V prosinci 2012 byla z linuxového jádra odstraněna podpora procesorů 386. Včera započalo odstraňování podpory procesorů 486.
IuRe (Iuridicum Remedium) vyhlásila Ceny Velkého bratra za rok 2025. Slídily roku jsou automobilka Volkswagen, Meta a česká Ministerstva vnitra a průmyslu a obchodu. Autorem Výroku Velkého bratra je dánský ministr spravedlnosti zpochybňující právo na šifrovanou komunikaci. Naopak Pozitivní cenu získali studenti Masarykovy univerzity za odpor proti nucení do používaní aplikace ISIC.
Po osmi měsících vývoje byla vydána nová verze 0.16.0 programovacího jazyka Zig (Codeberg, Wikipedie). Přispělo 244 vývojářů. Přehled novinek v poznámkách k vydání.
Nejnovější X.Org X server 21.1.22 a Xwayland 24.1.10 řeší 5 bezpečnostních chyb: CVE-2026-33999, CVE-2026-34000, CVE-2026-34001, CVE-2026-34002 a CVE-2026-34003.
Po roce vývoje od vydání verze 1.28.0 byla vydána nová stabilní verze 1.30.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.30.
Raspberry Pi OS, oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2026-04-13. Přehled novinek poznámkách k vydání. Nově ve výchozím nastavení příkaz sudo vyžaduje heslo.
Společnost Blackmagic Design oznámila vydání verze 21 svého proprietárního softwaru pro editování videí a korekci barev DaVinci Resolve běžícího také na Linuxu. Z novinek je nutno vypíchnout možnost editování fotografií. Základní verze DaVinci Resolve je k dispozici zdarma. Plnou verzi DaVinci Resolve Studio lze koupit za 295 dolarů.
Multipatformní renderovací jádro webového prohlížeče Servo je na crates.io. S vydáním verze 0.1.0 (LTS).
Nadace FreeBSD Foundation před týdnem oznámila projekt Laptop Integration Testing. Vyzvala dobrovolníky, aby pomocí nástroje otestovali podporu FreeBSD na svých zařízeních a výsledky odeslali vývojářům. Vznikla stránka Nejlepší notebooky pro FreeBSD.
Na začátku srpna vstoupí v účinnost nová evropská pravidla transparentnosti pro umělou inteligenci (AI). Zavádějí povinnost jakýkoli AI obsah označit, informovat o takzvaných deepfakes a upozornit uživatele, že komunikuje s umělou inteligencí. Cílem opatření je omezit šíření manipulativního či klamavého obsahu, zvýšit důvěru v digitální prostředí a chránit uživatele.
Jádro verze 3.6 vyšlo 30. září. Do oznámení Linus napsal:
Když jsem minulý týden oznamoval -rc7, tak jsem řekl, že možná budu muset udělat -rc8, alepak uběhl týden a situace byla klidná a po pravdě jsem neviděl žádný velký důvod dělat další rc. Proto tu je 3.6 final.
Mezi hlavní novinky patří malé fronty TCP, klientská strana TCP fast open (serverová strana míří do 3.7), skupiny IOMMU, funkce btrfs send/receive, mechanismus pro virtualizaci zařízení VFIO a ještě více. Pro podrobnosti navštivte KernelNewbies.
Stabilní aktualizace: verze 3.5.5, 3.4.12 a 3.0.44 vyšly 2. října; každá z nich obsahuje více neobvyklé množství důležitých oprav.
Není to moc pokročilý regulární výraz, ale i tak mi toto na linuxovém jádře přijde lehce alarmující:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
$ git log --no-merges v3.5..v3.6 | \
egrep -i '(integer|counter|buffer|stack|fix) (over|under)flow' | \
wc -l
31
Kolik z nich mělo dopad ne bezepečnost? Kolik z nich dostalo CVE?
-- Kees Cook
Zvolil jsem SHA-512, protože všichni vědí, že je 512krát bezpečnější než SHA-1.
Známý test case, který dělá 5 milionů náhodných přístupů do 1GB paměťové oblasti klesne s povoleným THP na mém SPARC T4-2 z 20 sekund na 0,43 sekundy.
-- drobná výkonnostní vylepšení od Davida Millera
Přidal jsem mezi své schopnosti na LinkedInu „nemít žádný život“. Podpořte mě prosím!
-- Jon Masters
Výsledkem nedávného Linux Security Summitu bylo rozhodnutí vytvořit pracovní skupinu kolem bezpečnostních problémů v Linuxu. Tato skupina už nyní existuje; pro své diskuze bude používat stávající mailing list kernel-hardening.
Hlavní stanovou pracovní skupiny je poskytovat stálé ověřování bezpečnosti jaderných subsystémů Linuxu, aby se tak pomohlo v zabezpečování linuxového jádra a upevnění důvěry v bezpečnost linuxového ekosystému.
Toto může zahrnovat témata jako tvorba nástrojů, které pomohou při zabezpečování, ověřování a testování kritických subsystémů, zda se v nich neobjevila bezpečnostní chyba, bezpečnostní vylepšení sestavovacích nástrojů a poskytování poradenství v údržbě bezpečnosti subsystémů.
Skupina má v plánu diskutovat o široké škále přístupů včetně vývoje nástrojů, statické analýzy, ověřování a snad i možnostech zpřísnění pravidel pro podepisování patchů. Zájemci se mohou připojit.
Rusty Russell oznámil návrh na standardizaci I/O subsystému virtio.
Věřím, že standard (zvaný virtio 1.0) zvýší povědomí a nasazování v oblastech mimo obvyklý trh Linuxu/KVM. K tomu už částečně dochází, ale toto je nejjistější cesta, jak tomu pomoci. Není to ale ta nejsnazší, ačkoliv věřím, že slušný I/O standard je „Dobrou věcí“ pro všechny.
V plánu je založení pracovní skupiny OASIS, která by pomohla s vývojem (a standardizací) verze 1.0 specifikace virtio. Zajímají jej připomínky, ale v době psaní tohoto textu jich mnoho nebylo.
Jednou z hlavních změn ve verzi 3.6 byl dlouho očekávaný nástup bezpečnostních omezení, která mění zpracovávání pevných a symbolických odkazů v adresářích, kam mohou všichni zapisovat. Jedním z důvodů, proč tato změna trvala tak dlouho, byly obavy, že úpravy rozbijí programy a skripty na uživatelských systémech. Nakonec se podařilo dokázat, že to problémy způsobí leda malwaru, a funkce byla začleněna.
Nyní se objevila jediná stížnost na linux-kernel, která způsobila, že vývojáři začali krok zpochybňovat – nebo přinejmenším to, jestli by funkce měla být standardně zapnutá. Linus má obavy, že by toto hlášení mohla následovat další podobná:
Mám ale obavy, že se toho vynoří víc. A až to nastane, nebudeme moci dále mít ve výchozím nastavení něco, co lidem rozbíjí jejich staré skripty, a budeme se muset spoléhat na distribuce (a uživatele), že to explicitně zapnou.
Kompatibilita je prostě až moc důležitá.
Ostatní vývojáři požadovali, aby k této změně došlo už ve stabilní aktualizaci 3.6.1. Ne všichni se na tom ale shodnou; autor patche Kees Cook říká, že výhody převažují nad obtížemi. Jaderná komunita je ale zavázaná nerozbíjet věci, které dříve fungovaly; pokud se ukáže, že způsobuje problémy více lidem, tak bude v blízké budoucnosti asi stažena.
Pouhých 72 dnů od začátku vývojového cyklu verze 3.6 započal tento proces nanovo otevřením začleňovacího okna verze 3.7. V době psaní tohoto textu bylo do hlavní řady přetaženo nějakých 5540 neslučovacích sad změn a další jsou na cestě. Mezi nejzajímavější změny viditelné uživatelům patří:
Mezi změny viditelné vývojářům jádra patří:
Začleňovací okno verze 3.7 bude otevřené asi až do 14. října. Linus ale varoval, že mezitím bude cestovat, protože bude na Korejském linuxovém fóru. Pokud mu do práce na začleňování přijde cestování, tak toto okno může být prodlouženo.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Jen doplním, že ten IPv6 NAT je podle všeho "jen" 1:1, díky bohu.
22.10.2012 07:19
Max | skóre: 73
| blog: Max_Devaine
22.10.2012 10:44
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
+1 
22.10.2012 12:01
cynic_asshole | skóre: 28
22.10.2012 13:39
pavlix | skóre: 54
| blog: pavlix
Vsem doporucuju, pokud to jde, pouzivat routovani misto NATu, ARP proxy, atd. Bohuzel ne vzdycky to jde.
Napr moje VMs ve VirtualBoxu bez NATu nemuzou mit IPv6. Routovat v6 subnet na muj laptop muzu leda doma, ale ne nikde jinde nad siti nemam takovou kontrolu. Navic bych je musel vzdycky precislovavat (RA je prima ale ne na zmenu IP x-krat za den). Bridgovat nemuzu protoze moje WiFi karta nezvlada vic nez jednu lokalni MAC adresu. Atd. NAT tohle vsechno resi.
23.10.2012 12:50
pavlix | skóre: 54
| blog: pavlix
Bridgovat nemuzu protoze moje WiFi karta nezvlada vic nez jednu lokalni MAC adresu.Maškarádu jako workaround pro vskutku idiotský návrh bezdrátových standardů uznávám. A to jak na L3, tak na L2. Nicméně pro větší flexibilitu bych se i v tomto případě držel nerovnice: Routing > Bridging > Proxy ARP > NAT První nerovnost je spíše kvůli pořádku, druhá je pro mě dělící čára mezi konvenčním řešením a černou magií, třetí už je dělící čára, kde ztrácíme funcionalitu.
NAT tohle vsechno resi.Naivní představa. Nicméně, ani tvůj případ není jednoznačný. Já vždycky řeším problémy podle skutečné situace. A pokud si nosím hromadu testovacích virtuálů do sítí, nad kterými nemám kontrolu, tak pro mě třeba IP maškaráda nepřipadá v úvahu, protože to ty virtuály nemusím vůbec mít. Mým preferovaným řešením na bázi routingu je v tomto případě IPv6 tunel do jedné nebo více spolehlivých sítí, které mi poskytují prefix.
22.10.2012 13:38
pavlix | skóre: 54
| blog: pavlix
pristup z venku byl mozny pouze diky maskaradeTohle asi nebude typický use case pro IP maškarádu. A řekl bych, že když už dokážeš nasměrovat traffic, tak klidně můžeš použít jednoduchý source NAT a exponovat služby toho bazmeku pomocí jedné neobsazené IP. Sice nemám po ruce relevantní zdroj a článek ho neodkazuje, nicméně pokud to správně chápu, tak právě 1:1 source NAT budeš mít k dispozici, ale maškarádu v tuto chvíli ne. Vývojáři tedy řeší přesně tento typ černé magie.
22.10.2012 13:48
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
22.10.2012 23:20
pavlix | skóre: 54
| blog: pavlix
No conntrack to podle mě používá, minimálně pro REDIRECT:
+ ct = nf_ct_get(skb, &ctinfo); + NF_CT_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED || + ctinfo == IP_CT_RELATED_REPLY)); + + if (ipv6_dev_get_saddr(dev_net(par->out), par->out, + &ipv6_hdr(skb)->daddr, 0, &src) < 0) + return NF_DROP; + + nfct_nat(ct)->masq_index = par->out->ifindex; + + newrange.flags = range->flags | NF_NAT_RANGE_MAP_IPS; + newrange.min_addr.in6 = src; + newrange.max_addr.in6 = src; + newrange.min_proto = range->min_proto; + newrange.max_proto = range->max_proto; + + return nf_nat_setup_info(ct, &newrange, NF_NAT_MANIP_SRC);Aby také ne, když to přidává celou "nat" tabulku.
Viz také http://lwn.net/Articles/514087/.
23.10.2012 00:19
pavlix | skóre: 54
| blog: pavlix
Ano, 8a91bb0c304b0853f8c59b1b48c7822c52362cba je zastřešující commit celé té série, mnou postnutý kousek je z "netfilter: ip6tables: add MASQUERADE target".
To ale nic neměni na tom, že REDIRECT je v podstatě přesně (conntrack-enabled) DNAT na IP adresu interface, na který přišel packet. Alespoň tomu tak je v (ipv4) iptables.
Úplně bezstavový NAT, bez jakékoli interakce s conntrackem, čistě přepis adresy na specifikovanou hodnotu, je možné realizovat přes RAWNAT, který je už nějakou nekrátkou dobu v xtables-addons, oficiálně podporován Janem Engelhardtem.
22.10.2012 12:29
pavlix | skóre: 54
| blog: pavlix
22.10.2012 22:56
Max | skóre: 73
| blog: Max_Devaine
22.10.2012 23:23
pavlix | skóre: 54
| blog: pavlix
Konfigurace firewallu s NATem je o rad slozitejsi nez bez nej => poskytuje mnohem vic prostoru pro potencielni chybu.To je pravda, naštěstí netfilter tohle docela spokojeně obchází.
Navic sebou NAT nese i dalsi bezpecnostni rizika - napr si musi pamatovat navazana spojeni, coz si router pamatovat nemusi.To by se ti projevilo jen v extrémním prostředí, jinak je IMO riziko ekvivalentní a v případě firewallu na stejné krabce spíše totožné (tedy až na falešný pocit bezpečí).
27.10.2012 17:43
pavlix | skóre: 54
| blog: pavlix
22.10.2012 12:32
pavlix | skóre: 54
| blog: pavlix
Jen doplním, že ten IPv6 NAT je podle všeho "jen" 1:1, díky bohu.Snažím se tuhle oblast sledovat a taky mě úplně netěší, že autoři plácnou do článku nic neříkající informaci, že se začleňuje nějaký překlad adres. To by rovnou mohli napsat, že kernel bude mít „novou síťovou fíčuru“ a informační hodnotu by to mělo skoro stejnou.
22.10.2012 16:38
progdan | skóre: 34
| blog: Archař
| Teplice/Brno
