Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


Уязвимость в Samba, позволяющая выполнить код на сервере


Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT.

Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр "nt pipe support = no" в секцию "[global]" smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и RHEL. Проследить за выпуском обновлений пакетов в других дистрибутивах можно на данных страницах: Ubuntu, openSUSE, SUSE, CentOS.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46591

Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры


В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и VLC 2.2.5.1 (частично, полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.

Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу, проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрами. Атакующий может подготовить специально оформленный zip-архив, при распаковке которого может быть переписан любой файл в системе в рамках прав доступа текущего процесса с медиаплеером. Кроме того, в Popcorn-Time, судя по всему, устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода (межсайтовый скриптинг) в состав субтитров в формате SRT, который будет обработан в контексте JavaScript-движка, применяемого для построения интерфейса приложения. В VLC уязвимости вызваны переполнениями буфера в обработчике субтитров.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46590

В Linux обеспечена возможность устранения уязвимости MouseJack в устройствах Logitech


Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке Fedora и GNOME, реализовал для Linux инструмент для обновления прошивок беспроводных мышей, подверженных атаке MouseJack. Несмотря на то, что атака MouseJack была разработана более года назад, некоторые производители до сих пор не выпустили инструментарий для обновления прошивки, который можно было бы использовать в Linux. В частности Logitech не относит Linux к числу официально поддерживаемых систем и не планирует выпускать исправления.

При этом MouseJack является достаточно опасной проблемой, позволяющей из-за отсутствия защиты протокола, используемого при обмене данными между компьютером и мышью, получить контроль над беспроводными мышами на расстоянии до ста метров и симулировать через них клавиатурный ввод (протокол поддерживает передачу сведений о нажатиях клавиш). Так как исправление поставляется только в виде exe-файла, Linux-пользователи подобных устройств вынуждены были искать систему с Windows, подключать к ней свою мышь и выполнять обновление прошивки. В случае использования ноутбуков со встроенными адаптерами беспроводных мышей требовалась загрузка Windows на данном ноутбуке.

Для решения возникшей проблемы Ричард адаптировал применяемый в Fedora инструментарий fwupd для установки в Linux обновлений прошивок, предоставляемых компанией Logitech для других платформ. Исправление в том числе может быть использовано для беспроводных мышей Amazon, Microsoft, Lenovo и Dell, которые выпускаются по контракту компанией Logitech под другими брендами. Изначально метод обновления был воссоздан на основе обратного инжиниринга пакета для загрузки обновления, поставляемого для платформы Windows. Но затем инженеры Logitech предоставили разработчику официальную документацию по организации доступа к внутреннему интерфейсу замены прошивки в ресиверах и подверженных проблеме периферийных компонентах.

На основании данной документации в fwupd была добавлена полноценная поддержка смены прошивок в оборудовании Logitech. Для обновления прошивки в Fedora теперь достаточно обновить пакет fwupd до версии 0.9.2-2.fc26, активировать тестовый канал доставки обновлений (параметр DownloadURI) в файле конфигурации /etc/fwupd.conf и запустить команду "fwupdmgr refresh && fwupdmgr", вызвать GNOME Software или выполнить перезапуск сервиса.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46589

Стабильный выпуск СУБД MariaDB 10.2


После полутора лет разработки и пяти предварительных выпусков сформирован первый стабильный релиз новой ветки СУБД MariaDB 10.2, в рамках которой развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с полностью открытым и прозрачным процессом разработки, не зависящим от отдельных вендоров. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL 7, SUSE 12, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian 9) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.

Ключевые улучшения MariaDB 10.2:

  • Добавлена экспериментальная поддержка движка хранения MyRocks, разработанного Facebook на базе системы хранения RocksDB, оптимизированной для Flash-накопителей. В хранилище MyRocks применяются страницы данных плавающего размера, позволяющие избежать выравнивания по фиксированной границе блока, и модель хранения данных в форме лога (Log Structured Merge Trees), допускающая только дополнение (чистка производится сборщиком мусора). В процессе выполнение запросов в несколько раз сокращается число операций случайного чтения/записи, что приводит к увеличению производительности по сравнению с InnoDB на 20-30% на SDD и до 6 раз на НЖМД при нагрузке с большим числом операций случайной записи. Кроме того, MyRocks позволяет на 50% сократить размер БД по сравнению со сжатым хранилищем InnoDB и в 3.5 раза по сравнению с InnoDB без применения сжатия. Из недостатков MyRocks можно отметить отсутствие поддержки внешних ключей и полнотекстовых индексов;
  • Добавлена поддержка оконных функций, задаваемых ключевым словом OVER и позволяющих совершить вычисление над набором строк, связанных с текущей строкой. По аналогии с агрегатными функциями оконные функции позволяют обратиться к другим строкам в процессе обработки результата запроса, но в отличие от агрегатных функций они не группируют результат в одну строку;
  • Поддержка общих табличных выражений (выражение "WITH") и рекурсивных общих табличных выражений ("WITH RECURSIVE"). Секцию WITH можно использовать для определения подзапросов как локальных временных таблиц, на которые можно много раз ссылаться в запросе. "WITH RECURSIVE" позволяет обращаться к собственному результату, например, можно организовать обход дерева в процессе выполнении запроса;
  • Добавлено выражение "CONSTRAINT... CHECK" в блоке "CREATE TABLE" для задания ограничений столбца;
  • Реализована возможность указания выражений в блоке DEFAULT, например "b int DEFAULT (a+1)". Обеспечена поддержка указания значений DEFAULT для полей BLOB и TEXT;
  • Хранилище InnoDB обновлено до выпуска из состава MySQL 5.7.18 и задействовано по умолчанию (ранее по умолчанию предлагалось ответвление от InnoDB - XtraDB, смысл использования которого потерялся после того, как в InnoDB реализовали большинство основных возможностей XtraDB). В InnoDB добавлена поддержка пространственных индексов (spatial index);
  • Добавлено выражение "SHOW CREATE USER", показывающее полное выражение "CREATE USER", использованное для создания указанного пользователя;
  • Для выражения "CREATE USER" реализованы опции для ограничения потребления ресурсов и настройки tls/ssl. Например, теперь можно ограничить максимальное число запросов или соединений в час;
  • Представлено новое выражение "ALTER USER", позволяющее внести изменения в учётную запись существующего пользователя;
  • Сняты многие ограничения для виртуально вычисляемых столбцов;
  • Добавлена поддержка выражения "EXECUTE IMMEDIATE" для запуска динамического SQL-выражения, созданного на лету;
  • В оператор PREPARE добавлена возможность использования большинства выражений;
  • Добавлены функции для работы с данными в формате JSON;
  • Добавлен плагин аутентификации, использующий алгоритм ed25519 для хранения паролей;
  • В состав сборок для Windows, CentOS, RHEL и Fedora добавлен плагин для расшифровки ключей, используемых в Amazon Web Services (AWS) Key Management Service (KMS), для их последующего использования для шифрования данных в БД;
  • Появилась возможность привязки нескольких разных триггеров к одному событию;
  • Добавлена поддержка отложенной репликации, при которой состояние slave-сервера на заданный промежуток времени отстаёт от master-сервера;
  • Переработана реализация выражения ANALYZE TABLE, которое теперь не блокирует таблицу во время сбора статистики;
  • Библиотека wsrep, используемая для организации синхронной multi-master (active-active) репликации Galera, обновлена до выпуска 25.3.20;
  • Обеспечено формирование пакетов для Ubuntu 17.04;
  • В mysqldump добавлена опция "--add-drop-trigger", воспроизводящая функциональность MySQL 5.6 по добавлению в SQL-дамп выражения для удаления триггера перед его созданием;
  • Добавлен скрипт mysqlbinlog для организации непрерывного бэкапа бинарного лога. Скрипт поддерживает режим flashback, при помощи которого можно откатить состояние БД или отдельной таблицы на ранее созданный снапшот;
  • Сокращено время установки соединений за счёт выноса создания дескриптора соединений (THD) в отдельную нить и увеличения эффективности кэширования. В некоторых случаях ускорение может достигать 85%;
  • Добавлена поддержка OpenSSL 1.1 и LibreSSL;
  • Добавлены переменные innodb_deadlock_detect и innodb_stats_include_delete_marked для отключения система определения взаимных блокировок и учёта записей, помеченных как удалённые, при расчёте статистики;
  • Добавлена переменная read_binlog_speed_limit, задающая ограничение скорости с которой slave-сервер читает бинарный лог master-сервера;
  • Удалена старая клиентская библиотека, поставляемая под лицензией GPL, на смену которой пришла новая библиотека, имеющая лицензию LGPL.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46585

Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo


Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя "Yahoobleed1") в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, ответвлении от ImageMagick, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах проблема осталась неисправленной в ImageMagick.

Проблема присутствует в декодере RLE, который использует неинициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.

При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagick для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей.

Проблема устранена в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian, SUSE/openSUSE, RHEL, Fedora, Ubuntu, FreeBSD. Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы.

Кроме того, Крис Эванс разработал ещё одну технику атаки на Yahoo Mail, назвав её "Yahoobleed2". Атака основана на уязвимости, исправленной ещё в январе 2015 года, но оставшейся неустранённой в варианте пакета ImageMagick, применяемом в Yahoo. Атака также выполняется через предпросмотр специально оформленного вложения и позволяет получить содержимое браузерных cookies, токенов аутентификации и частей изображений других пользователей Yahoo Mail. Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов (две премии по 14 тысяч) и приняла решение прекратить использование пакета ImageMagick в своих службах.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46584

Релиз облачного хранилища Nextcloud 12, форка ownCloud


После пяти месяцев разработки представлен выпуск облачной платформы Nextcloud 12, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL.

Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных с любого устройства в любой точке сети. Доступ к данным может быть организован как при помощи web-интерфейса, так и с использованием протокола WebDAV и его расширений CardDAV и CalDAV. В отличие от сервисов Google Drive, Dropbox, Яндекс.Диск и box.net, проекты ownCloud и Nextcloud дают пользователю полный контроль над своими данными - информация не привязывается ко внешним закрытым облачным системам хранения, а размещается на подконтрольном пользователю оборудовании. Сервер ownCloud можно развернуть на любом хостинге, поддерживающем выполнение PHP-скриптов и предоставляющем доступ к SQLite, MySQL или PostgreSQL.

Основные новшества Nextcloud 12:

  • Расширены средства для построения объединённых систем (Federation): пользователь может отслеживать изменения совместных ресурсов на других серверах через свой журнал действий. Обмен данными производится через новый ActivityPub API, реализованный в рамках инициативы Global Scale, нацеленной на создание на базе Nextcloud полноценной платформы для создания распределённых хранилищ, работа которых обеспечивается серией разных серверов. В будущем планируется предоставить средства для объединения разрозненных серверов Nextcloud в связанную сеть, способную масштабироваться до систем, способных обслужить миллионы пользователей.

    В рамках отдельных компонентов развиваются Lookup Server и Global Site Selector (GSS). Lookup Server обеспечивает хранение информации о физическом местоположении пользователя и сопоставляет идентификаторы пользователей с идентификаторы связанных с ними совместных ресурсов, хранимых на разных серверах. Lookup Server также обеспечивает хранение расширенных метаданных о пользователях, таких как данные о квотах и ограничениях, класс пропускной способности сети, класс резервирования данных и т.п. GSS выступает в роли центрального звена, запрашиваемого при первом подключении пользователя. GSS выполняет аутентификацию, определяет узел, ответственный за хранение данных текущего пользователя и перенаправляет пользователя на выбранный узел. В дальнейшем пользователь взаимодействует только с привязанным к нему узлом.

  • Переработан web-интерфейс, центральным звеном которого теперь являются приложения, реализующие дополнительную функциональность. Приложения закрепляются на верхней панели и всегда доступны для вызова. В правой части верхней панели появилось новое меню для быстрого доступа к адресной книге, позволяющее инициировать вызов, начать чат или отправить сообщение нужному пользователю. Связь с пользователями также можно инициировать через клик на аватаре, который отображается рядом со всеми сообщениями, уведомлениями, комментариями и другой активностью пользователя;

  • В приложение с реализацией файлового менеджера добавлен упрощённый режим организации совместного доступа к каталогам и функция перемещения файлов через меню, не прибегая к перетаскиванию файлов мышью (drag&drop). Также появилась возможность отправки уникальной публично доступной ссылки на ресурс сразу нескольким пользователям, для каждого из которых можно настроить отдельные права доступа к ресурсу, установить пароль и ограничить время доступа.

  • Расширения возможности видеозвонков: Пользователи могут подключаться к видеовызовам из своего окружения Nextcloud и через защищённые каналы связи общаться с коллегами непосредственно через браузер. В процессе общения можно предоставить совместный доступ к документам и сохранять их в своём экземпляре Nextcloud. Также можно предоставить доступ к содержимому экрана;
  • Добавлена поддержка Push-уведомлений, позволяющих через web-интерфейс или мобильное приложение информировать пользователя о предоставлении доступа к новым ресурсам, публикации ответов на сообщения, появлении новых комментариев. Администраторы могут отправлять Push-уведомления из командной строки и интегрировать их поддержку в сторонние приложения;

  • Добавлена возможность открытия доступа на запись к отдельным файлам, что позволяет, например, опубликовать ссылку на документ и сразу начать его совместное редактирование через сервис Collabora Online;
  • В состав включено новое приложение Circles с реализацией простой приватной социальной сети. При помощи данного приложения пользователи могут создавать свои группы и обмениваться файлами в этих группах. При помощи приложения Social Sharing можно обмениваться информацией с другими социальными сетями, например, публиковать ссылки в Twitter, Facebook, Google+ и Diaspora;
  • Для общения между пользователями предложено приложение Chat, поддерживающее протокол XMPP и способное загружать истории переписки с внешних XMPP-серверов;
  • Представлена порция приложений для администраторов:
    • Global Shares - для создания структуры совместно используемых каталогов для разных групп пользователей;
    • Guest - для предоставления временного доступа сторонних пользователей к определённым данным;
    • Excludedirs - для исключения заданного списка каталогов из индексации и видимости для пользователей. Например, при помощи данного приложения можно скрыть подкаталоги со снапшотами;
    • Quota Warning - для вывода предупреждений о приближении к исчерпанию дисковой квоты;
    • JSloader - позволяет администраторы добавить любой JavaScript-код на все страницы Nextcloud (например, можно добавить счётчик и код web-аналитики);
    • Impersonate - при помощи данного приложения администратор может войти в систему под любым другим пользователем для диагностики возникшей у данного пользователя проблемы;
    • Backup - для создания резервных копий.


  • Добавлена защита от подбора паролей (Brute Force Protection) и проведения атак через формы восстановления забытого пароля;
  • Реализованы средства для ограничения интенсивности запросов (Rate Limit), позволяющие задать лимит в число обращений за определённый период времени для диапазона IP или отдельных пользователей;
  • Добавлена поддержка расширенных схем аутентификации, например, теперь можно использовать OpenID, OAuth 2.0, Kerberos и двухфакторную аутентификацию;
  • Запущена инициатива по выплате денежных вознаграждений за выявление уязвимостей в Nextcloud. Разработчики готовы выплатить до $5000 за сведения о новых уязвимостях и отреагировать на проблему в течение 8 часов.




Источник: http://www.opennet.ru/opennews/art.shtml?num=46582

Выпуск SANE 1.0.27 с поддержкой новых моделей сканеров


После полутора лет разработки сформирован релиз пакета sane-backends 1.0.27, в который входит набор драйверов, утилита командной строки scanimage, демон для организации сканирования по сети saned и библиотеки с реализацией SANE-API. Выпуск SANE 1.0.26 был пропущен, версия 1.0.27 вышла следом за 1.0.25. Пакетом поддерживается 1547 моделей сканеров, из которых 695 имеют статус полной поддержки всех функций, для 716 уровень поддержки оценен как хороший, для 113 - приемлемый, а для 23 - минимальный. Дополнительно для 404 устройств имеется не до конца протестированная реализация драйверов. Нереализованной остается поддержка 487 сканеров.

В новой версии представлены следующие улучшения:

  • Добавлена поддержка 32 новых моделей сканеров и МФУ, в том числе: Canon P-150M, PIXMA MG5700, MG6800, MG6900 и MG7700, Fujitsu fi-74x0 и fi-7030;
  • Внесены существенные улучшения в бэкенды canon_dr, epjitsu, epsonds, fujitsu, genesys, hp3500, pixma и xerox-mfp;
  • По умолчанию для работы с устройствами, подключаемыми через USB, задействована библиотека libusb-1.0. Сборка с libusb-0.1 теперь производится только, если в системе отсутствует libusb-1.0. Сборочные флаги "--enable-libusb*" отныне игнорируются, а для управления поддержкой USB следует использовать флаги "--with-usb" и "--without-usb";
  • Кодовая база переведена с использования стандарта C90 на C99;
  • Обновлён код для обхода проблем с USB 3.0 на платформе Linux. Данный код теперь по умолчанию не активен и требует явного включения через переменную окружения "SANE_USB_WORKAROUND=1", которую можно выставить в ситуации возникновения проблем с доступом к сканеру;
  • Исправлена большая порция ошибок, связанных с Avahi, многопоточной работой, USB, ICC/PNG/JPEG и т.п.;
  • Проведена работа по сокращению числа предупреждений компиляторов и повышению качества кода;
  • Добавлена поддержка операционной системы DragonFly BSD.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46583

Опубликован пакетный менеджер GNU Guix 0.13 и дистрибутив GuixSD на его основе


Проект GNU представил выпуск пакетного менеджера GNU Guix 0.13 и построенного на его основе дистрибутива GNU/Linux - GuixSD (Guix System Distribution). Допускается установка как в качестве обособленной ОС в системах виртуализации и на обычном оборудовании, так и запуск в уже установленных типовых окружениях GNU/Linux. Для загрузки сформированы образы для установки на USB Flash и использования в QEMU (156 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7, aarch64 и mips64el.

Пакетный менеджер GNU Guix основан на наработках проекта Nix и кроме типичных функций управления пакетами поддерживает такие возможности, как выполнение транзакционных обновлений, возможность отката обновлений, работа без получения привилегий суперпользователя, поддержка привязанных к отдельным пользователям профилей, возможность одновременной установки нескольких версий одной программы, средства уборки мусора (выявление и удаление неиспользуемых версий пакетов). Для определения сценариев сборки приложений и правил формирования пакетов предлагается использовать специализированный высокоуровневый предметно-ориентированный язык и компоненты Guile Scheme API, позволяющие выполнять все операции по управлению пакетами на функциональном языке программирования Scheme.

Поддерживается возможность использования пакетов, подготовленных для пакетного менеджера Nix и размещённых в репозитории Nixpkgs. Кроме операций с пакетами возможно создание сценариев для управления конфигурацией приложений. При сборке пакета автоматически загружаются и собираются все связанные с ним зависимости. Возможна как загрузка готовых бинарных пакетов из репозитория, так и сборка из исходных текстов со всеми зависимостями. Реализованы средства для поддержания версий установленных программ в актуальном состоянии через организацию установки обновлений из внешнего репозитория.

Сборочное окружение для пакетов формируется в виде контейнера, содержащего все необходимые для работы приложений компоненты, что позволяет сформировать набор пакетов, способный работать без оглядки на состав базового системного окружения дистрибутива, в котором Guix используется в качестве надстройки. Между пакетами Guix возможно определение зависимостей, при этом для поиска наличия уже установленных зависимостей используется сканирование хэшей-идентификаторов в директории установленных пакетов. Пакеты устанавливаются в отдельное дерево директорий или поддиректорию в каталоге пользователя, что позволяет обеспечить его параллельное сосуществование с другими пакетными менеджерами и обеспечить поддержку широкого спектра существующих дистрибутивов. Например, пакет устанавливается как /nix/store/f42d69df5d8a0b526064a4e54a7c6f02-firefox-53.0.0/, где "f42d69..." является уникальным идентификатором пакета, используемым для контроля зависимостей.

Дистрибутив включает только свободные компоненты и поставляется с ядром GNU Linux-Libre 4.11, очищенным от несвободных элементов бинарных прошивок. Для сборки применяется GCC 7. В качестве системы инициализации используется сервисный менеджер GNU Shepherd (бывший dmd), развиваемый как альтернатива SysV-init с поддержкой зависимостей. Управляющий демон и утилиты Shepherd написаны на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов. Базовые образ поддерживает работу в консольном режиме, но для установки подготовлено более 5400 готовых пакетов, среди которых и компоненты графического стека на базе X.Org, оконные менеджеры dwm и ratpoison, а также ряд программ на базе библиотеки GTK+.

Основные новшества:

  • Добавлена поддержка архитектуры aarch64 (ARM64), но бинарные установочные архивы пока не формируются из-за неготовности сборочной инфраструктуры;
  • Прекращено формирование установочных сборок mips64el. Поддержка самой архитектуры пока сохранена, но останется ли она в дальнейшем будет зависеть от наличия заинтересованных разработчиков;
  • В сборки GuixSD добавлена поддержка загрузки на системах с UEFI и возможность установки на разделы с Btrfs;
  • В GuixSD обеспечена возможность запуска системных сервисов (фоновых процессов) в изолированных контейнерах, что позволяет защитить систему от возможных уязвимостей в данных сервисах;
  • По сравнению с прошлым выпуском добавлено 840 новых пакетов, в том числе сформированы пакеты с 0 A.D, freeciv, freedoom, alpine, alsa-plugins, cargo, cdrtools, ceph, freerdp, freetalk, neovim, scrypt, stunnel, unrar, xinetd;
  • Обновлены версии программ в 1220 пакетах, в том числе glibc 2.25, Linux-libre 4.11 и GCC 7.
  • Добавлены новые системные сервисы для Redis, Exim и Open vSwitch, значительно улучшен интерфейс сервиса Nginx;
  • Реализована новая команда "guix pack", предназначенная для создания бинарных пакетов;
  • В Guix обеспечена поддержка работы с использованием новой версии GNU Guile 2.2;
  • В команду "guix publish" добавлена опция "--cache", обеспечивающая режим кэширования для ускорения доставки бинарных сборок большому числу пользователей;
  • Решена большая порция проблем с обеспечением повторяемых сборок пакетов.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46581

Уязвимость в NAND Flash может привести к повреждению чужих данных на SSD-накопителях


Группа исследователей из Университета Карнеги-Меллона, компании Seagate и Швейцарской высшей технической школы Цюриха выявила низкоуровневую уязвимость в организации хранения информации на современных NAND Flash-чипах, применяемых в SSD-накопителях. Атакующий может сформировать определённую активность со своими данными на накопителе, в результате которой будет нарушена целостность неподконтрольных ему данных, которыми манипулируют другие процессы.

Уязвимость вызвана особенностями хранения данных чипами NAND Flash, поддерживающими технологию MLC (Multi-Level Cell), при которой каждая ячейка может принимать одно из четырёх пороговых напряжений (низкое — 0, два промежуточных — 01/10 и высокое — 11), т.е. MLC обеспечивает хранение в одной ячейке сразу двух битов, в отличие от классической схемы SLC (Single-Level Cell), при которой низкое напряжение в ячейке соответствует 0, а высокое — 1. Из-за паразитной ёмкостной связи между соседними ячейками программирование содержимого ячеек может влиять на уровень заряда в соседних ячейках и появлению ошибок в них, когда к ранее незаряженной ячейке прикладывается высокий уровень напряжения.

Для обхода подобного эффекта производители применяют двухэтапный метод программирования ячеек, при котором вначале устанавливается бит, задаваемый промежуточным напряжением, а затем напряжение ячейки доводится до высокого. Исследователи показали, что подобная мера не является полностью надёжной и имеет слабое звено. В частности, доказано, что частично запрограммированные ячейки, для которых завершён первый этап программирования, но ещё не выполнен второй, значительно более подвержены влиянию изменения напряжения в соседних ячейках и возникновению искажений при чтении ("read disturb"), чем полностью запрограммированные ячейки. В результате разработаны две атаки, нацеленные на искажение значений в частично запрограммированных ячейках.

Первая атака реализуется через выполнение операций записи данных, соответствующих определённому шаблону, который позволят в 4,9 раза увеличить вероятность возникновения ошибки при работе алгоритма программирования ячеек MLC и в качестве косвенного влияния приводит к повреждению значений в соседних ячейках, находящихся в первой фазе программирования. Метод во многом напоминает атаку Rowhammer, нацеленную на повреждение содержимого ячеек DRAM и также разработанную в университете Карнеги-Меллон.

Вторая атака направлена на искажение данных при чтении значений частично запрограммированных ячеек из-за возникновения ошибок "read disturb" при выполнении большого числа операций чтения за очень короткий отрезок времени. Так как искажаются считываемые данные, то данный вид атаки приводит как к повреждению содержимого, уже сброшенного в частично запрограммированные ячейки, так и страниц, которые только готовятся к записи. Для производителей исследователи разработали несколько методов предотвращения атак, которые рекомендованы для внедрения.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46576

Началось бета-тестирование СУБД PostgreSQL 10


Доступна для тестирования бета-версия СУБД PostgreSQL 10. Релиз ожидается в начале осени. Выбор номера версии 10.0 вместо 9.7.0 связано с переходом проекта на новую нумерацию выпусков. Вместо трёхуровневневой нумерации (Major1.Major2.Minor) отныне будет применяться схема "Major.Minor", в которой "Major" указывает номер значительной ветки, а "Minor" - номер корректирующего обновления, не требующего перезаливки БД. Таким образом, первым корректирующим релизом PostgreSQL 10 станет 10.1, а следующей значительной версией PostgreSQL 11. Как и раньше значительные версии будут формироваться раз в год.

Основные улучшения:

  • Режим логической репликации, позволяющий выборочно реплицировать только заданные таблицы или использовать репликацию в процессе обновления. Данный вид репликации манипулирует логическими изменениями на уровне выполняемых операций, в то время как традиционная репликация работает на очень низком уровне, перенося байтовые изменения в WAL-журнале;
  • Добавлены встроенные возможности партицирования таблиц по диапазонам значений и спискам - разбивка теперь может задаваться через выражения "PARTITION BY" и "PARTITION OF" в директиве "CREATE TABLE". Например:
         CREATE TABLE padre (       id             serial not null,       nombre         text not null,       fch_creado     timestamptz not null      )     PARTITION BY RANGE ( id );       CREATE TABLE hijo_0        partition of padre (id, primary key (id), unique (nombre))        for values from (unbounded) to (9);       CREATE TABLE hijo_1        partition of padre (id, primary key (id), unique (nombre))        for values from (10) to (unbounded);  
  • Обеспечено распараллеливание с задействованием нескольких ядер CPU таких операций, как сканирование индексов и битовых карт, выполнение запросов со слиянием таблиц (JOIN);
  • Возможность подтверждения коммитов на основе кворума для предотвращения потери данных после выхода из строя сразу нескольких синхронно реплицируемых узлов. Например, теперь можно указать, что коммит должен быть подтверждён любыми К из N запасных синхронно реплицируемых серверов, без жестко заданной последовательности проверки;
  • Поддержка отслеживания незавершённых коммитов - позволяет выяснить статус недавно запущенной транзакции для организации восстановления после краха или обрыва соединения;
  • Поддержка аутентификации SCRAM для организации более безопасного доступа по паролю;
  • Многохостовый режим отказоустойчивости в libpq, при котором клиент соединяется с первым работающим хостом из заданного списка;
  • Добавлен параметр "target_session_attrs", позволяющий клиенту запросить хост, доступный на запись или чтение;
  • Для индексов типа Hash обеспечена поддержка репликации и повышена устойчивость к сбоям после крахов;
  • Добавлен новый тип полномочий, определяющий доступ к функциям мониторинга;
  • Добавлено выражение XMLTABLE, позволяющее представить XML-документ в табличном формате, что существенно упрощает разбор XML-данных, хранимых в БД;
  • Поддержка полнотекстового поиска для типов JSON и JSONB;
  • Поддержка сжатия данных в журналах pg_receivewal;
  • Добавлены средства для накопления статистики по корреляции данных в разных столбцах, которая может оказаться полезной для исключения выбора планировщиком некоторых ошибочных стратегий;
  • Добавлена независимая от операционной системы реализация свойства локали "Collation", позволяющего задавать правила сортировки и методы сопоставления с учётом смысла символов. Реализация основана на libicu и идентична для Linux и Windows;
  • Увеличена производительность функции SUM(), преобразования кодировок символов, выполнение выражений, группировки множеств и выполнения операций JOIN над уникальными столбцами. При выполнении аналитических запросов над большим числом строк наблюдается ускорение до 40%;
  • Из нарушающих совместимость изменений отмечается переименование "xlog" в "wal", прекращение поддержки устаревшего протокола FE/BE 1.0, изменение настроек по умолчанию для репликации и резервирования (pg_basebackup), прекращение поддержки значений времени (Timestamps) с плавающей запятой, удаление contrib/tsearch2 и прекращение поддержки в pg_dump баз данных от PostgreSQL 7.4 и более ранних выпусков.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46572


Новинки


страницы: