстоящем действии, например, при сдвиге влево показывающая, что приложение будет свёрнуто и показан домашний экран.
• На базе прослойки ANGLE подготовлена реализация OpenGL ES, работающая поверх графического API Vulkan, который отмечен как приоритетный программный интерфейс для взаимодействия с GPU. Задействование прослойки ANGLE для OpenGL-приложений позволяет улучшить совместимость , а в некоторых ситуациях и повысить производительность. Для включения ANGLE в секцию настроек "Developer options/Experimental" добавлена опция "Enable ANGLE". В 2025 году реализацию OpenGL ES на базе ANGLE планируют активировать по умолчанию, а в 2026 году сделать единственно поддерживаемой.
• Обеспечено использование библиотеки dav1d для программного декодирования видео в формате AV1 на устройствах без поддержки аппаратного ускорения. Библиотека развивается участниками проектов VideoLAN и FFmpeg, и нацелена на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме. В проведённых тестах dav1d в три раза обгоняет по производительности ранее используемый программный декодировщик. Библиотека пока доступна в виде опции, но в одном из следующих обновлений будет предложена по умолчанию.
• В графическую подсистему добавлена поддержка класса Matrix44 для преобразования координат с использованием матрицы 4x4 при манипуляции 2D-поверхностями в 3D-пространстве. Также добавлена функция clipShader для наложения клипа с указанным шейдером.
• Проведена оптимизация работы механизма фоновых сервисов, позволяющего приложениям находиться в активном состоянии, когда с ними не взаимодействует пользователь. Фоновые сервисы, выполняющие синхронизацию данных (dataSync) или обработку мультимедийного контента (mediaProcessing), теперь принудительно останавливаются после работы в течение 6 часов.
• Добавлена поддержка устройств, на которых используются страницы памяти размером 16 КБ. Для задействования 16-килобайтных страниц достаточно просто пересобрать приложения, напрямую или косвенно использующие библиотеки NDK (Native Development Kit). Задействование страниц размером 16 КБ вместо 4 КБ позволяет повысить производительность программ, интенсивно работающих с памятью. Например, при использовании 16-килобайтных страниц время запуска подобных программ в среднем снизилось на 3.16% (для некоторых на 30%), а энегропотребление снизилось на 4.56%. Повторный запуск программы для работы с камерой ускорился на 4.48%, а общее время загрузки системы сократилось на 0.8 сек. (1.5%).
• При предоставлении частичного доступа к контенту в интерфейсе выбора фотографий реализована возможность пометки только фото и видео, которые уже выбирали в недавнем прошлом, что позволяет упростить работу с часто запрашиваемыми фото и видео.
• В конфигураторе (Settings → System → Languages & Input → System languages → Choose how you’re addressed) предоставлена возможность выставления предпочитаемого обращения к пользователю (мужчина, женщина, нейтральное обращение), используемая для адаптации грамматики в выдаваемых системой обращениях. Настройка пока доступна только для французского языка.
• Добавлены дополнительные элементы API для обеспечения плавного перехода в режим "картинка в картинке" программ с элементами интерфейса, отображаемыми поверх основного интерфейса пользователя.
• Предоставлена возможность выбора виброэффекта для предупреждения о поступлении нового уведомления.
• В хранилище Health Connect добавлена поддержка новых типов данных, применяемых при занятиях спортом и контроле за питанием. Например, добавлено поле для контроля за температурой кожи и реализована структура для определения плана тренировок.
• Обеспечена корректная обрезка текста, написанного с использованием шрифтов, воспроизводящих рукописный текст.

1. Главная ссылка к новости
2. OpenNews: Первая бета-версия Android 15
3. OpenNews: Google экспериментирует с запуском Chromium OS в Android
4. OpenNews: Второй предварительный выпуск Android 15
5. OpenNews: Предварительный выпуск Android 15
6. OpenNews: Выпуск мобильной платформы Android 14

Из проблем Vim, побудивших к созданию Neovim, отмечается раздутая монолитная кодовая база, состоящая более чем из 300 тысяч строк кода на языке Си (C89). Во всех нюансах кодовой базы Vim разбирается всего несколько человек, а все изменения контролирует один мэйнтейнер, что затрудняет сопровождение и работу над усовершенствованием редактора. Вместо встроенного в ядро Vim кода для поддержки GUI в Neovim предлагается использовать универсальную прослойку, позволяющую создавать интерфейсы с использованием различных тулкитов.

Плагины к Neovim запускаются как отдельные процессы, для взаимодействия с которыми используется формат MessagePack. Взаимодействие с плагинами производится в асинхронном режиме, без блокирования базовых компонентов редактора. Для обращения к плагину может использоваться TCP-сокет, т.е. плагин может запускаться на внешней системе. При этом Neovim остаётся обратно совместимым с Vim, продолжает поддерживать Vimscript (в качестве альтернативы предлагается Lua) и поддерживает подключения большинства штатных плагинов Vim. Расширенные возможности Neovim могут быть использованы в плагинах, построенных с использованием API, специфичного для Neovim.

За время существования проекта подготовлено более тысячи специфичных плагинов, доступны биндинги для создания плагинов и реализаций интерфейсов с использованием различных языков программирования (C++, Clojure, Perl, Python, Go, Java, Lisp, Lua, Ruby) и фреймворков (Qt, ncurses, Node.js, Electron, GTK). Развивается несколько вариантов пользовательского интерфейса. GUI-надстройки во многом напоминают плагины, но, в отличие от плагинов, они инициируют вызов функций Neovim, в то время как плагины вызываются из Neovim.

Среди изменений в новой версии:

• По умолчанию предложена новая цветовая схема, в которой уменьшена яркость, задействованы более сбалансированные сочетания цветов и решены проблемы, возникающие у людей с отклонениями цветовосприятия.
• Изменены привязки клавиш: "K" - при включении LSP-клиента показывает информацию о функции и переменной, на которые указывает курсор, "[d" и "]d" - перемещение по диагностическим сообщениям, <C-W>d - вывод дополнительной информации о диагностическом сообщении.
• Встроена функциональность плагина vim-commentary для быстрого обрамления символами комментария строк и блоков с кодом, учитывая контекст (например, для содержимого тега <script> будут использоваться символы "//", а для HTML - "<!--" "-->"
• Добавлена опция 'termsync', включающая режим синхронизированного вывода, при котором для устранения мерцания и разрывов на экране осуществляется накопление обновлений интерфейса и их отображение в терминале одной порцией.
• Для записи в системный буфер обмена задействована escape-последовательность "OSC 52", если работа осуществляется в сеансе SSH, не включена настройка 'clipboard' и имеется эмулятор терминала, поддерживающий "OSC 52".
• Добавлена экспериментальная поддержка оформления гиперссылок при помощи escape-последовательности OSC 8. По умолчанию данная возможность применяется для выделения ссылок в документах Markdown, оформленных в виде "[example](https://example.com)".
• Обеспечено автоматическое определение поддержки терминалом 24-разрядного представления цветов ("truecolor").
• При использовании LSP (Language Server Protocol) обеспечен вывод подсказок по месту, в виде виртуального текста, показываемого другим цветом прямо в коде, но без фактического добавления в исходные тексты (на скриншоте подсказки отображаются тёмно серым цветом).
• Расширены возможности для инспектирования синтаксического дерева исходного кода. Добавлен интерактивный режим написания запросов к синтаксическому дереву, на лету применяемых к текущему коду.
• Добавлена возможность указания модификаторов в команде ":terminal", например, ":botright terminal" для открытия нового окна терминала в нижней правой части экрана.

1. Главная ссылка к новости
2. OpenNews: Релиз текстового редактора Vim 9.1
3. OpenNews: Умер автор и ключевой разработчик Vim
4. OpenNews: Выпуск консольной среды разработки LazyVim 5
5. OpenNews: Доступен Vieb 9.4, web-браузер в стиле редактора Vim
6. OpenNews: Выпуск Neovim 0.7.0, модернизированного варианта редактора Vim

Проект Winamp создан Джастином Франкелем и Дмитрием Болдыревым в 1997 году и является одним из самых долгоживущих мультимедийных проигрывателей, продолжающих активное развитие. Winamp изначально ориентирован на использование на платформе Windows и насчитывает около 83 млн пользователей. В апреле были представлены мобильные версии Winamp для платформ Android и iOS. Благодаря самобытности и гибкости в области изменение оформления интерфейса через скины, под впечатлением от Winamp создано несколько открытых клонов для Linux, таких как XMMS, XMMS2, Beep Media Player, Audacious и Qmmp.

1. Главная ссылка к новости
2. OpenNews: Выпуск музыкального проигрывателя Audacious 4.2
3. OpenNews: Выпуск музыкального проигрывателя Qmmp 1.5.0
4. OpenNews: Воспроизведение музыки Джанет Джексон приводит к сбою в работе некоторых старых ноутбуков
5. OpenNews: Synthstrom Audible откроет код прошивки музыкальных синтезаторов Deluge
6. OpenNews: Выпуск музыкального проигрывателя Amarok 3.0.0

Основные изменения:

• Добавлена поддержка технологии Explicit Sync, позволяющей информировать композитный менеджер на базе протокола Wayland о готовности вывода кадра на экран, что может использоваться для снижения задержек и избавления от появления артефактов при выводе графики.
• Улучшена поддержка и повышена производительность архитектуры 2D-ускорения GLAMOR, которая использует OpenGL для ускорения 2D-операций. Добавлена поддержка шейдеров OpenGL ES 3 и обеспечено ускорение неполных текстур для OpenGL ES. Добавлена опция командной строки "glamor". Включено ускорение UYVY.
• Удалён код для поддержки архитектуры 2D-ускорения EXA.
• Улучшена работа в режиме "rootful", при котором все окна XWayland отображаются внутри отдельного окна в Wayland-окружении, что позволяет использовать оконный менеджер X11 для управления окнами запускаемых приложений X11 (в режиме "rootless" каждое запускаемое в XWayland приложение X11 имеет отдельное окно в Wayland-окружении).
• Прекращена поддержка EGLStream, механизма для эффективной передачи последовательности кадров из одного API в другое (OpenGL, CUDA, NvMedia). EGLStream применялся для обеспечения работы XWayland со старыми проприетарными драйверами NVIDIA (в актуальных драйверах применяется GBM).
• В Xvfb добавлена возможность использования до 13 кнопок на мыши.
• Реализована установка области ввода на стороне Wayland-окружения, используя сведения об области ввода X11.
• Улучшена поддержка платформы FreeBSD. Задействован драйвер фреймбуфера scfb. Добавлена обработка опции "-novtswitch".
• Решены проблемы со сборкой в OpenBSD и FreeBSD.
• Удалён код, связанный с DDX-серверами Xquartz, Xnest, Xwin, Xorg, Xephyr/kdrive.

1. Главная ссылка к новости
2. OpenNews: Выпуск XWayland 23.1.0, компонента для запуска X11-приложений в Wayland-окружениях
3. OpenNews: В Xwayland добавлена поддержка аппаратного ускорения на системах с GPU NVIDIA
4. OpenNews: Выпуск композитного сервера Weston 13.0
5. OpenNews: Доступен Wayland 1.22
6. OpenNews: Выпуск Wayland-Protocols 1.35

В новой версии:

• Tor Browser обновлён до версии 13.0.15.
• Отключён встроенный в Thunderbird PDF-просмотрщик, из-за выявления уязвимости (CVE-2024-4367), позволяющей добиться выполнения JavaScript-кода при обработке специально оформленных шрифтов. Для просмотра PDF-документов в Thunderbird теперь вызывается внешнее приложение Document Viewer.
• В диалоге, показываемом после завершения автоматического обновления, по умолчанию теперь активна кнопка "Перезагрузить позднее", а не "Перезагрузить сейчас".
• Решена проблема c настройкой некоторых принтеров, параметры которых ранее были сохранены в постоянном хранилище.
• Устранена длительная задержка при переключении между экраном приветствия входа в систему и рабочим столом GNOME, когда не удаётся выполнить анонимизацию MAC-адреса.

В новой версии Tor Browser 13.0.15 выполнена синхронизация с кодовой базой Firefox 115.11.0 ESR, в которой устранено 7 уязвимостей. Решена проблема с удалением используемого в приватном режиме каталога IndexDB при закрытии браузера. Для проверки нового идентификатора задействован модуль HomePage. Налажено выставление фокуса на запрос аутентификации Onion-сервисов.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Tails 6.2
3. OpenNews: Релиз Firefox 126
4. OpenNews: Релиз Tor Browser 13.0
5. OpenNews: Результаты аудита Tor Browser и компонентов инфраструктуры Tor

Предложенная техника атаки, которой присвоено имя SSID Confusion, позволяет обойти присутствующие в протоколе методы аутентификации точки доступа, защищающие от подмены идентификатора сети SSID и не позволяющие создавать подставные сети с именем сети, к которой подключается клиент. Причиной проблемы является определение в стандарте ситуаций, когда SSID может быть неаутентифицирован. В частности, для обозначения своего присутствия точка доступа отправляет в широковещательном режиме beacon-кадры, включающие сведения о SSID-сети. Для упрощения процесса поиска сети клиенты не аутентифицируют SSID в данных кадрах, так как предполагается, что проверка потребуется после того, как клиент решит подключиться к сети.

Для успешного совершения атаки требуется, чтобы пользователь инициировал подключение к определённой беспроводной сети, а поблизости была другая беспроводная сеть с теми же параметрами подключения, что и в первой сети. Подобное практикуется, например, когда для диапазонов 2.4GHz и 5GHz создаются разные сети, одна из которых слабо защищена и уязвима для типовых атак по перехвату трафика, таких как KRACK или Frag. Проблемная конфигурация также применяется в некоторых университетских сетях, поддерживающих сервис Eduroam. Атакующий должен находиться в зоне досягаемости сигнала для того, чтобы вклиниться между пользователем и целевой сетью (MitM). Для проведения атаки злоумышленнику не требуется знать учётные данные жертвы.

Атака сводится к созданию атакующим точки доступа (WrongAP на диаграмме), обеспечивающей на другом канале трансляцию обращений к менее защищенной подставной сети (WrongNet), к которой должен подключиться клиент вместо желаемой сети (TrustedNet). Точка доступа может быть создана на обычном ноутбуке и применяется для организации многоканальной MitM-атаки на жертву (MC MitM). Атака осуществляется в три этапа:

1. Определение сети (Network Discovery). MitM-система перехватывает пакеты, отправляемые в эфир жертвой и заслуживающей доверия точкой доступа (TrustedNet), заменяя в них SSID - в пакетах от точки доступа SSID заменяется на идентификатор менее защищённой сети, а в ответах жертвы на реальный, чтобы симулировать взаимодействие клиента и заслуживающей доверия точки доступа. В итоге устройство жертвы получает ответы и считает, что искомая сеть находится поблизости, несмотря на то, что эти ответы транслируются точкой доступа атакующего.
2. Захват аутентификации (Authentication hijacking). Атакующий симулирует успешную аутентификацию и вынуждает клиента подключиться к менее защищенной сети, вместо заслуживающей доверия. Как и на прошлой стадии атакующий перехватывает кадры, отправляемые при аутентификации клиентом, заменяет в них SSID и переотправляет точке доступа.
3. MitM. После согласования канала связи атакующий подменяет SSID c WrongNet на TrustedNet, создавая впечатление, что пользователь работает через заслуживающую доверия сеть, а не через менее защищенную сеть.

Воспользовавшись уязвимостью атакующий может вынудить клиента подключиться к менее защищённой сети, и при этом в интерфейсе будет отображаться SSID сети, к которой изначально намеревался подключиться пользователь, а не той, к которой он подключён фактически. Добившись подключения пользователя через не защищённую сеть атакующий может анализировать и вклиниваться в незашифрованные потоки трафика. При этом при использовании некоторых VPN, таких как WARP, hide.me и Windscribe, VPN не будет задействован при подключении к сетям, помеченным в настройках как заслуживающие доверия.

Атака применима к протоколам беспроводной аутентификации, использующим EAP (Extensible Authentication Protocol), SAE (Simultaneous Authentication of Equals) и 802.1X, а также в опциональном режиме работы протокола WPA3, в которых SSID не используется при формировании ключа PMK (Pairwise Master Key), что делается для исключения изначально известных данных при формировании ключа с целью защиты от различных криптоатак. Протокол FILS (Fast Initial Link Setup) уязвим при использовании PMK, созданного при согласовании соединения на базе EAP. Протоколы WPA1, WPA2 и FT (Fast BSS Transition) не подвержены проблеме, так как требуют корректного SSID при согласовании соединения.

Для защиты от атаки SSID Confusion на стороне точки доступа упоминается включение в стандарт 802.11 требования аутентификации SSID при подключении, что может быть реализовано через добавление SSID в функцию формирования ключа или включение SSID в число дополнительных данных, проверяемых во время согласования соединения. На стороне клиента защита может быть организована через обеспечение защиты beacon-кадров (будет применяться в WiFi 7). Создатели сетей могут предотвратить совершение атаки, отказавшись от использования общих учётных данных в сетях с разными SSID. Пользователи могут защитить себя, используя надёжные VPN при подключении через любые беспроводные сети.

1. Главная ссылка к новости
2. OpenNews: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP
3. OpenNews: Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
4. OpenNews: FragAttacks - серия уязвимостей в стандартах и реализациях Wi-Fi
5. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
6. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi

Файловая система tarfs позволяет монтировать архивы в формате Tar в виде файловой системы. Драйвер использует прикреплённый к tar-файлам индекс для навигации по файлам внутри архива без перебора всего содержимого.

Отдельно развивается ещё одна ФС на языке Rust, которая использует предложенный слой абстракций, - PuzzleFS. PuzzleFS предназначена для размещения изолированных контейнеров и обладает такими возможностями, как эффективное хранение дублирующихся данных, возможность прямого монтирования, повторяемая сборка образов, очень быстрая сборка и монтирование образов, возможность использования необязательной промежуточной стадии для преобразования (canonicalization) образов, необязательность полных проходов по дереву ФС при использовании многослойной структуры и наложение изменений в стиле casync.

1. Главная ссылка к новости
2. OpenNews: Компания Cisco предложила файловую систему PuzzleFS для ядра Linux
3. OpenNews: Уязвимость в VFS ядра Linux, позволяющая повысить свои привилегии
4. OpenNews: Представлена операционная система Redox, написанная на языке Rust
5. OpenNews: Ядро Maestro, написанное на Rust и частично совместимое с Linux
6. OpenNews: Microsoft предложил систему управления доступом IPE для ядра Linux

Изначально предполагалось, что атаковавшие серверы kernel.org злоумышленники оставались незамеченными 17 дней, но по данным ESET это время рассчитано с момента подстановки руткита Phalanx, а бэкдор Ebury находился на серверах с 2009 года и около двух лет мог использоваться для получения root-доступа к серверам. Вредоносное ПО Ebury и Phalanx установлено в рамках разных атак, не пересекающихся друг с другом и проводимых разными группами злоумышленников. Внедрение бэкдора Ebury затронуло как минимум 4 сервера в инфраструктуре kernel.org, два из которых были поражены приблизительно в течение двух лет, а остальные два - в течение 6 месяцев.

Атакующие получили доступ к хранящимся в /etc/shadow хэшам паролей 551 пользователя, среди которых были все мэйнтейнеры ядра (аккаунты использовались для доступа в Git; после инцидента пароли были заменены, а модель доступа была пересмотрена и переведена на использование цифровых подписей). Для 257 пользователей атакующим удалось определить пароли в открытом виде, предположительно путём подбора паролей по хэшам и через перехват вредоносным компонентом Ebury паролей, используемых в SSH.

Вредоносный компонент Ebury распространялся в виде разделяемой библиотеки, которая после установки перехватывала функции, используемые в OpenSSH, для организации удалённого подключения к системе c правами root. Атака была не целевой и, как и другие поражённые тысячи хостов, серверы kernel.org использовались как часть ботнета для рассылки спама, кражи учётных данных для распространения на других системах, перенаправления web-трафика и совершения другой вредоносной деятельности.

Для проникновения на серверы использовались неисправленные уязвимости в серверном ПО, например, уязвимости в хостинг-панелях, или перехваченные пароли (предполагается, что серверы kernel.org были взломаны в результате компрометации пароля одного из пользователей, имевшего shell-доступ). Для повышения привилегий использовались уязвимости, такие как Dirty COW.

Применяемые в последние годы новые версии Ebury кроме бэкдора включали в себя такие возможности, как модули к Apache httpd для проксирования трафика, перенаправления пользователей и перехвата конфиденциальной информации, модуль ядра для внесения изменений в транзитный HTTP-трафик, инструменты для скрытия собственного трафика от межсетевых экранов, скрипты для проведения AitM-атак (Adversary-in-the-Middle, двунаправленный MiTM) для перехвата учётных данных SSH в сетях хостинг-провайдеров.

1. Главная ссылка к новости
2. OpenNews: Арестован подозреваемый во взломе kernel.org
3. OpenNews: Статус возрождения kernel.org: доступ к Git будет организован без shell доступа
4. OpenNews: Kernel.org подвергся взлому
5. OpenNews: Из-за недоступности kernel.org в ядре linux-next не хватает 89 веток
6. OpenNews: Оценка причин и последствий взлома kernel.org

Уязвимость проявляется только в файловых системах, не различающих регистр символов и поддерживающих символические ссылки, например, используемых по умолчанию в Windows и macOS. Эксплуатация осуществляется через создание в субмодуле каталога и символической ссылки, отличающихся только регистром символов, что позволяет добиться записи файлов в каталог .git/, вместо рабочего каталога субмодуля. Получив возможность записи в .git/ атакующий может переопределить hook-вызовы через .git/hooks и добиться выполнения произвольного кода во время выполнения операции "git clone".

Другие уязвимости:

• CVE-2024-32004 - атакующий в многопользовательской системе может подготовить специально оформленный локальный репозиторий и добиться выполнения кода при его клонировании. В частности, атакующий может создать локальный репозиторий, выглядящий как частичный клон, в котором отсутствует определённый объект. Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.
• CVE-2024-32465 - клонирование из zip-архивов, содержащих полный git-репозиторий, включающий hook-и в каталоге .git/, приведёт к выполнению этих hook-ов.
• CVE-2024-32020 - создание локальных клонов репозитория на том же диске в многопользовательской системе позволяет другим пользователям изменить файлы, для которых задействованы жёсткие ссылки.
• CVE-2024-32021 - клонирование локального репозитория с символическими ссылками может использоваться для создания жёстких ссылок на произвольные файлы в каталоге objects/.

Помимо устранения уязвимостей в новых версиях также предложено несколько изменений, нацеленных на повышение защиты от уязвимостей, приводящих к удалённому выполнению кода и манипулирующих символическими ссылками при выполнения клонирования. Например, git теперь выдаёт предупреждение при наличии символических ссылок в каталоге .git/. Пути к субмодулям отныне могут содержать только реальные каталоги. При пересечении символических ссылок и каталогов, обрабатываются каталоги. При выполнении "git clone" добавлена защита от выполнения hook-ов во время клонирования и усилены проверки параметра core.hooksPath.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код
3. OpenNews: Уязвимости в Git, приводящие к утечке и перезаписи данных
4. OpenNews: Две уязвимости в Git, способные привести к удалённому выполнению кода
5. OpenNews: Уязвимости в Git, проявляющиеся при клонировании субмодулей и использовании git shell
6. OpenNews: Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода

Опасения связаны с тем, что AI-системы обучаются на большом массиве информации, среди прочего включающем код, защищённый авторским правом и распространяемый под разными лицензиями. При генерации кода AI-системами эти особенности не учитываются и потенциально результат работы AI может рассматриваться как создание производной работы от кода, который использовался при обучении модели и распространяется под определёнными лицензиями.

При обучении модели на коде с лицензией, требующей извещения об авторстве, в генерируемом AI-инструментами коде данное требование формально не выполняется, что может рассматриваться как нарушение большинства открытых лицензий, таких как GPL, MIT и Apache. Также могут возникнуть проблемы с лицензионной совместимостью при вставке в проекты под пермиссивными лицензиями, такими как BSD, кода, сгенерированного с использованием моделей, обученных на коде с копилефт-лицензиями.

1. Главная ссылка к новости
2. OpenNews: Проект Gentoo запретил принятие изменений, подготовленных при помощи AI-инструментов
3. OpenNews: GitHub ввёл в строй систему машинного обучения Copilot, генерирующую код
4. OpenNews: Судебное разбирательство против Microsoft и OpenAI, связанное с генератором кода GitHub Copilot
5. OpenNews: Исследование влияния AI-ассистентов, подобных GitHub Copilot, на безопасность кода

В настоящее время для формирования и обновления начинки корневого раздела GNOME OS задействована система OSTree, при использовании которой системный образ атомарно обновляется из Git-подобного хранилища. Системный раздел монтируется в режиме только для чтения, а обновления доставляются в виде небольших порций, содержащих изменения, относительно прошлого состояния (delta-обновления), что, например, в процессе тестирования GNOME позволяет при необходимости легко откатить систему на одну из предыдущих версий и проверить проявляется ли в ней выявленная ошибка.

Инструментарий systemd-sysupdate поставляется начиная с systemd 251 и предназначен для автоматического определения, загрузки и установки обновлений с использованием атомарного механизма замены разделов, файлов или каталогов. Systemd-sysupdate позволяет использовать два независимых раздела/файла/каталога, на одном из которых находится текущий работающий ресурс, а на другом устанавливается очередное обновление, после чего разделы/файлы/каталоги меняются местами.

Из преимуществ перевода GNOME OS c OSTree на systemd-sysupdate называется возможность задействовать верифицированный процесс загрузки, в котором цепочка доверия распространяется от загрузчика до системных компонентов дистрибутива. Кроме того, использование systemd-sysupdate даст возможность добиться более полной интеграции с systemd и задействовать архитектуру, манипулирующую готовыми системными образами как неделимыми компонентами.

Эксперименты по созданию sysupdate-образов с поддержкой UEFI Secure Boot были проведены ещё осенью прошлого года. По сути сейчас уже доступны два варианта сборок GNOME OS, созданных на базе OSTree и systemd-sysupdate. Остаётся обеспечить интеграцию sysupdate с GNOME и предоставление графического интерфейса для обновления системы.

В настоящее время управление обновлениями на базе sysupdate производится только из командной строки и требует наличия прав root. Для интеграции с GNOME уже разработан сервис D-Bus, которые в сочетании с Polkit, позволяет управлять обновлениями под непривилегированным пользователем. Развиваемый D-Bus-сервис и связанную с ним утилиту updatectl намерены включить в основной состав systemd.

В дальнейшем планируется добавить функциональность управления обновлениями на базе sysupdate в приложение GNOME Software, для которого подготовлен экспериментальный плагин gs-plugin-systemd-sysupdate, реализующий возможность обновления ОС через DBus сервис к sysupdate. Из ещё нерешённых задач отмечается необходимость добавления в systemd-sysupdate поддержки delta-обновлений (в настоящее время образы загружаются только целиком) и создание инструментов для поддержания параллельно нескольких версий операционной системы на базе стабильной и находящейся в разработке веток GNOME.

1. Главная ссылка к новости
2. OpenNews: Инициатива по созданию сборок GNOME OS для реального оборудования
3. OpenNews: Цели, мотивы и планы разработки GNOME OS
4. OpenNews: Обсуждение развития GNOME, как привязанной к Linux системы
5. OpenNews: Планы по созданию операционной системы GNOME OS
6. OpenNews: Опубликована среда рабочего стола GNOME 46

Помимо пакета с ядром из состава RHEL (на базе ядра 5.14) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel 7 Update 2, основанное на ядре Linux 5.15 и оптимизированное для работы с промышленным программным обеспечением и оборудованием Oracle. Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро Unbreakable Enterprise Kernel устанавливается по умолчанию, позиционируется в качестве альтернативы штатному пакету с ядром RHEL и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме дополнительного ядра по функциональности выпуски Oracle Linux 9.4 и RHEL 9.4 полностью идентичны (список изменений можно посмотреть в анонсе RHEL 9.4).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива EuroLinux 9.4, совместимого с RHEL
3. OpenNews: Опубликован дистрибутив AlmaLinux 9.4
4. OpenNews: Релиз дистрибутива Rocky Linux 9.4, развиваемого основателем CentOS
5. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 9.4
6. OpenNews: Rocky Linux, Oracle и SUSE создали совместный репозиторий для RHEL-совместимых дистрибутивов

Дистрибутив не использует традиционные пакетные менеджеры, вместо которых предлагается минимальная атомарно обновляемая базовая система, работающая в режиме только для чтения и формируемая при помощи инструментария OSTree (системный образ атомарно обновляется из Git-подобного хранилища). Идентичные с Endless OS идеи пытаются повторить разработчики Fedora в рамках проекта Silverblue по созданию атомарно обновляемого варианта Fedora Workstation, а также создатели Vanilla OS, CarbonOS, tau-OS и Pop!_OS. Инсталлятор и система обновления Endless OS, используются в проекте GNOME OS.

Endless OS относится к числу дистрибутивов, продвигающих инновации среди пользовательских Linux-систем. Рабочее окружение в Endless OS основано на значительно переработанном форке GNOME. При этом разработчики Endless активно участвуют в разработке upstream-проектов и передают им свои наработки. Например, в выпуске GTK+ 3.22 около 9.8% всех изменений было подготовлено разработчиками Endless, а курирующая проект компания Endless Mobile входит в надзорный совет GNOME Foundation, наряду с FSF, Debian, Google, Linux Foundation, Red Hat и SUSE.

Основные изменения в Endless OS 6.0:

• В настройки внешнего вида добавлена возможность включения тёмного стиля оформления, более комфортного для глаз при работе в тёмное время суток.
• Обновлён и адаптирован для работы с тёмной темой оформления внешний вид всех базовых приложений, среди которых файловый менеджер, конфигуратор и система установки приложений. Новый интерфейс примечателен задействованием плоского дизайна и более контрастного выделения элементов.

  Изменения в стилевом оформлении базируются на стандартных технология и также действуют в браузерах (Chrome, Firefox, GNOME Web, Chromium) и большинстве других приложений, загружаемых через App Center.

  
• Переработано приложение для создания скриншотов и записи скринкастов. Упрощён процесс выбора области экрана, окна приложения или всего экрана. Выбранные области запоминаются, что избавляет от необходимости повторного выделения при создании последующих снимков. Для создания скриншота можно использовать кнопку PrintScr или отдельную пиктограмму в меню.
• В базовую поставку включено новое приложение Music для управления музыкальной коллекцией и прослушивании музыки (Rhythmbox заменён на GNOME Music).
• В состав включено приложение Decibels для воспроизведения отдельных звуковых файлов, которое может применяться, например, для быстрой оценки полученных по почте голосовых сообщений.
• Обновлён просмотрщик изображений (Eye of GNOME заменён на GNOME Image Viewer), в котором модернизирован интерфейс, проведена оптимизация производительности и добавлена поддержка новых форматов, таких как HEIC/HEIF и WebP. Расширено управления при помоги мультитач жестов, например, при масштабировании щипком на тачпаде или сенсорном экране.
• Добавлена коллекция приложений, которые могут быть полезны разработчикам игр, например, инструментарий для игрового движка Godot, звуковой редактор Audacity, система 3D-моделирования Blender и руководства к ней, графический редактор GIMP, векторный редактор Inkscape и редактор спрайтов и анимации Pixelorama.
• Добавлены образовательные приложения и обучающие игры: Aqueducts, Dragon's Apprentice, Fablemaker, Frog Squash, The Passage, Tank Warriors.
• Изменено поведение при нехватке памяти в системе. Настройки изменены для более активного закрытия приложений на начальном этапе нехватки памяти, чтобы не доводить систему до подвисаний.
• Осуществлён переход на использование мультимедийного сервера Pipewire 1.0.
• Системное окружение обновлено до Debian 12.5 (в ветке Endless OS 5 использовался Debian 11). Ядро Linux обновлено до версии 6.5. Компоненты GNOME синхронизированы с версией 43.9.

1. Главная ссылка к новости
2. OpenNews: Выпуск атомарно обновляемого дистрибутива Endless OS 5.1
3. OpenNews: Выпуск Distrobox 1.7, инструментария для вложенного запуска дистрибутивов
4. OpenNews: Canonical готовит вариант Ubuntu Desktop, содержащий только пакеты Snap
5. OpenNews: Выпуск атомарно обновляемого дистрибутива carbonOS 2022.3
6. OpenNews: Представлено семейство атомарно обновляемых дистрибутивов Fedora Atomic Desktops

Алгоритм Нейгла используется для агрегирования мелких сообщений с целью снижения трафика. Алгоритм приостанавливает отправку новых сегментов TCP до получения подтверждения о приёме ранее отправленных данных или до наступления таймаута. Например, без применения агрегирования при отправке 1 байта, дополнительно отправляется 40 байтов с TCP и IP заголовками пакета, а с применением алгоритма Нейгла - сообщения, отправленные до прихода подтверждения от удалённой стороны, накапливаются и отправляются одним пакетом. Из-за наличия оптимизации "delayed ACK", задерживающей отправку ACK-пакетов, сигнал через пакеты с подтверждением на деле не работает, и отправка накопленных сообщений выполняется при наступлении таймаута.

Снейдерс придерживается мнения, что в современных реалиях алгоритм Нейгла, разработанный во времена, когда несколько пользователей конкурировали за полосу пропускания 1200 бод, устарел, и в высокоскоростных сетях от него больше вреда чем пользы. Недавно подобную позицию также высказал Марк Брукер (Marc Brooker) из компании Amazon Web Services (AWS). С доводами в пользу отключения алгоритма Нейгла по умолчанию можно ознакомиться в опубликованной несколько дней назад заметке.

Для отключения алгоритма Нейгла предусмотрена опция TCP_NODELAY, которая может быть выставлена для отдельных сетевых сокетов. Режим TCP_NODELAY давно выставляется во многих приложениях OpenBSD, среди которых openssh, httpd, iscsid, relayd, bgpd и unwind, и, по мнению Снейдерса, настало время для предоставления возможности его включения для всех TCP-сокетов на уровне всей системы. Снейдерс предлагает обсудить вопрос включения TCP_NODELAY по умолчанию и перевода алгоритма Нейгла в разряд отдельной включаемой опции.

Дополнение: Опубликован патч, добавляющий в ядро Linux sysctl-параметр net.ipv4.tcp_nodelay, при помощи которого можно по умолчанию включить режим TCP_NODELAY для всех сокетов. Работа патча проверена с ядром 5.10.216.

1. Главная ссылка к новости
2. OpenNews: Предложение по включению режима TCP_NODELAY по умолчанию
3. OpenNews: Разработчики OpenBSD экспериментируют с использованием Wayland
4. OpenNews: Проект OpenBSD перешёл на использование формата PAX для tar-архивов
5. OpenNews: Дебаты вокруг TLS 1.3 и совершенной прямой секретности
6. OpenNews: В состав OpenBSD добавлена собственная реализация rsync

Из особенностей ALDOS также выделяется использование самой старой из поддерживаемых веток ядра Linux - 4.19, которая выбрана как наименее раздутая и нетребовательная к ресурсам. Для установки на более новом оборудовании доступно ядро Linux 5.4. SELinux по умолчанию отключён. Графическое окружение построено на основе Xfce 4.18, но при желании из репозиториев можно установить MATE, KDE Plasma, LXQt и Lumina Desktop. Из коробки доступен полноценный набор мультимедийных кодеков, а в репозитории насчитывается более 35 тысяч пакетов. По умолчанию предлагается локализации для испанского, каталанского и английского языков (поддержку других языков можно установить из репозитория).

Среди задействованных в выпуске ALDOS 1.4.18 версий программ: Glibc 2.27, LLVM 14.0.1, GCC 8.5, FFmpeg 6.0, Binutils 2.30, Python 3.9, Qt 5.15.13/6.2.7, GTK 3.24/4.10, Firefox 125, LibreOffice 7.3, Minder 1.16.4, Celluloid 0.26, MPV 0.38, Audacious 4.3.1, Remmina 1.4.35.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Devuan 5.0, форка Debian 12 без systemd
3. OpenNews: Операционная система Chrome OS Flex готова для установки на любое оборудование
4. OpenNews: Выпуск Linux-дистрибутива Hyperbola 0.4, начавшего миграцию на технологии OpenBSD
5. OpenNews: Выпуск легковесного дистрибутива antiX 23.1
6. OpenNews: Проект postmarketOS представил сборки на базе systemd