Stanislav Fort, vedoucí vědecký pracovník z Vlčkovy 'kyberbezpečnostní' firmy AISLE, zkoumal dopady Anthropic Mythos (nový AI model od Anthropicu zaměřený na hledání chyb, který před nedávnem vyplašil celý svět) a předvedl, že schopnosti umělé inteligence nejsou lineárně závislé na velikosti nebo ceně modelu a dokázal, že i některé otevřené modely zvládly v řadě testů odhalit ve zdrojových kódech stejné chyby jako Mythos (například FreeBSD CVE-2026-4747) a to s výrazně nižšími provozními náklady.
Federální návrh zákona H.R.8250 'Parents Decide Act', 13. dubna předložený demokratem Joshem Gottheimerem a podpořený republikánkou Elise Stefanik coby spolupředkladatelkou (cosponsor), by v případě svého schválení nařizoval všem výrobcům operačních systémů při nastavování zařízení ověřovat věk uživatelů a při používání poskytovat tento věkový údaj aplikacím třetích stran. Hlavní rozdíl oproti kalifornskému zákonu AB 1043 a kolorádskému SB26-051 je ten, že federální návrh by platil rovnou pro celé USA.
Qwen (čínská firma Alibaba Cloud) představila novou verzi svého modelu, Qwen3.6‑35B‑A3B. Jedná se o multimodální MoE model s 35 miliardami parametrů (3B aktivních), nativní kontextovou délkou až 262 144 tokenů, 'silným multimodálním vnímáním a schopností uvažování' a 'výjimečnou schopností agentického kódování, která se může měřit s mnohem rozsáhlejšími modely'. Model a dokumentace jsou volně dostupné na Hugging Face, případně na čínském Modelscope. Návod na spuštění je už i na Unsloth.
Sniffnet, tj. multiplatformní (Windows, macOS a Linux) open source grafická aplikace pro sledování internetového provozu, byl vydán ve verzi 1.5. V přehledu novinek je vypíchnuta identifikace aplikací komunikujících po síti.
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 15.0 (Mastodon). Forgejo je fork Gitei.
Současně se SUSECON 2026 proběhne příští čtvrtek v Praze také komunitní Open Developer Summit (ODS) zaměřený na open source a openSUSE. Akce se koná ve čtvrtek 23. 4. (poslední den SUSECONu) v Hilton Prague (místnost Berlin 3) a je zcela zdarma, bez nutnosti registrace na SUSECON. Na programu jsou témata jako automatizace (AutoYaST), DevOps, AI v terminálu, bezpečnost, RISC-V nebo image-based systémy. Všichni jste srdečně zváni.
Český úřad zeměměřický a katastrální zavedl u anonymního nahlížení do katastru nemovitostí novou CAPTCHA ve formě mapové puzzle: nepřihlášení uživatelé musí nově správně otočit devět dlaždic v 3x3 poli tak, aby dohromady daly souvislý obrázek výseče reálné mapy, přičemž na to mají pouze jeden časově omezený pokus. Test je podle uživatelů i odborníků příliš obtížný a na sociálních sítích pochopitelně schytává zaslouženou kritiku a
… více »Byla vydána verze 1.95.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Mozilla prostřednictvím své dceřiné společnosti MZLA Technologies Corporation představila open-source AI klienta Thunderbolt. Primárně je určený pro firemní nasazení.
Firma Cal.com oznámila, že přesouvá svůj produkční kód z otevřeného do uzavřeného repozitáře z důvodu bezpečnostního rizika umělé inteligence, která prý dokáže vyhledávat a zneužívat zranitelnosti rychleji, než by je jejich vývojářský tým stíhal opravovat. Zároveň zveřejnila samostatnou, open-source verzi Cal.diy pod licencí MIT, ovšem bez řady původních funkcí. O tom, zda je toto opatření rozumné, existují pochyby. … více »
Vývojové jádro 3.17-rc5 vyšlo 14. září (oznámení). Linus k tomu řekl:
Mohl jsem vydání ze sentimentálních důvodů posunout na středu – bude to 23 let ode dne, kdy jsem nahrál zdrojový strom 0.01. Nejsem ale nijak zvlášť sentimentální, a tak jsem se na to vykašlal. Držím se klasického nedělního vydávání.
Linus upozornil, že jde o docela velkou sadu změn, proto můžeme zapomenout na brzké vydání finální verze 3.17 (aby nedošlo ke konfliktům mezi začleňovacím oknem a jeho cestovními plány).
Stabilní aktualizace: 17. září byly vydány verze 3.16.3 (oznámení), 3.14.19 (oznámení) a 3.10.55 (oznámení).
Je docela zbytečné aktualizovat jádro v kapesním ohřívači, pokud se tím tedy nechcete vytahovat.
Thomas Gleixner (odkaz)
Cílem jádra není odolnost proti neschopnosti vývojářů – tuhle bitvu nemůžete vyhrát, dokud nevyměníte vývojáře ovladačů za softwarové systémy.
Alan Cox (odkaz)
Může pomoct, když budete přemýšlet, jaké tipy byste mohli dát agentovi NSA, který se chce zapojit do open source projektu kleptografického trojského koně. Jak byste to udělali? Schovat změnu do záplaty o tisíci řádcích? Něco jiného? Pak udělejte přesný opak.
Ted Ts'o (odkaz)
Richard Yao se na blogu ClusterHQ dívá na aktuální stav projektu ZFSOnLinux (ZoL). Tvrdí, že ZoL je připravený k použití v produkčním prostředí z řady různých důvodů. Na jejich základě se dá soudit, že portování systému souborů ZFS do Linuxu dosáhlo stejné úrovně integrity dat, stability při běhu a funkcí, jako na ostatních platformách, kde se ZFS používá. „Díky sdílení společné základny kódu s ostatními platformami Open ZFS umožnilo ZFS v Linuxu rychle zavádět funkce dostupné na jiných platformách. V současnosti je pro komunitu Open ZFS referenční platformou Illumos a přestože ovladač ZFS obsahuje stovky funkcí, ZoL nemá dosud implementováno jen asi 18 z nich.“
Matthew Garrett píše o překážkách, které musejí zdolávat vývojáři pracující na systémech ARM založených na rozhraní ACPI. „Někdo by měl převzít odpovědnost za sledování chování ACPI a rozšiřovat toto exportované rozhraní při každé změně. A my musíme vědět, kdo to bude, předtím, než se kterýkoli z těchto systémů začne dodávat. Jinak nám hrozí záplava zařízení na platformě ARM, které podporují jen konkrétní verze jádra. A přesně tomu by mělo rozhraní ACPI předcházet.“
Sanitizér adres jádra (KASan) by měl nacházet místa, ve kterých jádro přistupuje k paměti, kde by nemělo. Používá kombinaci nové funkce GCC pro řízení přístupu k paměti a „stínové paměti“ ke sledování, které adresy jsou oprávněné, aby si mohl hlasitě stěžovat, pokud jádro čte nebo zapisuje někde jinde. KASan sdílí některé atributy ostatních funkcí ladění jádra, nabízí ale taky vlastní výhody. A už posloužil při dohledání skutečných chyb jádra.
Sada oprav KASan pochází od Andreje Rjabina, je ale založena na práci Andreje Konovalova a projektu AddressSanitizer. I když jsou tyto opravy zatím ve fázi RFC, jedná se už o jejich druhou verzi. Od zveřejnění původního RFC v červenci byla provedena řada vylepšení.
Základní myšlenkou KASanu je alokovat mapu („stínovou oblast“), kde každý jeden bajt v mapě představuje osm bajtů adresního prostoru jádra. Pro architekturu x86_64 (což je jediná podporovaná architektura) to znamená rezervaci (nikoli alokaci) 16 TB adresního prostoru pro správu celých 128 TB, které může jádro adresovat. Každý bajt v mapě kóduje oprávněnost jádra k přístupu k odpovídajícím bajtům v plném adresním prostoru.
Toto kódování je celkem jednoduché. 0 znamená oprávněný přístup všech osmi bajtů, zatímco 1–7 označují počet souvislých bajtů na začátku osmibajtové oblasti, které jsou platné (2 tedy znamená, že první 2 bajty jsou oprávněné a dalších 6 nikoli). Záporné hodnoty jsou určeny různým typům nepřístupné paměti (volná paměť, různé druhy červených zón apod.). Mohlo by se zdát, že by se další kladné hodnoty daly použít k zakódování souvislých oprávněných bajtů na konci osmibajtové oblasti, k tomu ale asi v praxi nedochází.
Přístupy jádra do paměti potom lze porovnávat se stínovou mapou a kontrolovat, jestli jsou oprávněné. GCC 5.0 (další hlavní verze po 4.9, která by měla být vydána v roce 2015) zavede novou funkci, která umožní kontrolu adres jádra za běhu. Příznak -fsanitize=kernel-address způsobí, že GCC bude řídit každou operaci načtení do paměti a uložení z ní. Do každé z těchto operací vloží volání funkce, která může prozkoumat cílovou adresu a pokud je neplatná, nahlásit to do protokolu jádra. Volání jsou ve tvaru __asan_loadN() a __asan_storeN(), kde N odpovídá rozsahu přístupu (1, 2, 4, 8 nebo 16 bajtů). K dispozici jsou opravy GCC, které tyto nelineární kontroly změní na integrované, kdy GCC přímo vloží kód pro kontrolu stínové mapy, místo aby volal zvláštní funkce.
Většinu práce tedy provádí kód vložený překladačem. Tyto opravy ale musejí zvládat ještě určité detaily. Implementace kontrolní a informační infrastruktury je první krok (tato oprava také začleňuje soubor Documentation/kasan.txt). Poté je třeba zaplnit úvodní stínovou oblast. Na počátku procesu spouštění je každá položka tabulky stránky ve stínové oblasti nastavena na nulovou stránku. Později, po namapování fyzické paměti, jsou nulové stránky odpovídající dané paměti uvolněny a jsou alokovány a namapovány skutečné stránky pro sledování paměti jádra.
Když jádro alokuje stránky, jsou ve stínové oblasti označeny jako přístupné; obdobně jsou stránky při uvolnění označené jako nepřístupné. Alokátor SLUB byl upraven tak, aby aktualizoval všechny alokace a uvolnění ve stínové mapě.
Rjabinin v první zprávě sady oprav nastínil rozdíly mezi KASanem a několika dalšími nástroji na ladění paměti jádra. Protože KASan používá ovládání vložení při kompilaci, je mnohem rychlejší než kmemcheck, nedokáže ale rozpoznat čtení neinicializované paměti jako kmemcheck. I když DEBUG_PAGEALLOC a SLUB_DEBUG jsou rychlejší než KASan, ani jeden nedokáže rozpoznat všechny neoprávněné přístupy jako KASan (DEBUG_PAGEALLOC nabízí granularitu jen na úrovni stránek a SLUB_DEBUG nedokáže rozpoznat některá nesprávná čtení).
KASan pro jádro aktivuje parametr Kconfig KASAN. Vyžaduje alokátor SLUB a GCC verze >= 5.0. Lepšího hlášení lze dosáhnout, pokud jsou aktivní trasování zásobníků a SLUB_DEBUG. Rjabinin také přidal testovací modul, který lze také použít k vyvolání přístupu mimo povolené oblasti a chyby použití po uvolnění k testování KASanu a dalších debuggerů paměti.
Diskuze o těchto opravách byly konstruktivní, jen několik návrhů se týká celkem drobných změn. Navíc Saša Levin uvedl několik chyb jádra, které objevil při použití fuzzeru Trinity s první verzí sady oprav KASan. Zdá se, že v ladění paměti existuje volný prostor, který by KASan mohl pomoct zaplnit.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
14.10.2014 11:29
Tadeáš Pelech | skóre: 34
| Malenice
kmemecheck? .. To je nějaká kontrola jaderných "meme"? 
20.10.2014 14:40
pavlix | skóre: 54
| blog: pavlix
22.10.2014 14:37
pavlix | skóre: 54
| blog: pavlix
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz