Примечательно, что MAC-адрес абонентского устройства можно узнать через обращение к публичному Web API без прохождения аутентификации, используя функцию поиска абонентов, например, через выборку по email или номеру учётной записи (перебирая номера можно последовательно выгрузить данные о клиентах). Помимо MAC-адреса выводятся и другие сведения об абоненте, включая адрес, телефон, ФИО и email. Вся информация доступна для запросов из внешней сети без аутентификации. При этом информацию можно не только получить, но и изменить. Всего публично доступный API насчитывает более 700 обработчиков, среди которых многие реализуют операции по администрированию.

Для верификации передачи команд и настроек на модемы пользователей использовался зашифрованный параметр, но функции для шифрования были найдены в одном из скриптов на языке JavaScript, отдаваемых сайтом webcdn-business.cox.com. Ключ для шифрования удалось определить установив на эти функции точку останова в JavaScript-отладчике браузера во время регистрации на сайте myaccount-business.cox.com. Ключ для шифрования формировался с использованием MAC-адреса, идентификатора устройства и номера учётной записи пользователя, а также нескольких вспомогательных параметров, таких как модель устройства и вид доступа.

Сценарий атаки сводится к поиску жертвы через публичный Web API, используя запрос по имени, номеру телефона, email или номеру учётной записи. Далее атакующий обращается к Web API для выгрузки полного набора персональных данных абонента, используя UUID, полученный при поиске на первом этапе. Используя MAC-адрес модема, указанный среди данных об абоненте, атакующий может посмотреть список подключённых к модему устройств, поменять любые параметры на модеме, запросить пароль, используемый для подключения к Wi-Fi, и выполнить любые команды на устройстве, что можно применить, например, для организации анализа или перенаправления трафика пользователя.

1. OpenNews: Атака на провайдера, выведшая из строя 659 тысяч домашних маршрутизаторов
2. OpenNews: Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
3. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
4. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
5. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC

Версия 1.0 отмечена как первый стабильный релиз проекта, при подготовке которого основное внимание было уделено повышению стабильности, а не наращиванию функциональности. В новой версии также закреплена фиксация формата хранения данных, для которого начиная с прошлого выпуска обеспечивается обратная совместимость. В последующих выпусках разработчики намерены более осторожно относиться к добавлению новых возможностей и заботиться о сохранении совместимости между выпусками, а также стабилизации диалекта SQL и C API. Если в будущем потребуется изменение семантики SQL разработчики заранее опубликуют предупреждение о грядущих изменениях и предоставят обходные пути для сохранения работоспособности существующего кода.

DuckDB поддерживает расширенный диалект языка SQL, включающий дополнительные возможности для обработки очень сложных и длительно выполняемых запросов. Например, возможно использование сложных типов (массивы, структуры, объединения), а также выполнение произвольных и вложенных коррелирующих подзапросов. Поддерживается одновременное выполнение нескольких запросов, выполнение запросов напрямую из файлов в формате CSV и Parquet. Доступна поддержка импорта из СУБД PostgreSQL.

Помимо кода оболочки из SQLite проектом используется вынесенный в отдельную библиотеку парсер из PostgreSQL, компонент Date Math из MonetDB, своя реализация оконных функций (на базе алгоритма Segment Tree Aggregation), обработчик регулярных выражений на основе библиотеки RE2, собственные оптимизатор запросов, MVCC-механизм управления одновременным выполнением заданий (Multi-Version Concurrency Control), а также векторизированный движок выполнения запросов на базе алгоритма Hyper-Pipelining Query Execution, позволяющий в одной операции разом обрабатывать большие наборы значений.

1. OpenNews: Выпуск СУБД SQLite 3.46
2. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
3. OpenNews: Проекты CBS и sqld развивают облачный и серверный варианты SQLite
4. OpenNews: Опубликован проект Litestream, реализующий систему репликации для SQLite
5. OpenNews: Проект libSQL начал развитие форка СУБД SQLite

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 24.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Добавлена поддержка верифицированных списков (Validation set), определяющих какие приложения и какие их версии могут быть установлены вместе, образуя проверенную комбинацию версий программ. Списки заверяются цифровой подписью и распространяются при доставке обновлений.
• Для устройств особой важности, таких как медицинское оборудование, предусмотрена возможность отключения любых автоматических сетевых обращений во время инициализации устройства.
• Добавлена возможность установки обновлений в offline-режиме на устройствах, изолированных от глобальной сети.
• Реализованы возможности для поддержки графического режима и использования GPU, который может применяться как для ускорения обработки графики, так и для вычислений при решении задач машинного обучения. В состав включены свежие выпуски графических драйверов.
• Добавлена поддержка графической оболочки Ubuntu Frame, предназначенной для создания интернет-киосков, терминалов самообслуживания, информационных стендов, цифровых вывесок, умных зеркал, промышленных экранов и других подобных применений. Ubuntu Frame можно использовать для запуска приложений на базе GTK, Qt, Flutter и SDL2, а также программ на базе Java, HTML5 и Electron. Возможен запуск как приложений, собранных с поддержкой Wayland, так и программ на базе протокола X11 (используется Xwayland).
• Реализована интеграция с сервисом Landscape, предоставляющим web-интерфейс для управления большими группами рабочих станций, серверов и облачных окружений. При помощи Landscape можно автоматизировать выполнение типовых операций по администрированию системы, применительно к группе машин, таких как мониторинг, аудит, централизованное управление OTA-обновлениями, обеспечение единой точки аутентификации (SSO) и управление доступом.
• Добавлены snap-пакеты для интеграции устройств на базе Ubuntu Core с сервисами Microsoft Azure IoT Edge.
• Добавлены snap-пакеты с различными утилитами и библиотеками от проекта ROS (Robot Operating System), развивающего инструментарий для разработки роботов.
• Добавлена поддержка динамического изменения параметров командой строки ядра.
• Предоставлена возможность замены выводимой при загрузке заставки.
• Добавлен опциональный консольный интерфейс console-conf для настройки параметров подключения к сети и учётных записей.

1. OpenNews: Доступен монолитный дистрибутив Ubuntu Core 22
2. OpenNews: Доступен монолитный дистрибутив Ubuntu Core 20
3. OpenNews: Компания Canonical представила оболочку Ubuntu Frame
4. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS
5. OpenNews: Компания Canonical опубликовала Real-time Ubuntu 24.04

Система реализует полный цикл от сбора данных, их обработки и преобразования, анализа этих данных для обнаружения проблем, и заканчивая хранением этих данных, визуализацией и рассылкой оповещений с использованием правил эскалаций. Также система предоставляет гибкие возможности расширения методов сбора данных и оповещений, а также возможности автоматизации через мощный API. Единый веб-интерфейс реализует централизованное управление конфигурациями мониторинга и ролевым распределением прав доступа различным группам пользователей.

Начиная с версии 7.0 код проекта распространяется под лицензией AGPLv3, вместо лицензии GPLv2. Особенностью лицензии AGPLv3 является введение дополнительных ограничений для приложений, обеспечивающих функционирование сетевых сервисов. При использовании AGPL-компонентов в работе сетевых сервисов, разработчик обязан предоставить пользователю исходный код всех внесённых в эти компоненты изменений, даже если лежащее в основе сервиса программное обеспечение не распространяется и используется исключительно во внутренней инфраструктуре для организации работы сервиса. Кроме того лицензия AGPLv3 совместима только с GPLv3, что приводит к лицензионному конфликту с приложениями, поставляемыми под лицензией GPLv2, например, поставка библиотеки под AGPLv3 требует от всех использующих данную библиотеку приложений распространения кода под лицензией AGPLv3 или GPLv3.

Официальные пакеты подготовлены для Linux-дистрибутивов Alma Linux, CentOS, Debian, OpenSUSE, Oracle Linux, Raspberry Pi OS, RedHat Enterprise Linux, Rocky Linux, SUSE Linux Enterprise Server, Ubuntu; систем виртуализации на базе VMWare, VirtualBox, Hyper-V, XEN; Docker; OpenStack Nova. Предоставлена возможность быстрой установки Zabbix в облачных платформах AWS, Azure, Google Cloud, Digital Ocean, IBM/RedHat Cloud, Oracle Cloud и Yandex Cloud. Для перехода с более ранних версий необходима лишь установка новых бинарных файлов (сервера и прокси) и нового интерфейса (Zabbix автоматически проведёт процедуру обновления, установка новых агентов не требуется).

Основные улучшения версии 7.0 LTS:

• Режим синтетического мониторинга сайтов и web-приложений с привлечение браузерного движка и использованием сложных сценариев. Возможно создание скриншотов состояния сайта, визуализация производительности, извлечение и мониторинг специфичных для web-приложений данных.
• Поддержка кластеров прокси, балансировки нагрузки на несколько серверов и использования балансировщиков для обеспечения работы высокодоступных конфигураций Zabbix. Поддерживается масштабирование существующих решений на базе Zabbix через развёртывание дополнительных прокси-серверов.
• Повышена производительность и эффективность работы прокси за счёт хранения собираемых метрик в оперативной памяти без их промежуточного сохранения на диске. Возможно использование гибридной схемы, при которой данные буферизируется в памяти, но также сохраняются на диске.
• Повышена масштабируемость и скорость сбора данных - опрос метрик теперь производится в асинхронном режиме, при котором следующая метрика может быть запрошена не дожидаясь обработки предыдущего запроса. Каждый poller поддерживает выполнение до 1000 параллельных проверок. Асинхронный опрос может применяться к агентам и обработчикам, использующим SNMP и HTTP.
• Предоставлены централизованные настройки таймаутов, доступные через GUI и API, и позволяющие определять отдельные таймауты в привязке к определённым элементам или переопределять таймауты на уровне прокси.
• Добавлены новые виджеты для визуализации метрик и состояния инфраструктры ("Host navigator", "Honeycomb", "Pie chart", "Gauge", "Top triggers", "Item history"). Реализована динамическая навигация по виджетам в обзорном режиме (dashboard), использующая взаимодействие виджетов для влияния действий с одним виджетом на другие (например, информация о выбранном в одном виджете хосте может быть показана на виджетах, визуализирующих географическое местоположение). Также добавлена возможность автоматического обновления виджетов при изменении источника данных. Все виджеты можно использовать для шаблонов хостов. Для многих виджетов реализована поддержка агрегатных значений.
• Значительно (в 10-100 раз) повышена скорость определения доступности хостов в сетях за счёт распараллеливания проверок.
• Добавлена поддержка двухфакторной аутентификации с использованием одноразовых паролей (TOTP, Time-Based One-Time Password).
• Добавлена проверка корректности файлов конфигурации.
• Повышена гибкость обнаружения хостов в сложных окружениях, таких как VMware и Kubernetes.
• Повышена производительность фронтэнда за счёт изменения логики проверки прав доступа.
• Большая часть форм переведена на работу в модальном режиме.
• Обеспечено мгновенное реагирование на перевод элементов мониторинга в обслуживание.
• Добавлены готовые шаблоны и обработчики для NextCloud, Google Cloud Platform, Microsoft Azure Cost Management, Azure Cosmos DB for MongoDB, Amazon Elastic Container, Oracle Cloud Infrastructure, Microsoft SQL, CheckPoint Quantum Security Gateway, Fortinet FortiGate, HPE iLO, Cisco SD-WAN, HashiCorp Nomad, PostgreSQL (ODBC), OpenStack Nova, Acronis Cyber Protect Cloud, YugabyteDB, Ansible Webhook, Mantis Bug Tracker.
• Обеспечена интеграция с платформами службы поддержки Jira, Jira ServiceDesk, Redmine, ServiceNow, Zendesk, OTRS, Zammad, Solarwinds Service Desk, TOPdesk, SysAid, iTOP, ManageEngine Service Desk, системами оповещения пользователей Slack, Pushover, Discord, Telegram, VictorOps, Microsoft Teams, SINGNL4, Mattermost, OpsGenie, PagerDuty, iLert, Signal, Express.ms, Rocket.Chat. Всего доступно более 500 шаблонов и интеграций.
• Значительно расширены возможности мониторинга DNS.
• В разряд стабильных переведена отправка автоматически сгенерированных PDF отчётов. Для PDF-отчётов реализована поддержка многостраничных дашбордов.
• Стабилизирована возможность стриминга для отправки метрик и событий во внешние системы.
• Добавлена возможность приостанавливать сбор данных с потерянных элементов при автообнаружении.
• Добавлена поддержка тегов для вебхуков для внутренних событий.
• Реализовано обнаружение дубликатов engineID при SNMP-мониторинге.
• Добавлена возможность использования пользовательского ввода при выполнении скриптов.
• Улучшен протокол взаимодействия между всеми компонентами Zabbix
• Возвращена возможность использования пользовательских макросов в именах элементов.
• Для всех встроенных макросов добавлена поддержка функций макросов.
• Добавлен метод history.push. Реализована поддержка триггерных функций jsonpath и xmlpath.
• Добавлена возможность выполнения скриптов на активном агенте.
• Реализована поддержка бинарного типа данных и новых триггерных функций.
• Значительно ускорена работа с данными от Prometheus.

1. OpenNews: Выпуск системы мониторинга Zabbix 6.2
2. OpenNews: Выпуск системы мониторинга Zabbix 6.0 LTS
3. OpenNews: Выпуск интерфейса мониторинга Icinga Web 2.0
4. OpenNews: Выпуск системы мониторинга Cacti 1.2.0
5. OpenNews: Новая версия системы мониторинга Monitorix 3.14.0

Основные изменения:

• Проведена работа по улучшению звукового стека. Реализована возможность отсоединения звуковых устройств в асинхронном режиме, что необходимо, например, для горячего отключения звуковых карт с интерфейсом USB. Удалён фреймворк snd_clone и связанные с ним параметры sysctl, что позволило упростить звуковую подсистему. Вместо отдельных файлов устройств для каждого звукового канала (/dev/dspX.Y) теперь создаётся только основной файл устройства (/dev/dspX).
• Функции работы со строками и памятью в libc оптимизированы с использованием инструкций SIMD на системах с архитектурой AMD64. Предложено 17 функций, оптимизированных при помощи SIMD, а также 9 функций, переведённых на вызов функций, оптимизированных через SIMD. При проведении тестов производительность новых функций при обработке строк размером 64 символа увеличилась в 5.54 раза.
• Добавлена встроенная поддержка настройки при помощи cloud-init, инструментария для настройки системы на стадии загрузки. Среди прочего, поддерживается создание пользователей/групп, добавление ключей ssh, настройка параметров подключения к сети, определение стартового скрита nuageinit и настройка дисковых разделов (config-drive). Реализация совместима с OpenStack и многими хостинг-провайдерами.
• Для новых файловых систем UFS2, создаваемых утилитой newfs, по умолчанию включён механизм обеспечения целостности и повышения производительности ФС "soft updates" (в инсталляторе режим "soft updates" по умолчанию включался и ранее, но при создании ФС утилитой newfs требовалось указание отдельных опций).
• Предоставлена возможность сборки ядра только с поддержкой IPv6 (INET6), без IPv4 (INET).
• В утилите adduser, применяемой в bsdinstall, обеспечено создание отдельного ZFS dataset (раздела, снапшота или клона) для домашнего каталога пользователя, если ZFS dataset уже используется для родительского каталога. Также добавлена возможность использования шифрования домашних каталогов средствами ZFS. Для управления активацией данных возможностей в adduser.conf добавлены параметры "Zcreate" и "Zencrypt" .
  
  
  
• В "libutil" в функцию "setusercontext" добавлена поддержка выставления приоритета процессам на основании настроек из файла ".login.conf", размещённого в домашнем каталоге. При выставлении приоритета или umask добавлена поддержка значения "inherit", при котором приоритет и umask выставляются такими же как у родительского процесса.
• В утилиту "date" добавлена поддержка наносекундной точности, например, "date -Ins" выведаст "2024-06-04T10:20:28,763742224+05:00", а "date +%N" - "415050400".
• В утилите "dtrace" реализована возможность формирование вывода в форматах, удобных для автоматического разбора и просмотра, таких как JSON, XML и HTML.
• В утилиту "usbconfig" встроена возможность вывода дополнительной информации об USB-устройствах и производителях, соответствующей описаниям из файла /usr/share/misc/usb_vendors.
• В драйвер "ice" добавлена поддержка Ethernet-контроллеров Intel E800 с пропускной способностью 100 Gb/s.
• В Ethernet-драйвер "msc" добавлена поддержка выставления MAC-адреса на основе параметра "smsc95xx.macaddr", передаваемого некоторыми моделями плат Raspberry Pi.
• Проведена работа по повышению стабильности драйвера "iwlwifi" для беспроводных чипов Intel.
• Добавлена возможность использования нескольких областей PCI MCFG на системах amd64 и i386 для сегментирования адресного пространства PCI-устройств.
• Расширена поддержка оборудования.
• В NFS-обработчике "mountd" для декодирования имён каталогов в файле "exports" задействована библиотека "strunvis", что позволило использовать в именах каталогов спецсимволы, например, пробелы. Добавлены новые sysctl-переменные kern.rpc.unenc и kern.rpc.tls для настройки NFS-over-TLS.
• В загрузчике обеспечено чтение файлов конфигурации, перечисленных в переменной local_loader_conf_files, после файлов конфигурации, определённых в файле /boot/loader.conf.local. Также добавлена возможность извлечения настроек из SMBIOS в привязке к идентификаторам производителя и продукта. Улучшено определение консоли на системах с EFI. Реализация фреймбуфера в загрузчике теперь может использовать консольные видеодрайверы.
• Реализована возможность использования загрузчика LinuxBoot (loader.kboot) для загрузки FreeBSD из окружений на базе Linux на системах aarch64 и amd64.
• В rc.conf добавлена поддержка параметра kdc_restart, включающего автоматический перезапуск kdc (сервер Kerberos 5) в случае его аварийного завершения. Дополнительно доступен параметр kdc_restart_delay, через который можно установить задержку перед перезапуском.
• По умолчанию в целях сокращения размера отчётов, отправляемых на email, сокращены сведения об изменениях при выполнении периодически запускаемых работ и скриптов, проверяющих безопасность. Для настройки уровня вывода можно использовать параметры daily_diff_flags и security_status_diff_flags в periodic.conf.
• Обновлены версии сторонних компонентов: Clang/LLVM 18.1.5, OpenZFS 2.2.4, OpenSSH 9.7p1, awk 2024-01-22 (с поддержкой UTF-8 и режима "-csv"), libarchive 3.7.4, sendmail 8.18.1, unbound 1.20.0.
  1. OpenNews: Релиз FreeBSD 14.0
  2. OpenNews: Релиз FreeBSD 13.3
  3. OpenNews: Результаты опроса пользователей FreeBSD и план устранения выявленных проблем
  4. OpenNews: Для FreeBSD развивается новый графический инсталлятор. Отчёт FreeBSD за 1 квартал
  5. OpenNews: Проект ravynOS развивает редакцию FreeBSD, нацеленную на совместимость c macOS

Проект GrapheneOS развивает ответвление от кодовой базы Android (AOSP, Android Open Source Project), расширенное и изменённое для усиления безопасности и обеспечения конфиденциальности. Официально поддерживается большинство актуальных устройств Google Pixel (Pixel 4/5/6/7/8, Pixel Fold, Pixel Tablet). Наработки проекта распространяются под лицензией MIT. В состав включены многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления типовых уязвимостей и усложнением работы эксплоитов.

Например, в платформе применяется собственная реализация malloc и модифицированный вариант libc с защитой от повреждения памяти, а также более жёсткое разделение адресного пространства процессов. Вместо JIT в Android Runtime применяется только упреждающая (AOT, ahead-of-time) компиляция. В ядре Linux включены многие дополнительные механизмы защиты, например, в slub добавляются канареечные метки для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.

Имеется возможность выборочного предоставления доступа отдельным приложениям к сетевым операциям, датчикам, адресной книге и периферийным устройствам (USB, камере). По умолчанию запрещено получение сведений о IMEI, MAC-адресе, серийном номере SIM-карты и других аппаратных идентификаторах. Чтение из буфера обмена разрешено только приложениям, в которых в данный момент активен фокус ввода. Включены дополнительные меры для изоляции связанных с Wi-Fi и Bluetooth процессов и предотвращения утечек в результате беспроводной активности. Многие из разработанных в рамках проекта механизмов усиления безопасности перенесены в основную кодовую базу Android.

В GrapheneOS применяется криптографическая верификация загружаемых компонентов и расширенное шифрование данных на уровне файловых систем ext4 и f2fs (данные шифруются при помощи AES-256-XTS, а имена файлов - AES-256-CTS c использованием HKDF-SHA512 для генерации отдельного ключа для каждого файла), а не блочного устройства. Данные в системных разделах и в каждом профиле пользователя шифруются разными ключами. Используются доступные аппаратные возможности для ускорения операций шифрования. На экране блокировки отображается кнопка завершения сеанса, после нажатия которой ключи для расшифровки сбрасываются и хранилище переводится в неактивированное состояние. Имеется настройка для запрета установки дополнительных приложений в выбранных профилях пользователей. Для защиты от подбора паролей задействована система задержек, зависящих от числа неудачных попыток (от 30 секунд до 1 дня).

В состав GrapheneOS принципиально не включаются приложения и сервисы Google, а также альтернативные реализации сервисов Google, такие как microG. При этом имеется возможность установки сервисов Google Play в отдельном изолированном окружении, не имеющем специальных привилегий. Проектом также развивается несколько собственных приложений, сфокусированных на защите информации и приватности. В частности, предлагаются браузер Vanadium на базе Chromium и модифицированный вариант движка WebView, защищённый PDF-просмотрщик, межсетевой экран, приложение Auditor для верификации устройств и выявления вторжений, приложение для работы с камерой, нацеленное на обеспечение конфиденциальности, и система создания шифрованных резервных копий Seedvault.

1. OpenNews: Обновление защищённой Android-платформы GrapheneOS
2. OpenNews: Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
3. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
4. OpenNews: Раскол среди создателей проекта CopperheadOS
5. OpenNews: Опубликована ФС Oramfs, скрывающая характер доступа к данным

Браузер Ladybird преодолел путь от простого HTML-просмотрщика, специфичного для SerenityOS, до кроссплатформенного продукта, использующего собственный браузерный движок. Фактически браузер перерос SerenityOS и разделил сообщество на две группы - разработчиков ОС и разработчиков кроссплатформенного браузера. Так как занимающиеся браузером и операционной системой разработчики со временем всё больше и больше отдалялись и теряли общие интересы, в конечном счёте было решено полностью разделить эти проекты. После разделения Андреас возглавит разработку браузера, а группа основных мэйнтейнеров получит управление над SerenityOS.

После отделения разработчики браузера Ladybird прекратят поддержку ОС SerenityOS и сосредоточатся на разработке для платформ Linux и macOS. Разработчики же SerenityOS смогут вернуться к исходной модели разработки ради удовольствия, общения с единомышленниками и в качестве хобби. В отличие от SerenityOS в проекте Ladybird будут убраны ограничения, запрещавшие использование в проекте стороннего кода. Старый репозиторий Ladybird переведён в архивный режим.

Браузер Ladybird использует собственные движок LibWeb, JavaScript-интерпретатор LibJS, библиотеку отрисовки текста и 2D-графики LibGfx, движок для регулярных выражений LibRegex, XML-парсер LibXML, интерпретатор промежуточного кода WebAssembly (LibWasm), библиотеку для работы с Unicode LibUnicode, библиотеку для преобразования текстовых кодировок LibTextCodec, парсер для разметки Markdown (LibMarkdown), библиотеки с криптографическими примитивами (LibCrypto, LibTLS), библиотеку для работы с архивами LibArchive, библиотеки для воспроизведения звука и видео (LibAudio, LibVideo) и библиотеку LibCore с общим набором полезных функций, таких как преобразование времени, ввода/вывод и обработка MIME-типов.

Графический интерфейс оформлен в классическом стиле и поддерживает вкладки. Для построения интерфейса в macOS используется AppKit, в Android - родной для данной платформы API создания графического интерфейса, а на остальных платформах - Qt. Поддерживаются основные web-стандарты (браузер проходит тесты Acid3), HTTP/1.1 и HTTPS. Код написан на языке C++ и распространяется под лицензией BSD. Поддерживается работа в Linux, macOS, Android, Haiku и OpenIndiana.

В Ladybird применяется многопроцессная архитектура, в которой занимающийся формированием интерфейса процесс отделён от процессов, обеспечивающих обработку web-контента, отправку запросов по сети, декодирование изображений и хранение Cookie. Связанные с декодированием изображений и сетевым взаимодействием обработчики выделены в отдельные процессы для усиления изоляции и защиты. Для каждой вкладки используется отдельный процесс обработки web-контента, изолированный от остальной системы.

1. OpenNews: Развиваемый проектом SerenityOS web-браузер успешно прошёл тесты Acid3
2. OpenNews: Проект SerenityOS развивает Unix-подобную ОС c графическим интерфейсом
3. OpenNews: Новая версия браузера NetSurf 3.11
4. OpenNews: После многолетнего забвения опубликован минималистичный web-браузер Dillo 3.1
5. OpenNews: Представлен кросс-платформенный web-браузер Ladybird

Наиболее важные изменения:

• При подготовке новой ветки основное внимание было сосредоточено на обеспечении поддержки работы с использованием протокола Wayland. Добавлен экспериментальный сеанс на базе Wayland, использующий композитный сервер Wayfire. Большинство апплетов, размещаемых в панели, включая апплет управления громкостью, апплет индикации заряда аккумулятора и сетевой апплет, адаптированы для работы с Wayland (исключение составили только апплеты AccessX и Geyes, завязанные на X11). Обеспечена работа с Wayland конфигуратора (Центр управления), мультимедийных приложений, системы вывода уведомлений, системы управления энергопотреблением, эмулятора терминала.
• В панели задач реализована возможность отображения списка активных окон при использовании Wayland, а также обеспечена корректная индикация состояния корзины.
• В файловом менеджере Caja добавлена поддержка управления пиктограммами на рабочем столе, отрисовки фоновых изображений и изменения обоев рабочего стола при использовании сеанса на основе Wayland. Добавлен плагин audio-video-properties для показа свойств мультимедийных файлов.
• На использование сборочной системы Meson переведены просмотрщик изображений Eye of MATE, конфигуратор mate-control-center, программа для работы с архивами Engrampa, mate-terminal, mate-desktop, mate-menu, mate-polkit, mate-power-manager, mate-system-monitor и мультимедийные утилиты.
• В оконный менеджер Marco добавлена настройка "alt-tab-raise-windows", при установке которой при циклическом переборе эскизов окон в интерфейсе, показываемом при нажатии на Alt+tab, выбранные окна будут приподняты относительно других окон для упрощения их идентификации.
• Просмотрщик документов Atril переведён на использование библиотеки libarchiv для обработки форматов с комиксами. Заявлена поддержка формата EPUB. Браузерный движок обновлён до WebKitGTK 4.2.1. Актуализирована кодовая база, которая избавлена от использования устаревших методов.
• В программе для работы с архивами Engrampa для работы с форматом CPIO задействована утилита unar вместо утилиты cpio. Добавлена поддержка утилиты unrar-free. Проведена работа по повышению производительности и улучшению совместимости с различными архиваторами.
• Для текстового редактора Pluma добавлен плагин Quickhighlight, обеспечивающий подсветку мест в документе, где встречается выделенный фрагмент текста.
• В эмуляторе терминала MATE Terminal обеспечен корректный перенос файлов из файлового менеджера в окно терминала (вставляется путь к файлу). Добавлена поддержка escape-последовательности OSC 8 для вставки гиперссылок. Улучшена работа со вкладками - добавлена поддержка двойного щелчка мышью на вкладке для смены её имени.
• В mate-indicator-applet, универсальный апплет для показа индикаторов в панели (Ayatana AppIndicator), добавлена поддержка средней кнопки мыши.
• Фоновый процесс для управления настройками (mate-settings-daemon) переведён с dbus-glib на GDBus.
• В системном мониторе (mate-system-monitor) улучшен интерфейс и по умолчанию включена поддержка systemd.
• Внесены изменения для повышения стабильности и эффективности работы просмотрщика изображений eom (Eye of MATE).
• Устранены утечки памяти и внесены косметические изменения в конфигуратор.
• Улучшен интерфейс редактора меню Mozo.
• Проведена чистка кодовой базы от устаревших библиотек и реализована совместимость с актуальными выпусками GTK.

1. OpenNews: Релиз десктоп-окружения MATE 1.26, форка GNOME 2
2. OpenNews: Дистрибутив Ubuntu MATE сформировал сборки для плат Raspberry Pi
3. OpenNews: Выпуск редакции дистрибутива Slackel 7.7 с рабочим столом MATE
4. OpenNews: Инициатива по портированию приложений MATE для Wayland
5. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS

Важные изменения

• Добавлена поддержка тёмной темы оформления.
• По умолчанию задействована кодировка UTF-8. В настройках (Document→Settings...→Language) оставлена возможность использования традиционных кодировок. Старые кодировки также продолжат использоваться в уже существующих документах и шаблонах.
• Полностью переписана реализация языка разметки документов DocBook. Добавлена поддержка спецификации DocBook 5 и возможность сохранения документов в форматах DocBook и ePub.
• Реализована поддержка сохранения документов в формате HTML5 с использованием элементов <section> (ранее поддерживался только старый HTML 1).
• Расширены возможности по визуальной компоновке таблиц. Добавлены стили таблиц, которые можно выбрать при вставке новой таблицы (Document→Settings...→Text Layout). Возможно создание собственных стилей. Добавлена поддержка использования слитных или раздельных горизонтальных разделителей для индикации группировки столбцов в таблице.
• Предложен новый диалог для выбора шаблонов (File→New From Template...) и файлов с примерами (File→Open Example...), отображающий информацию в структурированном виде, а также показывающий примеры и шаблоны из каталога пользователя. Упрощён процесс сохранения собственных шаблонов в домашнем каталоге, используя меню "File→Save As Template...".
• Переделан диалог для поиска и замены, который теперь может как прикрепляться в виде встроенной панели в нижней части, так и отсоединяться в отдельное окно. Добавлены режимы поиска по мере набора запроса и поиска/замены только в выделенной области текста.
• Полностью переделан интерфейс для настройки свойств документа.
• Изменён диалог с настройками Bib(la)TeX, в котором теперь в одном месте отображается как доступные, так и выбранные библиографические базы данных. Добавлена возможность выбора кодировки текста в привязке к отдельным файлам.
• Переработан диалог выбора модулей (Document→Settings...→Modules). Обеспечен показ доступных модулей с разделением на категории. Добавлена функция быстрого поиска по имени модуля и имени файла.
• Повышено удобство редактирования математических уравнений,
• Добавлена возможность выбора различных форм вставки даты и времени.
• Предоставлена возможность определения режима выравнивания для всего плавающего содержимого.
• В панели инструментов для кнопок изменения свойств текста и вставки из буфера обмена реализован показ истории прошлых операций. Добавлена возможность выбора через панель инструментов собственных стилей символов.
• Добавлена опция (Document→Settings→Numbering & TOC→Line numbering) для отображения номеров строк в документе.
• Расширены возможности для отслеживания изменений в документе.
• Добавлена возможность выбора для отдельных документов собственных словарей для проверки правописания. Реализована поддержка построения списка отдельных слов или фраз, игнорируемых при проверке правописания.
• Расширен перечень поддерживаемых команд и шрифтов LaTeX. При использовании пакета многоязычной вёрстки LaTeX-документов Polyglossia реализована поддержка русского языка.
  1. OpenNews: Выход текстового процессора LyX 2.3.0
  2. OpenNews: Релиз визуального редактора LaTeX-документов LyX 2.0.0
  3. OpenNews: Выпуск TeX-дистрибутива TeX Live 2023 и пакета a2ps 4.15
  4. OpenNews: Завершена публикация каталога пакетов LaTeX
  5. OpenNews: Выпуск LaTeX2HTML 2018

СУБД Greenplum представляет собой распределённую редакцию открытой СУБД PostgreSQL, оптимизированную для выполнения аналитических запросов над большими массивами данных (Data Warehouse). Для параллельной обработки данных применяется массово-параллельная архитектура (MPP, massively parallel processing), обеспечивающая масштабируемость хранилища до петабайтных размеров за счёт разделения данных на сегменты и задействования для их хранения и обработки кластера из группы серверов. В качестве открытой альтернативы можно упомянуть СУБД Cloudberry, являющуюся форком Greenplum, переведённым на кодовую базу PostgreSQL 14 (Greenplum базируется на PostgreSQL 12) и предоставляющим расширенную функциональность, сохраняя при этом обратную совместимость с Greenplum.

Greenplum активно применяется в процессах замещения продуктов ушедших с российского рынка компаний, а также лежит в основе аналитической СУБД Arenadata DB (ADB) от российской компании Аренадата. По заявлению компании Аренадата сворачивание публичной разработки Greenplum не окажет негативного влияния на развитие Arenadata DB, так как компания была готова в подобному развитию событий и приступила к сопровождению собственного форка, продолжающего развиваться под открытой лицензией Apache 2.0 (ранее разработчики из Аренадата передавали изменения в основной совместный проект и являлись одними из его активных участников).

1. OpenNews: Релиз СУБД PostgreSQL 16
2. OpenNews: Для PostgreSQL представлен движок хранения OrioleDB, обходящийся без операции VACUUM
3. OpenNews: Первый стабильный выпуск FerretDB, реализации MongoDB на базе СУБД PostgreSQL
4. OpenNews: Выпуск IvorySQL 2.1, надстройки над PostgreSQL для обеспечения совместимости с Oracle
5. OpenNews: Открыты исходные тексты СУБД CitusDB

Атака была совершена с использованием типового вредоносного ПО Chalubo, известного с 2018 года, организующего централизованное управление ботнетом и применяемого для Linux-устройств на базе 32- и 64-разрядных архитектур ARM, x86, x86_64, MIPS, MIPSEL и PowerPC. Как именно устройства были скомпрометированы для установки вредоносного ПО информации нет, исследователи лишь предполагают, что доступ к устройствам мог быть получен в результате выставления провайдером ненадёжных учётных данных, использования типового пароля для входа в интерфейс администрирования или эксплуатации неизвестных уязвимостей.

Вредоносное ПО Chalubo подразумевает три этапа внедрения. После эксплуатации уязвимости или использования скомпрометированных учётных данных на устройстве запускается bash-скрипт, который проверяет наличие в системе вредоносного исполняемого файла /usr/bin/usb2rci и при его отсутствии отключает блокировки пакетного фильтра, выполняя "iptables -P INPUT ACCEPT;iptables -P OUTPUT ACCEPT;", после чего загружает с подконтрольного злоумышленникам управляющего сервера (C&C) скрипт get_scrpc.

Скрипт get_scrpc оценивает контрольную сумму md5 файла usb2rci и если она не совпадает с определённым значением загружает второй скрипт get_fwuueicj, который проверяет наличие файла /tmp/.adiisu и при отсутствии создаёт его и загружает основной исполняемый файл вредоносного ПО, собранный для CPU MIPS R3000, в каталог /tmp под именем "crrs", после чего запускает его.

Запущенный файл собирает информацию о хосте, такую как сведения о MAC-адресе, идентификаторе устройства, версии ПО и локальных IP-адресах, и отправляет её на внешний хост, после чего проверяет доступность управляющих серверов и загружает основной компонент вредоносного ПО, который расшифровывается с использованием потокового шифра ChaCha20. Основной компонент может загружать и запускать с управляющего сервера произвольные Lua-скрипты, определяющие логику дальнейших действий, например, участие в совершении DDoS-атак.

Предполагается, что злоумышленники, имеющие доступ к серверам управления ботнетом, воспользовались имеющейся в Chalubo функцией загрузки и выполнения скриптов на языке Lua для перезаписи прошивки устройств и вывода оборудования из строя. Инцидент примечателен тем, что несмотря на распространённость вредоносного ПО Chalubo (в начале 2024 года было зафиксировано более 330 тысяч IP, обращающихся к известным серверам управления ботнетом), описываемые вредоносные действия ограничились только одним провайдером, что позволяет судить о том, что атака была целевой.

1. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
2. OpenNews: Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия
3. OpenNews: RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
4. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
5. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc

Для оценки возможности новой платформы сформировано 22 экспериментальных стартовых набора ALT, предоставляющих live-сборки с пользовательскими окружениями на базе Cinnamon, Deepin, GNOME, IceWM, KDE5, LXDE, LXQt, MATE, GNUstep и Xfce. Продукты на базе 11 платформы, такие как Альт Сервер 11, Альт Рабочая станция 11 и Альт Образование 11, планируют начать выпускать в 4 квартале 2024 года. Стартовые сборки распространяются под лицензией GPL, а продукты серии "Альт" под лицензионным договором, который предоставляет возможность свободного использования только физическими лицами, а для юридических лиц допускает лишь тестирование (для использования требуется приобрести коммерческую лицензию или заключить лицензионный договор в письменной форме).

Основные изменения:

• Предложены пакеты с ядрами Linux 6.1.87, 6.6.28, 6.1.90-rt и 3.10.0.1160.90.1.vz7.200.7 (openvz).
• Обновлены компоненты системы: systemd 255.6, Glibc 2.38, OpenSSL 3.1.5, GnuTLS 3.8.4, Bash 5.2, NetworkManager 1.46.0.
• Обновлены пакеты для разработчиков: GCC 13.2.1, LLVM 18.1, Python 3.12.2, Perl 5.38.2, PHP 8.3.6, Ruby 3.1.4, Rust 1.77, Go 1.22, Java 21, Node.js 20.12.1.
• Обновлены компоненты графического окружения: X.Org Server 21.1.13, Mesa 24.0.6, GTK 4.14.3, Qt 5.15.13, GNOME 46, KDE 5.115.0 (пакеты с KDE 6 добавлять не планируют), MATE 1.28.0, Xfce 4.18.0, Enlightenment 0.26.0, Cinnamon 6.0.4.
• Обновлены пользовательские приложения: Firefox 125.0.1, Chromium 124, LibreOffice 24.2, Telegram Desktop 5.0.0, Ardour 8.6, Audacity 3.4.2, FFmpeg 6.1.1.
• Обновлены серверные пакеты: Samba 4.20.0, BIND 9.18.26, CUPS 2.4.7, Kea DHCP 2.4.1, Apache httpd 2.4.59, nginx 1.24.1, MariaDB 10.11.7, PostgreSQL 16.3, Postfix 3.8.3, Dovecot 2.3.21, Tomcat 10.1.20, Ansible 2.16.6, Puppet 8.4.0, DPDK 23.11.0, BIRD 2.15.
• Обновлены инструменты для виртуализации и контейнерной изоляции: Docker 26.1.0, Podman 5.0.2, Proxmox (PVE) 8.1.10, Kubernetes 1.28.8, OpenNebula 6.6.1.1, libvirt 10.2.0, Open VSwitch 3.3.0, runc 1.1.12.
• Осуществлён переход на мультимедийный сервер PipeWire 1.0.7. Звуковой сервер JACK удалён из репозитория в пользу pipewire-jack.
• Все исполняемые файлы и библиотеки из корневых каталогов /bin, /sbin и /lib перенесены в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr).
• Идентификатор (UID) пользователя nobody изменён с 99 на значение 65534 (значение overflowuid).
• В репозитории разрешены пакеты с символом "~" в версии или релизе, что может применяться для обозначения предварительных версий, например, 1.2~rc2.
• В утилиту apt-get добавлена поддержка наглядного вывода пакетов с группировкой в несколько столбцов.
• Для беспроводных соединений предоставлена возможность назначения отдельного постоянного MAC-адреса (режим stable-ssid).
• Добавлена поддержка Multipath TCP.
• Вместо ISC DHCP задействован DHCP-сервер Kea.
• Добавлена утилита ALT Diagnostic Tool с графическим интерфейсом для диагностики системы.
• Добавлена библиотека libdomain 0.9.13, предназначенная для упрощения взаимодействия с различными серверами LDAP, включая FreeIPA, Samba/AD и OpenLDAP. В libdomain 0.9.13 реализованы начальная поддержка samba, набор тестов для samba, тесты для TLS, тесты для добавления и удаления, модификации и переименования компьютеров в OpenLDAP.
• Добавлен alterator-browser 0.1.3, графический интерфейс для настройки системы с использованием D-Bus, поддерживающий отображение и запуск установленных модулей Альтератора.

1. OpenNews: Опубликованы дистрибутивы Альт Сервер 10.2 и Альт Рабочая станция 10.2
2. OpenNews: Экспериментальные сборки ALT Linux для процессоров Loongarch64 и смартфона Pinephone Pro
3. OpenNews: Выпуск дистрибутива Simply Linux 10.2
4. OpenNews: Десятая платформа ALT

Основные изменения в протоколе:

• В libwayland реализован API, позволяющий клиенту определить максимальный размер внутреннего буфера соединений на стороне сервера. Базовый максимальный размер буфера выставляется через интерфейс wl_display, а новый API позволяет клиентам изменять его в привязке к каждому клиентскому соединению. C практической стороны изменение позволяет использовать буферы большего размера в специфичных Wayland-клиентах, таких как Xwayland, которым свойственна большая интенсивность событий ввода.
• Для запросов (request), событий (event) и перечислений (enum) предоставлена возможность использования XML-атрибута "deprecated-since" для пометки устаревших элементов. В терминологии Wayland запросы - это сообщения, отправляемые клиентом к серверу; события - это сообщения передаваемые от сервера к клиенту; перечисления - это связанные с определённым именем наборы числовых значений, которыми манипулирует протокол.
• В утилиту wayland-scanner, предназначенную для генерации заголовочных файлов и кода на языке Си на основе XML-файлов с описанием протокола, добавлен режим "enum-header", включающий указание в заголовочных файлах только "перечислений".
• В wayland-scanner обеспеченна генерация проверочных функций (validator) для "перечислений" на стороне сервера.
• Добавлена возможность присвоения имён очередям событий с целью упрощения отладки.
• Добавлены функции wl_client_get_user_data() и wl_client_set_user_data(), упрощающие прикрепление произвольных данных к клиенту.
• Добавлен запрос wl_shm.release, позволяющий клиенту информировать сервер о прекращении использования разделяемого объекта, что позволяет серверу освободить связанную с ним память.
• Добавлена поддержка платформы OpenBSD.

Связанные с Wayland события, произошедшие с момента публикации прошлого выпуска:

• Опубликован XWayland 24.1.0 с поддержкой технологии Explicit Sync и улучшением поддержки архитектур 2D-ускорения GLAMOR и EXA.
• Обновление композитного сервера labwc (Lab Wayland Compositor) с возможностями, напоминающими оконный менеджер Openbox.
• Проект wprs, развивающий для Wayland менеджер сеансов, похожий на утилиту screen, но для графических приложений.
• Публикация композитного сервера Niri, использующего Wayland и предлагающего метод мозаичной (tiling) компоновки с группировкой окон в бесконечно прокручиваемую на экране ленту.
• Обновление набора протоколов и расширений Wayland-Protocols: 1.34, 1.33, 1.32, 1.35.
• Разработка библиотеки SDL3, применяющей Wayland по умолчанию.
• Выпуск среды рабочего стола LXQt 2.0.0 с поддержкой Wayland в файловом менеджере PCManFM-Qt, системе уведомлений, рабочем столе, утилите для запуска программ (Runner), панели, интерфейсе выхода из системы, интерфейсе настройки LXQt и большинстве приложений.
• Релиз пользовательского окружения Sway 1.9, использующего Wayland.
• Новый композитный менеджер miracle-wm, базирующийся на Wayland и компонентах для построения композитных менеджеров Mir.
• Louvre - новая библиотека для разработки композитных серверов на базе Wayland.
• Работа по реализации поддержки Wayland в Xfce.
• Начальная поддержка Wayland в среде рабочего стола Budgie.
• Начальная поддержка Wayland в среде рабочего стола Cinnamon.
• Почти завершено портирование рабочего стола MATE для Wayland.
• Дистрибутив Lubuntu переходит на использование Qt 6 и Wayland.
• В KDE 6 по умолчанию предложен сеанс, использующий протокол Wayland. Реализована поддержка Wayland-расширений для управления цветом.
• В платформе Electron включён режим декорирования окон для Wayland.
• Обновление композитного сервера Wayfire, использующего Wayland и позволяющего формировать интерфейсы пользователя c 3D-эффектами в стиле 3D-плагинов к Compiz.
• Поддержка Wayland в IDE IntelliJ и OpenJDK.
• Поддержка Wayland в текстовом редакторе GNU Emacs.
• В GNOME в сеансе на базе Wayland реализована поддержка программного KVM-коммутатора Input Leap, позволяющего использовать одну клавиатуру и мышь для управления несколькими компьютерами.
• Редакция Fedora с рабочим столом KDE прекратила поддержку сеанса на основе протокола X11 в базовой поставке.
• Улучшена поддержка окружений на базе Wayland в проприетарных драйверах NVIDIA.
• Реализован драйвер, позволяющий использовать Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11.
• Сформирован выпуск композитного сервера Weston 13.0.
• Для тестирования работы KDE, GNOME, Enlightenment, Wayfire, Mir, Xfce и Sway поверх Wayland выпускается специальный Live-дистрибутив Rebecca Black Linux.
• В Linux-сборках Firefox по умолчанию включено использование композитного сервера Wayland вместо XWayland. Предоставлена возможность создания сборок, поддерживающих работу только в Wayland.

Напомним, что Wayland представляет собой протокол взаимодействия композитного сервера и работающих с ним приложений. Клиенты самостоятельно выполняют отрисовку своих окон в отдельном буфере, передавая информацию об обновлениях композитному серверу, который комбинирует содержимое буферов отдельных приложений для формирования итогового вывода с учётом возможных нюансов, таких как перекрытие окон и прозрачность. Иными словами, композитный сервер не предоставляет API для отрисовки отдельных элементов, а оперирует только с уже сформированными окнами, что позволяет избавиться от двойной буферизации при использовании высокоуровневых библиотек, таких как GTK и Qt, берущих на себя работу по компоновке содержимого окон.

Wayland решает многие проблемы с безопасностью X11, так как в отличие от последнего изолирует ввод и вывод для каждого окна, не позволяет клиенту получить доступ к содержимому окон других клиентов, а также не допускает перехват связанных с другими окнами событий ввода. В настоящее время поддержка прямой работы c Wayland уже реализована для библиотек GTK, Qt, SDL (начиная с выпуска 2.0.2), Clutter и EFL (Enlightenment Foundation Library). Начиная с Qt 5.4 в состав включён модуль QtWayland с реализацией компонентов для работы Qt-приложений в окружении композитного сервера Weston, развиваемого проектом Wayland.

Взаимодействие с аппаратным обеспечением в Wayland/Weston, например, проведение инициализации, переключение видеорежимов (drm modesetting) и управление памятью (GEM для i915 и TTM для radeon и nouveau) графических карт, может производиться напрямую через модуль, работающий на уровне ядра, что позволяет обойтись без привилегий суперпользователя. Композитный сервер Weston может работать не только с использованием DRM-модуля ядра Linux, но и поверх X11, другого композитного сервера Wayland, фреймбуфера и RDP. Кроме того, развиваются проекты по обеспечению работы поверх графического стека платформы Android.

В рамках проекта Weston развивается одна из реализаций композитного сервера. В роли композитного сервера также может выступать любой другой продукт, поддерживающий протокол Wayland. Например, в настоящее время ведётся работа по обеспечению поддержки Wayland в KWin. В текущем виде Weston уже вышел за рамки набора примеров для тестирования протокола Wayland и может обрастать функциональностью через плагины и дополнения. Пользовательские оболочки и расширенные функций управления окнами предлагается реализовывать в форме внешних бэкендов к Weston. Для обеспечения выполнения обычных X11-приложений в окружении на базе Wayland используется DDX-компонент XWayland (Device-Dependent X), похожий по организации работы на Xwin и Xquartz для платформ Win32 и macOS.

1. OpenNews: Доступен Wayland 1.22
2. OpenNews: Доступна Louvre 1.0, библиотека для разработки композитных серверов на базе Wayland
3. OpenNews: Выпуск Wayland-Protocols 1.35
4. OpenNews: Выпуск XWayland 24.1.0, компонента для запуска X11-приложений в Wayland-окружениях
5. OpenNews: Выпуск композитного сервера Weston 13.0

В последующем начнётся постепенный процесс отключения дополнений, использующих вторую версию манифеста, а пользователям будут выводиться рекомендации по установке доступных в Chrome Web Store альтернатив, перешедших на третью версию манифеста. При этом в течение какого-то времени пользователю будет предоставлена возможность возвращения отключённых дополнений, но со временем данная функциональность будет убрана. Связанные с отключением поддержки второй версии манифеста изменения вначале будут применяться к тестовым веткам Chrome (Beta, Dev и Canary), но в последующие месяцы затронут и стабильные выпуски. Завершить уход от второй версии манифеста планируют до начала следующего года. Корпоративным пользователям будет дана возможность отсрочить прекращение поддержки второй версии манифеста до июня 2025 года.

Отмечается, что Google в прошлом году устранил все основные проблемы, мешавшие переходу на третью версию манифеста, и учёл пожелания в его функциональности, например в API declarativeNetRequest увеличил допустимое число статических правил до 330 тысяч, а динамических до 30 тысяч. В настоящее время в каталоге Chrome Web Store около 85% дополнений уже поддерживают третью версию манифеста, включая самые популярные дополнения для фильтрации контента - AdBlock, Adblock Plus, uBlock Origin и AdGuard.

Третья версия манифеста Chrome разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений, и усложнению возможности создания небезопасных и медленных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.

В новом манифесте также осуществлён переход к выполнению Service workers в форме фоновых процессов и задействована гранулированная модель запроса полномочий (дополнение не может активироваться сразу для всех страниц, а будет работать только в контексте активной вкладки). Изменена обработка Cross-origin запросов - на скрипты обработки контента распространены те же ограничения полномочий, что и для основной страницы, в которую эти скрипты внедряются (например, если страница не имеет доступа к API определению местоположения, то и скрипт дополнения также не получит этот доступ). Запрещено выполнение кода, загруженного с внешних серверов (когда дополнение подгружает и выполняет внешний код).

1. OpenNews: Планы в отношении поддержки в Firefox второй и третьей версий манифеста Chrome
2. OpenNews: Google отложил прекращение поддержки сторонних Cookie в Chrome
3. OpenNews: Google отложил на 2024 год прекращение поддержки второй версии манифеста Chrome
4. OpenNews: В Chrome началось тестирование третьей редакции манифеста, несовместимой с uBlock Origin
5. OpenNews: Google опубликовал план прекращения поддержки второй версии манифеста Chrome

Кроме того, опубликован отчёт о рецензировании Git-репозитория и изменений, добавленных с декабря 2022 года во время нахождения Jia Tan на посту сопровождающего. Изменения разобраны на уровне отдельных коммитов. Коммиты в репозитории не были заверены цифровой подписью, но следов подделки со стороны коммиттеров не выявлено. Всего из репозитория удалено 8 вредоносных коммитов.

Из кодовой базы пока не удалён код CRC CLMUL, приводящий к ложным срабатываниям при проверке в MSAN (Memory sanitizer) и проблемам с OSS Fuzz. В дальнейшем данный код планируют переработать, но пока его решено не трогать, чтобы избежать регрессий в старых ветках. Подозрительных изменений в старых коммитах, добавленных до внесения изменений, связанных с продвижением бэкдора, не выявлено. Отдельно были проверены po-файлы локализации, метаданные в файлах tar и архивы с релизами и переводами.

Из изменений также отмечается включение накопившихся исправлений ошибок и удаление поддержи механизма IFUNC, предоставляемого в Glibc для косвенного вызова функций, который был задействован для организации перехвата функций в бэкдоре. Отмечено, что использование IFUNC лишь усложняет код, а выигрыш в производительности от него несущественный. В качестве перестраховки из пакета c исходными текстами также удалены логотип XZ, PDF-версии man-страниц и два теста для архитектур x86 и SPARC, в которых в качестве входных данных обрабатывались объектные файлы.

Из новшеств в декодировщик xzdec добавлена поддержка 4 версии ABI механизма изоляции приложений Landlock. В сборочные скрипты Autotools добавлена опция "--enable-doxygen", а в сценарии Cmake параметр ENABLE_DOXYGEN для генерации и установки документации на API liblzma, используя Doxygen. Уже сгенерированная документация удалена из пакета.

1. OpenNews: В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
2. OpenNews: Ретроспектива продвижения бэкдора в пакет xz
3. OpenNews: Разбор логики активации и работы бэкдора в пакете xz
4. OpenNews: В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock
5. OpenNews: Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz