abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 20:11 | Zajímavý software

Alexandre Julliard oznámil jménem vývojového týmu Wine vydání první verze 1.0 knihovny vkd3d určené pro překlad volání Direct3D 12 na Vulkan. Zdrojové kódy vkd3d jsou k dispozici pod licencí LGPLv2.1+.

Ladislav Hagara | Komentářů: 1
dnes 19:33 | Komunita

Dnešním dnem lze účet Firefoxu chránit dvoufázovým ověřováním (2FA). Implementován byl standard TOTP (Time-based One-Time Password).

Ladislav Hagara | Komentářů: 0
dnes 15:17 | Pozvánky

Od pátku 25. 5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spoustu zajímavých přednášek, workshopů a také na Release Party nového openSUSE Leap 15.0. Na stejném místě proběhne v sobotu 26. 5. i seminář o bezpečnosti CryptoFest.

Jendа | Komentářů: 0
dnes 13:33 | Zajímavý software

Drawpile je svobodný multiplatformní program pro kreslení podporující společné kreslení několika uživatelů. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3+. Drawpile i Drawpile Server jsou ke stažení také ve formátu AppImage. Stačí tedy nastavit právo na spouštění a spustit.

Ladislav Hagara | Komentářů: 0
dnes 09:44 | Zajímavý software

Kalifornskému Muzeu počítačové historie (Computer History Museum) se po pěti letech vyjednávání se společností Qualcomm podařilo získat veškerá práva na poštovního klienta Eudora (Wikipedie), tj. kromě zdrojových kódů muzeum získalo také ochranní známku Eudora nebo domény eudora.com a eudora.org. Po pročištění byly zdrojové kódy Eudory uvolněny pod licencí BSD.

Ladislav Hagara | Komentářů: 3
včera 15:00 | Nová verze

Byla vydána nová stabilní verze 5.11 toolkitu Qt. Přehled novinek v příspěvku na blogu a na wiki stránce. Další dnešní příspěvek na blogu Qt je věnován Qt pro WebAssembly umožňujícímu běh Qt aplikací ve webovém prohlížeči. K vyzkoušení jsou příklady.

Ladislav Hagara | Komentářů: 0
včera 12:22 | Nová verze

Po 7 měsících vývoje od verze 0.12.0 byla vydána verze 0.13.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v oznámení o vydání a v příspěvku ve fóru.

Ladislav Hagara | Komentářů: 14
včera 12:11 | Pozvánky

V úterý 29. května v 18:00 se v Brně koná pátý přednáškový večer o webovém vývoji. Čeká vás povídání o frameworku v Elixiru, vydávání nové kryptoměny přes ICO, component trees v Reactu. Na místě bude lehké občerstvení; vstup zdarma pro registrované. Více informací na Facebooku nebo se rovnou registrujte na Meetup.

dejvik | Komentářů: 0
včera 12:00 | Pozvánky

V pátek 25. května 2018 v Praze proběhne společné setkání komunity kolem Drupalu a překladatelů softwaru – tématem bude právě lokalizace svobodného softwaru (nejen Drupalu). Program začíná v 9.30 v budově Českého rozhlasu (Vinohradská 12), ale můžete přijít i později během dne.

Fluttershy, yay! | Komentářů: 0
včera 06:55 | Zajímavý software

Operační systém 9front, zřejmě nejaktivněji vyvíjený neoficiální fork systému Plan 9 (více informací), se dočkal nové verze nazvané „Ghost in the Minesweeper Shell“. K novým vydáním obvykle dochází každé jeden až tři měsíce.

Fluttershy, yay! | Komentářů: 0
Používáte pro některé služby inetd?
 (34%)
 (23%)
 (43%)
Celkem 148 hlasů
 Komentářů: 5, poslední včera 16:46
    Rozcestník

    Jaderné noviny – 26. 4. 2018: Hledání zranitelností Spectre pomocí smatch

    6.5. | Redakce | Jaderné noviny | 1735×

    Stav vydání jádra. Změna CLOCK_MONOTONIC vrácena zpět. Vetter: Statistiky správců jádra Linux. Citát týdne: David Miller. Hledání zranitelností Spectre pomocí smatch.

    Stav vydání jádra

    Kernel release status. Jonathan Corbet. 25. dubna 2018

    Současné vývojové jádro je 4.17-rc2, vydané 22. dubna. Citujeme Linuse: „Ještě nám tu zbývají nějaké známé dopady začleňovacího okna, ale většinu běžných konfigurací by to nemělo zasáhnout, takže jděte a testujte.“

    Stabilní aktualizace: 4.16.3, 4.15.184.14.35 vyšly 19. dubna, o den později následovala aktualizace 4.9.95. Poté 24. dubna vyšly aktualizace 4.16.4, 4.14.36, 4.9.96, 4.4.1293.18.106.

    Upozorňujeme, že 4.15.18 je poslední aktualizace řady 4.15.x.

    Aktualizace 4.16.54.14.37 byly v době psaní článku revidovány a vyšly 27. dubna.

    Změna CLOCK_MONOTONIC vrácena zpět

    CLOCK_MONOTONIC change reverted. Jonathan Corbet. 25. dubna 2018

    Začleňovací okno 4.17 zahrnovalo změnu chování systémových hodin CLOCK_MONOTONIC. Konkrétně šlo o to, že tyto hodiny se měly po probuzení posunout, aby braly v potaz čas, kdy byl systém uspaný. Vývojáři tehdy brali v potaz, že změnu by mohlo být nutné vzít zpět, kdyby vedla k regresím. Zdá se, že nějaké takové regrese byly skutečně nahlášeny, takže vrácení zpět bylo nachystáno s tímto komentářem:

    Jak nahlásilo několik lidí, systemd a další aplikace závisejí na zdokumentovaném chování CLOCK_MONOTONIC na Linuxu a výše uvedené změny je rozbijí. Byly pozorovány problémy typu, že démonům po probuzení vyprší čas a podobně.

    Je to škoda, že tyto záležitosti nebyly zaznamenány ani v -next, ani lidmi, kteří o tuto změnu projevili zájem.

    Vetter: Statistiky správců jádra Linux

    Vetter: Linux Kernel Maintainer Statistics. Jonathan Corbet. 23. dubna 2018

    Daniel Vetter se podíval na nějaké statistiky vývoje jádra se zaměřením na patche napsané správci, kteří je commitují. „Naivní extrapolace relativního trendu vede na předpověď, že kolem roku 2025 nebude velký počet správců jádra ničím jiným než úzkým hrdlem bránícím všem ostatním v tom, aby došlo k začlenění jejich práce, ani nebude sám přispívat ničím vlastním. Pravděpodobným výsledkem bude kolaps jaderné komunity pod vlastní byrokratickou zátěží. To je v dramatickém kontrastu s oslavnými výroky ‚všechno se zlepšuje, roste a jaderná komunita je velmi zdravá‘ z úvodních slov konferencí a ročenek jádra. Jsem názoru, že jaderná komunita vůbec nevypadá, že by se nějak skvěle vypořádávala se svým růstem, ani jako celkově zdravá komunita.“

    Citát týdne

    Quote of the week. Jonathan Corbet. 25. dubna 2018

    Jakožto správce síťového kódu v Linuxu cítím potřebu zopakovat své vyjádření z minulého měsíce a podložit to dalšími fakty, aby v komunitě o těchto záležitostech nepanovala žádná nedorozumění.

    Již nejsem nijak spojen ani s Netdev Society, ani s jejich konferencí NetDev.

    Ani jedno nijak nepodporuji, ani nepropaguji.

    David Miller

    Hledání zranitelností Spectre pomocí smatch

    Finding Spectre vulnerabilities with smatch. Jonathan Corbet. 20. dubna 2018

    Rozruch kolem zranitelností Meltdown a Spectre se – aspoň dočasně – uklidnil, ale to neznamená, že vývojáři už se o ně nestarají. Spectre 1. varianty (zranitelnost obejití kontroly mezí) je zvláště znepokojující, protože panují domněnky, že jádro je zranitelné na mnoha místech, ale nikdo pořádně neví, jak je všechny najít. Tím pádem byly dosud vyvinuté obranné techniky použity pouze na několika místech. Ovšem Dan Carpenter nedávno vylepšil nástroj smatch, aby potenciálně zranitelný kód v jádře dokázal najít.

    1. varianta Spectre je výsledkem chybné predikce výsledků kontroly mezí v procesoru, který následně spekulativně provede kód s parametrem (např. indexem pole), který tak bude mimo povolený rozsah. Tento problém jde omezit tím, že se vypne spekulativní provádění kódu v případech, kdy potenciální útočník ovládá hodnotu indexu pole. V jádře se to dělá tak, že se nahradí kód

    value = array[index];

    následujícím

    index = array_index_nospec(index, ARRAY_SIZE);
    value = array[index];

    To byla ta snadná část. To těžké spočívá v hledání míst v jádře, kde by se mělo použít makro array_index_nospec(). Dosud to šlo pouze pomocí proprietárního nástroje Coverity, který nebyl dostupný každému a nacházel docela hodně falešně pozitivních výsledků. Tím pádem je v současných jádrech jen pomálu volání array_index_nospec().

    Carpenterův příspěvek do smatch situaci mění, poskytuje totiž svobodný nástroj, kterým jde hledat potenciální zranitelnosti Spectre 1. varianty. Algoritmus je v principu dost přímočarý:

    To, co ten test dělá, je, že se podívá na přístupy do pole, u nichž uživatel určuje offset. Ptá se: „je to čtení?“ a použili jsme makro array_index_nospec()? Pokud jsou odpovědi ano a ne, pak vypiš varování.

    Tento test vrací seznam asi 800 míst, kde by se mělo použít array_index_nospec(). Carpenter předpokládá, že velký podíl z toho budou falešně pozitivní nálezy, a žádá o návrhy, jak test učinit přesnějším. Jenže jak Thomas Gleixner, tak Peter Zijlstra, namísto aby poradili, rovnou potvrdili, že řada hlášení byla opravdu správná. Zijlstra řekl: „Obávám se, že hodně z toho ve skutečnosti chceme opravit.“ Následně dodal řadu patchů, která sedm případů opravuje – čímž počet volání array_index_nospec() v jádře takřka zdvojnásobil.

    Jakmile se podaří vypořádat se s nízko visícím ovocem, pravděpodobně se dostane víc pozornosti vylepšování testů v smatch, aby se odfiltrovaly nevyhnutelné falešně pozitivní nálezy a naopak zranitelná místa neunikala pozornosti. Ale když je tady svobodný nástroj, který takovou kontrolu umožňuje, dá se očekávat, že pokrok v této oblasti zrychlí. Snad bude možné najít – a opravit – mnoho stávajících zranitelností Spectre, než se k nim dostanou útočníci.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    6.5. 00:17 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Jaderné noviny – 26. 4. 2018: Hledání zranitelností Spectre pomocí smatch
    Následně dodal řadu patchů, která sedm případů opravuje – čímž počet volání array_index_nospec() v jádře takřka zdvojnásobil.
    :-D
    6.5. 23:31 1john2
    Rozbalit Rozbalit vše Re: Jaderné noviny – 26. 4. 2018: Hledání zranitelností Spectre pomocí smatch
    Jakmile se podaří vypořádat se s "nízko visícím ovocem"?

    co tim chtel basnik rict?
    Fluttershy, yay! avatar 6.5. 23:38 Fluttershy, yay! | skóre: 82 | blog:
    Rozbalit Rozbalit vše Re: Jaderné noviny – 26. 4. 2018: Hledání zranitelností Spectre pomocí smatch
    To nejsnáze řešitelné. Jde o rozšířený idiom. [google]
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.