Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Vývojový kernel 4.4-rc3 byl vydán 29. listopadu. Linus k tomu řekl: „Myslím, že se nic zásadního neděje, i když to samozřejmě závisí na tom, zda vás nějaký konkrétní problém ovlivnil či nikoli. Většinou jsou to malé náhodilé opravy.“
Kernel 4.4-rc2 byl vydán 22. listopadu.
Vývojový kernel 4.4-rc4 byl vydán 6. prosince. „Další týden, další rc. Přibylo trochu více commitů než minulý týden (hlavně vzhledem k začleňování oprav týkajících se sítí), ale celkově byl klid.“
Stabilní aktualizace: 4.3.1, 4.2.7, 4.1.14, 3.14.58 a 3.10.94 byly vydány 9. prosince.
Vývojový kernel 4.4-rc5 byl vydán 13. prosince. „Jestliže už máte nakoupeny všechny vánoční dárky, pak bych srdečně doporučil rc5 mezi vaječným koňakem a ozdobami otestovat. A pokud tyhle svátky neslavíte, nemáte důvod netestovat.“
Vývojový kernel 4.4-rc6 byl vydán 20. prosince. Linus: „Vše je v pořádku. Vydání rc5 z minulého týdne bylo malinké, tento týden nás čeká větší rc6. Hlavní rozdíl je v tom, že rc6 obsahuje začlenění sítí (network pull).“
Stabilní aktualizace: 4.3.3, 4.2.8 a 4.1.15 byly vydány 14. prosince. Verze 4.2.8 je poslední v sérii 4.2.x Grega Kroah-Hartmana, ale jaderný tým Canonicalu oznámil, že bude tohle vydání udržovat až do dubna 2016.
Selfie tyčka má dvě využití. To druhé umožňuje lidem nad 40 číst text na telefonech bez brýlí.
Z mého pohledu je netlink skoro jako ioctl, jen bez důležitého fd, na které se volá.
Nemůžu čekat, že budou lidi připraveni na začleňovací okno, když jsou opilí z vaječného koňaku nebo co já vím z čeho.
V roce 1582 našeho letopočtu přišel papež Řehoř XIII na to, že juliánský kalendář nereprezentuje realitu dostatečně přesně, a změnil pravidlo ohledně výpočtu přestupného roku. Podobně v roce 2013 zjistili inženýři společnosti Rockchip, že nový gregoriánský kalendář má pořád svoje chybky, a že by listopad měl mít 31 dnů. Přijetí změn v kalendáři chce svůj čas, a tak jako trvalo 300 let, než poslední protestantský národ přijal Řehořův návrh, budeme si muset nějaký čas počkat, než všechna náboženství a jádra operačních systémů uznají přednosti systému Rockchip. Do té doby budeme muset překládat čtení a zápis dat z hardwaru Rockchip do gregoriánského kalendáře.
Zde je delší post Dan Luua o tom, proč je tak složité bezpečně zapisovat soubory na unixových systémech. Ve stručnosti jde o kombinaci POSIX sémantiky a chyb souborových systémů. „Jistě stojí za zmínku, že i když není sémantika btrfs podstatně méně spolehlivá než ext3/ext4, dochází k poškozování dat na btrfs častěji, protože vývojáři nejsou připraveni na práci se souborovými systémy, které umožňují změnu pořadí operací nad adresáři (ext2 byl jediným dalším souborovým systémem, který to umožňoval). Až lidé začnou používat jednotky NVRAM, které podporují atomicitu pouze na úrovni bajtů, nejspíš narazíme na podobný objem odhalených chyb. Lidé skoro vždy jen spustí nějaké testy, aby se přesvědčili, že věc funguje, místo aby se ujistili, že kódují proti něčemu, co je povoleno v posixovém souborovém systému.“
Zprávička a diskuze zde.
AnandTech píše o plánech AMD pro podporu linuxových grafických ovladačů. Ve zkratce: Více open-source kódu, ale některé proprietární komponenty zůstanou i nadále. „Významnou změnou je, že díky RTG closed-source ovladači založeném na open-source ovladači může společnost jednoduše udržovat pouze jednu kódovou základnu, směřovat mnohem více k open source, a tyto open-source ovladače přijímají nové funkce mnohem dříve než kdysi. Tím se výrazně zlepšuje spokojenost uživatelů open-source ovladačů, ale funguje to i recipročně pro RTG. Je snazší držet krok se změnami v linuxovém jádře s open-source ovladačem, než s uzavřeným ovladačem a lze rychleji integrovat zlepšení předkládaná jinými vývojáři.“
Zprávička a diskuze zde.
Na letošním (2015) Kernel Summitu shromáždění vývojáři diskutovali o zavedení většího počtu patchů pro tvrzení bezpečnosti jádra. Shodli se na tom, že je třeba se znovu podívat na grsecurity patche mimo hlavní strom. Jedním z prvních je patch post-init read-only paměti Keese Cooka. Byl přijat pozitivně, ale zároveň zvýrazňuje problémy spojené s tvrzením jádra pro běžné využití.
Klíčem k úspěšnému exploitu je přesvědčit jádro k zápisu do nezamýšlené části paměti. Příkladem budiž nedávný exploit, který zneužívá chyby ovladače k přepisu části oblasti vDSO, která poté umožňuje útočníkovi spustit v režimu jádra libovolný kód. Jednou z možností, jak se takovým útokům v co největší míře ubránit, je minimalizování paměti, do které má kernel povolení zapisovat. K dispozici je řada technik, od prostého označení dat jako read-only po prevenci přístupu pomocí režimu supervizora. Existuje ovšem jedna třída dat identifikovaná vývojáři grsecurity, kterou tyto techniky v současné době přehlížejí.
Při bootování jádra dochází k nastavování obrovského množství datových struktur popisujících hardware, na kterém běží. V mnoha případech se tyto datové struktury již nebudou měnit, ale protože se nacházejí v zapisovatelné paměti, je stále možné je změnit bludným zápisem. Post-init read-only patch, který zveřejnil Kees Cook, umožňuje označit tyto datové struktury speciální anotací _read_only. To způsobí jejich přesunutí do samostatného úseku ELF (".data..read_only"). Jakmile kernel dokončí inicializační proces, dojde k označení všech dat v této sekci jako read-only a další změna již nebude možná. V takovém případě již exploity typu vDSO nebudou fungovat.
Celý článek zde.
Soubory v souborovém systému tvoří globálně viditelné datové struktury, takže je dost dobře možné, že se je bude ve stejnou dobu snažit modifikovat více než jeden proces. Pokud nedojde ke koordinaci akcí těchto procesů, bude výsledek v nejlepším případě nepříjemný. Jednou z metod koordinace je povinné zamykání (locking), které je součástí Linuxu téměř od samotného počátku. Nedávná diskuze by ovšem mohla být začátkem konce této užitečné, i když nemilované, funkce.
V minulosti Unix postrádal mechanismus pro serializaci přístupu ke sdíleným souborům. Až POSIX standardizoval pomocný zamykací mechanismus iniciovaný systémovým voláním fcntl(). Díky pomocným zámkům může proces uzamknout oblast nebo soubor pro čtení či zápis, v případě zápisu udělením exkluzivního přístupu k dané oblasti. Pomocné zamykání POSIX většinou funguje, modulo některé nedostatky, bylo také nedávno vylepšeno přidáním soukromých POSIX zámků k souborům. S poradními zámky je ovšem potíž: jsou poradní. Stačí jeden proces, který nehraje podle pravidel a celé schéma se sesype. Jak již bylo za poslední roky roky řečeno mnohokrát, existuje obrovské množství špatně napsaného softwaru, a i když mohou poradní zámky pracovat v dobře napsané aplikace správně (například správce databáze, který přistupuje k souborům), nedá se na ně spoléhat v případech, kdy se o přístup k souborům pokouší jiné, např. škodlivé programy.
Odpovědí z POSIX byly povinné zámky, které si můžeme představit jak poradní (pomocné) zámky s dalšími bastly navíc. Pokud soubor podléhá zámkům, potom zámky, které by jinak fungovaly jako pomocné, vynucuje přímo jádro. Jestliže potom proces zápisem uzamkne oblast nebo soubor, nebude k němu mít žádný jiný proces přístup (bude blokován) do doby, než bude tento zámek odstraněn. Díky povinným zámkům není třeba spoléhat na to, že každý proces přistupující k souborům, bude brát v potaz pomocné zámky.
Celý článek zde.
Zálohování souborů ze šifrovaného souborového systému bez dostupného klíče je mnohem složitější, než by se mohlo zdát. Jednak je adresář, který dané soubory obsahuje, pravděpodobně také šifrovaný, takže by byl zapotřebí nějaký mechanismus k extrakci šifrované verze názvu souboru. Nedávný patch set, který byl zveřejněn v e-mailové konferenci ext4 poskytuje podporu pro extrakci souborů ze šifrovaných souborových systémů ext4 pro zálohu a další využití.
Ted Ts'o patche zveřejnil 10. prosince. Přidávají příkazy ioctl() a možnost mountování, čímž administrátorům umožňují extrahovat potřebné informace k uložení kopie souboru, aniž by byla zapotřebí kopie šifrovacího klíče. Co patche nedovolují, je obnova souboru bez klíče. Podle Teda je manipulace se zašifrovaným adresářem a souborem bez uživatelského klíče složitá. „Vytvoření vazby znamená, že musíme manipulovat jak se zašifrovaným adresářem, tak se zašifrovaným souborem, což není v rozhraní VFS žádná legrace.“
Celý článek zde.
Kernel self-protection project vznikl teprve před měsícem a půl, ale již teď můžeme vidět, jak si některé funkce PaX razí cestu směrem do hlavního stromu. V e-mailové konferenci věnované tvrzení jádra, která se používá ke koordinaci práce na KSPP, se jim sice dostalo pozitivního přijetí, skutečná zkouška ale přijde až s návrhem k zařazení do hlavního stromu. Nedávno byly zveřejněny dva patchsety: PAX_REFCOUNT a PAX_MEMORY_SANITIZE, na které se zde podíváme.
Celý článek zde.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
. Tak co no, za 366 roků si udělaj jeden přestupnej rok .
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz