Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.
Před 25 lety zaplavil celý svět virus ILOVEYOU. Virus se šířil e-mailem, jenž nesl přílohu s názvem I Love You. Příjemci, zvědavému, kdo se do něj zamiloval, pak program spuštěný otevřením přílohy načetl z adresáře e-mailové adresy a na ně pak „milostný vzkaz“ poslal dál. Škody vznikaly jak zahlcením e-mailových serverů, tak i druhou činností viru, kterou bylo přemazání souborů uložených v napadeném počítači.
Byla vydána nová major verze 5.0.0 svobodného multiplatformního nástroje BleachBit (GitHub, Wikipedie) určeného především k efektivnímu čištění disku od nepotřebných souborů.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).
Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.
Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.
Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.
V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.
Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).
Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.
Jádro verze 3.6 vyšlo 30. září. Do oznámení Linus napsal:
Když jsem minulý týden oznamoval -rc7, tak jsem řekl, že možná budu muset udělat -rc8, alepak uběhl týden a situace byla klidná a po pravdě jsem neviděl žádný velký důvod dělat další rc. Proto tu je 3.6 final.
Mezi hlavní novinky patří malé fronty TCP, klientská strana TCP fast open (serverová strana míří do 3.7), skupiny IOMMU, funkce btrfs send/receive, mechanismus pro virtualizaci zařízení VFIO a ještě více. Pro podrobnosti navštivte KernelNewbies.
Stabilní aktualizace: verze 3.5.5, 3.4.12 a 3.0.44 vyšly 2. října; každá z nich obsahuje více neobvyklé množství důležitých oprav.
Není to moc pokročilý regulární výraz, ale i tak mi toto na linuxovém jádře přijde lehce alarmující:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
$ git log --no-merges v3.5..v3.6 | \
egrep -i '(integer|counter|buffer|stack|fix) (over|under)flow' | \
wc -l
31
Kolik z nich mělo dopad ne bezepečnost? Kolik z nich dostalo CVE?
-- Kees Cook
Zvolil jsem SHA-512, protože všichni vědí, že je 512krát bezpečnější než SHA-1.
Známý test case, který dělá 5 milionů náhodných přístupů do 1GB paměťové oblasti klesne s povoleným THP na mém SPARC T4-2 z 20 sekund na 0,43 sekundy.
-- drobná výkonnostní vylepšení od Davida Millera
Přidal jsem mezi své schopnosti na LinkedInu „nemít žádný život“. Podpořte mě prosím!
-- Jon Masters
Výsledkem nedávného Linux Security Summitu bylo rozhodnutí vytvořit pracovní skupinu kolem bezpečnostních problémů v Linuxu. Tato skupina už nyní existuje; pro své diskuze bude používat stávající mailing list kernel-hardening.
Hlavní stanovou pracovní skupiny je poskytovat stálé ověřování bezpečnosti jaderných subsystémů Linuxu, aby se tak pomohlo v zabezpečování linuxového jádra a upevnění důvěry v bezpečnost linuxového ekosystému.
Toto může zahrnovat témata jako tvorba nástrojů, které pomohou při zabezpečování, ověřování a testování kritických subsystémů, zda se v nich neobjevila bezpečnostní chyba, bezpečnostní vylepšení sestavovacích nástrojů a poskytování poradenství v údržbě bezpečnosti subsystémů.
Skupina má v plánu diskutovat o široké škále přístupů včetně vývoje nástrojů, statické analýzy, ověřování a snad i možnostech zpřísnění pravidel pro podepisování patchů. Zájemci se mohou připojit.
Rusty Russell oznámil návrh na standardizaci I/O subsystému virtio.
Věřím, že standard (zvaný virtio 1.0) zvýší povědomí a nasazování v oblastech mimo obvyklý trh Linuxu/KVM. K tomu už částečně dochází, ale toto je nejjistější cesta, jak tomu pomoci. Není to ale ta nejsnazší, ačkoliv věřím, že slušný I/O standard je „Dobrou věcí“ pro všechny.
V plánu je založení pracovní skupiny OASIS, která by pomohla s vývojem (a standardizací) verze 1.0 specifikace virtio. Zajímají jej připomínky, ale v době psaní tohoto textu jich mnoho nebylo.
Jednou z hlavních změn ve verzi 3.6 byl dlouho očekávaný nástup bezpečnostních omezení, která mění zpracovávání pevných a symbolických odkazů v adresářích, kam mohou všichni zapisovat. Jedním z důvodů, proč tato změna trvala tak dlouho, byly obavy, že úpravy rozbijí programy a skripty na uživatelských systémech. Nakonec se podařilo dokázat, že to problémy způsobí leda malwaru, a funkce byla začleněna.
Nyní se objevila jediná stížnost na linux-kernel, která způsobila, že vývojáři začali krok zpochybňovat – nebo přinejmenším to, jestli by funkce měla být standardně zapnutá. Linus má obavy, že by toto hlášení mohla následovat další podobná:
Mám ale obavy, že se toho vynoří víc. A až to nastane, nebudeme moci dále mít ve výchozím nastavení něco, co lidem rozbíjí jejich staré skripty, a budeme se muset spoléhat na distribuce (a uživatele), že to explicitně zapnou.
Kompatibilita je prostě až moc důležitá.
Ostatní vývojáři požadovali, aby k této změně došlo už ve stabilní aktualizaci 3.6.1. Ne všichni se na tom ale shodnou; autor patche Kees Cook říká, že výhody převažují nad obtížemi. Jaderná komunita je ale zavázaná nerozbíjet věci, které dříve fungovaly; pokud se ukáže, že způsobuje problémy více lidem, tak bude v blízké budoucnosti asi stažena.
Pouhých 72 dnů od začátku vývojového cyklu verze 3.6 započal tento proces nanovo otevřením začleňovacího okna verze 3.7. V době psaní tohoto textu bylo do hlavní řady přetaženo nějakých 5540 neslučovacích sad změn a další jsou na cestě. Mezi nejzajímavější změny viditelné uživatelům patří:
Mezi změny viditelné vývojářům jádra patří:
Začleňovací okno verze 3.7 bude otevřené asi až do 14. října. Linus ale varoval, že mezitím bude cestovat, protože bude na Korejském linuxovém fóru. Pokud mu do práce na začleňování přijde cestování, tak toto okno může být prodlouženo.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Jen doplním, že ten IPv6 NAT je podle všeho "jen" 1:1, díky bohu.
22.10.2012 07:19
Max | skóre: 72
| blog: Max_Devaine
22.10.2012 10:44
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
+1 
22.10.2012 12:01
cynic_asshole | skóre: 28
22.10.2012 13:39
pavlix | skóre: 54
| blog: pavlix
Vsem doporucuju, pokud to jde, pouzivat routovani misto NATu, ARP proxy, atd. Bohuzel ne vzdycky to jde.
Napr moje VMs ve VirtualBoxu bez NATu nemuzou mit IPv6. Routovat v6 subnet na muj laptop muzu leda doma, ale ne nikde jinde nad siti nemam takovou kontrolu. Navic bych je musel vzdycky precislovavat (RA je prima ale ne na zmenu IP x-krat za den). Bridgovat nemuzu protoze moje WiFi karta nezvlada vic nez jednu lokalni MAC adresu. Atd. NAT tohle vsechno resi.
23.10.2012 12:50
pavlix | skóre: 54
| blog: pavlix
Bridgovat nemuzu protoze moje WiFi karta nezvlada vic nez jednu lokalni MAC adresu.Maškarádu jako workaround pro vskutku idiotský návrh bezdrátových standardů uznávám. A to jak na L3, tak na L2. Nicméně pro větší flexibilitu bych se i v tomto případě držel nerovnice: Routing > Bridging > Proxy ARP > NAT První nerovnost je spíše kvůli pořádku, druhá je pro mě dělící čára mezi konvenčním řešením a černou magií, třetí už je dělící čára, kde ztrácíme funcionalitu.
NAT tohle vsechno resi.Naivní představa. Nicméně, ani tvůj případ není jednoznačný. Já vždycky řeším problémy podle skutečné situace. A pokud si nosím hromadu testovacích virtuálů do sítí, nad kterými nemám kontrolu, tak pro mě třeba IP maškaráda nepřipadá v úvahu, protože to ty virtuály nemusím vůbec mít. Mým preferovaným řešením na bázi routingu je v tomto případě IPv6 tunel do jedné nebo více spolehlivých sítí, které mi poskytují prefix.
22.10.2012 13:38
pavlix | skóre: 54
| blog: pavlix
pristup z venku byl mozny pouze diky maskaradeTohle asi nebude typický use case pro IP maškarádu. A řekl bych, že když už dokážeš nasměrovat traffic, tak klidně můžeš použít jednoduchý source NAT a exponovat služby toho bazmeku pomocí jedné neobsazené IP. Sice nemám po ruce relevantní zdroj a článek ho neodkazuje, nicméně pokud to správně chápu, tak právě 1:1 source NAT budeš mít k dispozici, ale maškarádu v tuto chvíli ne. Vývojáři tedy řeší přesně tento typ černé magie.
22.10.2012 13:48
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
22.10.2012 23:20
pavlix | skóre: 54
| blog: pavlix
No conntrack to podle mě používá, minimálně pro REDIRECT:
+ ct = nf_ct_get(skb, &ctinfo); + NF_CT_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED || + ctinfo == IP_CT_RELATED_REPLY)); + + if (ipv6_dev_get_saddr(dev_net(par->out), par->out, + &ipv6_hdr(skb)->daddr, 0, &src) < 0) + return NF_DROP; + + nfct_nat(ct)->masq_index = par->out->ifindex; + + newrange.flags = range->flags | NF_NAT_RANGE_MAP_IPS; + newrange.min_addr.in6 = src; + newrange.max_addr.in6 = src; + newrange.min_proto = range->min_proto; + newrange.max_proto = range->max_proto; + + return nf_nat_setup_info(ct, &newrange, NF_NAT_MANIP_SRC);Aby také ne, když to přidává celou "nat" tabulku.
Viz také http://lwn.net/Articles/514087/.
23.10.2012 00:19
pavlix | skóre: 54
| blog: pavlix
Ano, 8a91bb0c304b0853f8c59b1b48c7822c52362cba je zastřešující commit celé té série, mnou postnutý kousek je z "netfilter: ip6tables: add MASQUERADE target".
To ale nic neměni na tom, že REDIRECT je v podstatě přesně (conntrack-enabled) DNAT na IP adresu interface, na který přišel packet. Alespoň tomu tak je v (ipv4) iptables.
Úplně bezstavový NAT, bez jakékoli interakce s conntrackem, čistě přepis adresy na specifikovanou hodnotu, je možné realizovat přes RAWNAT, který je už nějakou nekrátkou dobu v xtables-addons, oficiálně podporován Janem Engelhardtem.
22.10.2012 12:29
pavlix | skóre: 54
| blog: pavlix
22.10.2012 22:56
Max | skóre: 72
| blog: Max_Devaine
22.10.2012 23:23
pavlix | skóre: 54
| blog: pavlix
Konfigurace firewallu s NATem je o rad slozitejsi nez bez nej => poskytuje mnohem vic prostoru pro potencielni chybu.To je pravda, naštěstí netfilter tohle docela spokojeně obchází.
Navic sebou NAT nese i dalsi bezpecnostni rizika - napr si musi pamatovat navazana spojeni, coz si router pamatovat nemusi.To by se ti projevilo jen v extrémním prostředí, jinak je IMO riziko ekvivalentní a v případě firewallu na stejné krabce spíše totožné (tedy až na falešný pocit bezpečí).
27.10.2012 17:43
pavlix | skóre: 54
| blog: pavlix
22.10.2012 12:32
pavlix | skóre: 54
| blog: pavlix
Jen doplním, že ten IPv6 NAT je podle všeho "jen" 1:1, díky bohu.Snažím se tuhle oblast sledovat a taky mě úplně netěší, že autoři plácnou do článku nic neříkající informaci, že se začleňuje nějaký překlad adres. To by rovnou mohli napsat, že kernel bude mít „novou síťovou fíčuru“ a informační hodnotu by to mělo skoro stejnou.
22.10.2012 16:38
progdan | skóre: 34
| blog: Archař
| Teplice/Brno
