Проект GrapheneOS развивает ответвление от кодовой базы Android (AOSP, Android Open Source Project), расширенное и изменённое для усиления безопасности и обеспечения конфиденциальности. Официально поддерживается большинство актуальных устройств Google Pixel (Pixel 4/5/6/7/8, Pixel Fold, Pixel Tablet). Наработки проекта распространяются под лицензией MIT. В состав включены многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления типовых уязвимостей и усложнением работы эксплоитов.

Например, в платформе применяется собственная реализация malloc и модифицированный вариант libc с защитой от повреждения памяти, а также более жёсткое разделение адресного пространства процессов. Вместо JIT в Android Runtime применяется только упреждающая (AOT, ahead-of-time) компиляция. В ядре Linux включены многие дополнительные механизмы защиты, например, в slub добавляются канареечные метки для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.

Имеется возможность выборочного предоставления доступа отдельным приложениям к сетевым операциям, датчикам, адресной книге и периферийным устройствам (USB, камере). По умолчанию запрещено получение сведений о IMEI, MAC-адресе, серийном номере SIM-карты и других аппаратных идентификаторах. Чтение из буфера обмена разрешено только приложениям, в которых в данный момент активен фокус ввода. Включены дополнительные меры для изоляции связанных с Wi-Fi и Bluetooth процессов и предотвращения утечек в результате беспроводной активности. Многие из разработанных в рамках проекта механизмов усиления безопасности перенесены в основную кодовую базу Android.

В GrapheneOS применяется криптографическая верификация загружаемых компонентов и расширенное шифрование данных на уровне файловых систем ext4 и f2fs (данные шифруются при помощи AES-256-XTS, а имена файлов - AES-256-CTS c использованием HKDF-SHA512 для генерации отдельного ключа для каждого файла), а не блочного устройства. Данные в системных разделах и в каждом профиле пользователя шифруются разными ключами. Используются доступные аппаратные возможности для ускорения операций шифрования. На экране блокировки отображается кнопка завершения сеанса, после нажатия которой ключи для расшифровки сбрасываются и хранилище переводится в неактивированное состояние. Имеется настройка для запрета установки дополнительных приложений в выбранных профилях пользователей. Для защиты от подбора паролей задействована система задержек, зависящих от числа неудачных попыток (от 30 секунд до 1 дня).

В состав GrapheneOS принципиально не включаются приложения и сервисы Google, а также альтернативные реализации сервисов Google, такие как microG. При этом имеется возможность установки сервисов Google Play в отдельном изолированном окружении, не имеющем специальных привилегий. Проектом также развивается несколько собственных приложений, сфокусированных на защите информации и приватности. В частности, предлагаются браузер Vanadium на базе Chromium и модифицированный вариант движка WebView, защищённый PDF-просмотрщик, межсетевой экран, приложение Auditor для верификации устройств и выявления вторжений, приложение для работы с камерой, нацеленное на обеспечение конфиденциальности, и система создания шифрованных резервных копий Seedvault.

1. Главная ссылка к новости
2. OpenNews: Обновление защищённой Android-платформы GrapheneOS
3. OpenNews: Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
4. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
5. OpenNews: Раскол среди создателей проекта CopperheadOS
6. OpenNews: Опубликована ФС Oramfs, скрывающая характер доступа к данным

Браузер Ladybird преодолел путь от простого HTML-просмотрщика, специфичного для SerenityOS, до кроссплатформенного продукта, использующего собственный браузерный движок. Фактически браузер перерос SerenityOS и разделил сообщество на две группы - разработчиков ОС и разработчиков кроссплатформенного браузера. Так как занимающиеся браузером и операционной системой разработчики со временем всё больше и больше отдалялись и теряли общие интересы, в конечном счёте было решено полностью разделить эти проекты. После разделения Андреас возглавит разработку браузера, а группа основных мэйнтейнеров получит управление над SerenityOS.

После отделения разработчики браузера Ladybird прекратят поддержку ОС SerenityOS и сосредоточатся на разработке для платформ Linux и macOS. Разработчики же SerenityOS смогут вернуться к исходной модели разработки ради удовольствия, общения с единомышленниками и в качестве хобби. В отличие от SerenityOS в проекте Ladybird будут убраны ограничения, запрещавшие использование в проекте стороннего кода. Старый репозиторий Ladybird переведён в архивный режим.

Браузер Ladybird использует собственные движок LibWeb, JavaScript-интерпретатор LibJS, библиотеку отрисовки текста и 2D-графики LibGfx, движок для регулярных выражений LibRegex, XML-парсер LibXML, интерпретатор промежуточного кода WebAssembly (LibWasm), библиотеку для работы с Unicode LibUnicode, библиотеку для преобразования текстовых кодировок LibTextCodec, парсер для разметки Markdown (LibMarkdown), библиотеки с криптографическими примитивами (LibCrypto, LibTLS), библиотеку для работы с архивами LibArchive, библиотеки для воспроизведения звука и видео (LibAudio, LibVideo) и библиотеку LibCore с общим набором полезных функций, таких как преобразование времени, ввода/вывод и обработка MIME-типов.

Графический интерфейс оформлен в классическом стиле и поддерживает вкладки. Для построения интерфейса в macOS используется AppKit, в Android - родной для данной платформы API создания графического интерфейса, а на остальных платформах - Qt. Поддерживаются основные web-стандарты (браузер проходит тесты Acid3), HTTP/1.1 и HTTPS. Код написан на языке C++ и распространяется под лицензией BSD. Поддерживается работа в Linux, macOS, Android, Haiku и OpenIndiana.

В Ladybird применяется многопроцессная архитектура, в которой занимающийся формированием интерфейса процесс отделён от процессов, обеспечивающих обработку web-контента, отправку запросов по сети, декодирование изображений и хранение Cookie. Связанные с декодированием изображений и сетевым взаимодействием обработчики выделены в отдельные процессы для усиления изоляции и защиты. Для каждой вкладки используется отдельный процесс обработки web-контента, изолированный от остальной системы.

1. Главная ссылка к новости
2. OpenNews: Развиваемый проектом SerenityOS web-браузер успешно прошёл тесты Acid3
3. OpenNews: Проект SerenityOS развивает Unix-подобную ОС c графическим интерфейсом
4. OpenNews: Новая версия браузера NetSurf 3.11
5. OpenNews: После многолетнего забвения опубликован минималистичный web-браузер Dillo 3.1
6. OpenNews: Представлен кросс-платформенный web-браузер Ladybird

При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет firefox может записываться в /nix/store/1onlv5pc3ed4n5nskg8ew4twcfd0d5ce4ec5d4-firefox-125.0.1/, где "1onlv5pc3ed4n5nskg8ew4twcfd0d5ce4ec5d4" является хешем всех его зависимостей и инструкций сборки. Под установкой пакета подразумевается его сборка или скачивание уже собранного (при условии, что он был уже собран на Hydra - сервисе сборки проекта NixOS), а также формирование директории с символическими ссылками на все пакеты в профиле системы или пользователя, с последующим добавлении этой директории в список PATH. Аналогичный подход применяется в пакетном менеджере GNU Guix, который основан на наработках Nix. Коллекция пакетов представлена в специальном репозитории Nixpkgs.

Основные новшества:

• Добавлено 17777 пакетов, удалено 9393 пакета, обновлено 16249 пакетов. Добавлено 145 новых модулей, удалено 23 модуля. В разработке и сопровождении пакетов приняли участие 2491 разработчиков.
• Предложены выпуски пользовательских окружений KDE Plasma 6.0, GNOME 46 и MATE 1.28. В состав включены пакеты с пользовательским окружением Lomiri (бывший Unity8), использующим Wayland и дисплейный сервер Mir 2.
• Добавлено 66 новых сервисов, среди которых AppImage, Anki Sync Server, Clevis, dnsproxy, Guix, intel-gpu-tools, isolate, microsocks, RustDesk, watchdogd.
• Ядро Linux обновлено до версии 6.6 (была 6.1). Для сжатия файлов с прошивками задействован алгоритм zstd.
• Обеспечена установка загрузчика исполняемых файлов в формате ELF, который выводит сообщение об ошибке в случае запуска исполняемых файлов, собранных не для NixOS. Для отключения предусмотрена настройка "environment.stub-ld.enable".
• Предоставлена возможность создания систем, в которых не установлен интерпретатор Perl (системные зависимости, использующие Perl, переведены в разряд необязательных опций).

1. Главная ссылка к новости
2. OpenNews: Лидер проекта NixOS вышел из управляющего совета после угрозы создания форка
3. OpenNews: Проект NixBSD развивает вариант NixOS с ядром из FreeBSD
4. OpenNews: Выпуск дистрибутива NixOS 23.11, использующего пакетный менеджер Nix
5. OpenNews: В NixOS обеспечена поддержка повторяемых сборок для iso-образа
6. OpenNews: Выпуск Distrobox 1.7, инструментария для вложенного запуска дистрибутивов

Предполагается, что наличие текстовых описаний, которые можно будет выводить через экранные ридеры, упростит работу людей, имеющих проблемы со зрением. Функция реализована через интеграцию модели машинного обучения, выполняемой на локальной системе пользователя без обращения к внешним сервисам, по аналогии с тем как уже работает встроенная система перевода с одного языка на другой.

Модель для генерации текстовых описаний занимает примерно 200 МБ на диске, использует данные модели DistilGPT2 и охватывает 182M параметров. Для анализа изображений задействован декодировщик на базе модели Vision Transformer (ViT). Для работы с моделью в состав браузера включён ONNX Runtume, скомпилированный в представление WASM, и библиотека Transformers.js. Модель загружается динамически перед первым использованием.

1. Главная ссылка к новости
2. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста
3. OpenNews: В ночных сборках Firefox включена поддержка машинного перевода
4. OpenNews: Выпуск web-браузера Chrome 121 с возможностями, использующими машинное обучение
5. OpenNews: В ночных сборках Firefox тестируют виджет с прогнозом погоды
6. OpenNews: Опубликован список идей по развитию Firefox, над которыми ведётся работа

Расследование инцидента пока не завершено и детали не раскрываются. Указано только, что в последние несколько дней компания Hugging Face провела большую работу по усилению безопасности своей инфраструктуры, полностью прекратила использование org-токенов, ввела в строй систему управления ключами (KMS) и задействовала новые инструменты для выявления утечек токенов. На будущее запланировано полное прекращение использования классических токенов с доступом на чтение и запись.

1. Главная ссылка к новости
2. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код
3. OpenNews: Техника атаки на системы, использующие алгоритмы машинного обучения
4. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным
5. OpenNews: Утечка закрытых ключей Intel, используемых для заверения прошивок MSI
6. OpenNews: GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения

Наиболее важные изменения:

• При подготовке новой ветки основное внимание было сосредоточено на обеспечении поддержки работы с использованием протокола Wayland. Добавлен экспериментальный сеанс на базе Wayland, использующий композитный сервер Wayfire. Большинство апплетов, размещаемых в панели, включая апплет управления громкостью, апплет индикации заряда аккумулятора и сетевой апплет, адаптированы для работы с Wayland (исключение составили только апплеты AccessX и Geyes, завязанные на X11). Обеспечена работа с Wayland конфигуратора (Центр управления), мультимедийных приложений, системы вывода уведомлений, системы управления энергопотреблением, эмулятора терминала.
• В панели задач реализована возможность отображения списка активных окон при использовании Wayland, а также обеспечена корректная индикация состояния корзины.
• В файловом менеджере Caja добавлена поддержка управления пиктограммами на рабочем столе, отрисовки фоновых изображений и изменения обоев рабочего стола при использовании сеанса на основе Wayland. Добавлен плагин audio-video-properties для показа свойств мультимедийных файлов.
• На использование сборочной системы Meson переведены просмотрщик изображений Eye of MATE, конфигуратор mate-control-center, программа для работы с архивами Engrampa, mate-terminal, mate-desktop, mate-menu, mate-polkit, mate-power-manager, mate-system-monitor и мультимедийные утилиты.
• В оконный менеджер Marco добавлена настройка "alt-tab-raise-windows", при установке которой при циклическом переборе эскизов окон в интерфейсе, показываемом при нажатии на Alt+tab, выбранные окна будут приподняты относительно других окон для упрощения их идентификации.
• Просмотрщик документов Atril переведён на использование библиотеки libarchiv для обработки форматов с комиксами. Заявлена поддержка формата EPUB. Браузерный движок обновлён до WebKitGTK 4.2.1. Актуализирована кодовая база, которая избавлена от использования устаревших методов.
• В программе для работы с архивами Engrampa для работы с форматом CPIO задействована утилита unar вместо утилиты cpio. Добавлена поддержка утилиты unrar-free. Проведена работа по повышению производительности и улучшению совместимости с различными архиваторами.
• Для текстового редактора Pluma добавлен плагин Quickhighlight, обеспечивающий подсветку мест в документе, где встречается выделенный фрагмент текста.
• В эмуляторе терминала MATE Terminal обеспечен корректный перенос файлов из файлового менеджера в окно терминала (вставляется путь к файлу). Добавлена поддержка escape-последовательности OSC 8 для вставки гиперссылок. Улучшена работа со вкладками - добавлена поддержка двойного щелчка мышью на вкладке для смены её имени.
• В mate-indicator-applet, универсальный апплет для показа индикаторов в панели (Ayatana AppIndicator), добавлена поддержка средней кнопки мыши.
• Фоновый процесс для управления настройками (mate-settings-daemon) переведён с dbus-glib на GDBus.
• В системном мониторе (mate-system-monitor) улучшен интерфейс и по умолчанию включена поддержка systemd.
• Внесены изменения для повышения стабильности и эффективности работы просмотрщика изображений eom (Eye of MATE).
• Устранены утечки памяти и внесены косметические изменения в конфигуратор.
• Улучшен интерфейс редактора меню Mozo.
• Проведена чистка кодовой базы от устаревших библиотек и реализована совместимость с актуальными выпусками GTK.

1. Главная ссылка к новости
2. OpenNews: Релиз десктоп-окружения MATE 1.26, форка GNOME 2
3. OpenNews: Дистрибутив Ubuntu MATE сформировал сборки для плат Raspberry Pi
4. OpenNews: Выпуск редакции дистрибутива Slackel 7.7 с рабочим столом MATE
5. OpenNews: Инициатива по портированию приложений MATE для Wayland
6. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS

Важные изменения

• Добавлена поддержка тёмной темы оформления.
• По умолчанию задействована кодировка UTF-8. В настройках (Document→Settings...→Language) оставлена возможность использования традиционных кодировок. Старые кодировки также продолжат использоваться в уже существующих документах и шаблонах.
• Полностью переписана реализация языка разметки документов DocBook. Добавлена поддержка спецификации DocBook 5 и возможность сохранения документов в форматах DocBook и ePub.
• Реализована поддержка сохранения документов в формате HTML5 с использованием элементов <section> (ранее поддерживался только старый HTML 1).
• Расширены возможности по визуальной компоновке таблиц. Добавлены стили таблиц, которые можно выбрать при вставке новой таблицы (Document→Settings...→Text Layout). Возможно создание собственных стилей. Добавлена поддержка использования слитных или раздельных горизонтальных разделителей для индикации группировки столбцов в таблице.
• Предложен новый диалог для выбора шаблонов (File→New From Template...) и файлов с примерами (File→Open Example...), отображающий информацию в структурированном виде, а также показывающий примеры и шаблоны из каталога пользователя. Упрощён процесс сохранения собственных шаблонов в домашнем каталоге, используя меню "File→Save As Template...".
• Переделан диалог для поиска и замены, который теперь может как прикрепляться в виде встроенной панели в нижней части, так и отсоединяться в отдельное окно. Добавлены режимы поиска по мере набора запроса и поиска/замены только в выделенной области текста.
• Полностью переделан интерфейс для настройки свойств документа.
• Изменён диалог с настройками Bib(la)TeX, в котором теперь в одном месте отображается как доступные, так и выбранные библиографические базы данных. Добавлена возможность выбора кодировки текста в привязке к отдельным файлам.
• Переработан диалог выбора модулей (Document→Settings...→Modules). Обеспечен показ доступных модулей с разделением на категории. Добавлена функция быстрого поиска по имени модуля и имени файла.
• Повышено удобство редактирования математических уравнений,
• Добавлена возможность выбора различных форм вставки даты и времени.
• Предоставлена возможность определения режима выравнивания для всего плавающего содержимого.
• В панели инструментов для кнопок изменения свойств текста и вставки из буфера обмена реализован показ истории прошлых операций. Добавлена возможность выбора через панель инструментов собственных стилей символов.
• Добавлена опция (Document→Settings→Numbering & TOC→Line numbering) для отображения номеров строк в документе.
• Расширены возможности для отслеживания изменений в документе.
• Добавлена возможность выбора для отдельных документов собственных словарей для проверки правописания. Реализована поддержка построения списка отдельных слов или фраз, игнорируемых при проверке правописания.
• Расширен перечень поддерживаемых команд и шрифтов LaTeX. При использовании пакета многоязычной вёрстки LaTeX-документов Polyglossia реализована поддержка русского языка.
  1. Главная ссылка к новости
  2. OpenNews: Выход текстового процессора LyX 2.3.0
  3. OpenNews: Релиз визуального редактора LaTeX-документов LyX 2.0.0
  4. OpenNews: Выпуск TeX-дистрибутива TeX Live 2023 и пакета a2ps 4.15
  5. OpenNews: Завершена публикация каталога пакетов LaTeX
  6. OpenNews: Выпуск LaTeX2HTML 2018

СУБД Greenplum представляет собой распределённую редакцию открытой СУБД PostgreSQL, оптимизированную для выполнения аналитических запросов над большими массивами данных (Data Warehouse). Для параллельной обработки данных применяется массово-параллельная архитектура (MPP, massively parallel processing), обеспечивающая масштабируемость хранилища до петабайтных размеров за счёт разделения данных на сегменты и задействования для их хранения и обработки кластера из группы серверов. В качестве открытой альтернативы можно упомянуть СУБД Cloudberry, являющуюся форком Greenplum, переведённым на кодовую базу PostgreSQL 14 (Greenplum базируется на PostgreSQL 12) и предоставляющим расширенную функциональность, сохраняя при этом обратную совместимость с Greenplum.

Greenplum активно применяется в процессах замещения продуктов ушедших с российского рынка компаний, а также лежит в основе аналитической СУБД Arenadata DB (ADB) от российской компании Аренадата. По заявлению компании Аренадата сворачивание публичной разработки Greenplum не окажет негативного влияния на развитие Arenadata DB, так как компания была готова в подобному развитию событий и приступила к сопровождению собственного форка, продолжающего развиваться под открытой лицензией Apache 2.0 (ранее разработчики из Аренадата передавали изменения в основной совместный проект и являлись одними из его активных участников).

1. Главная ссылка к новости
2. OpenNews: Релиз СУБД PostgreSQL 16
3. OpenNews: Для PostgreSQL представлен движок хранения OrioleDB, обходящийся без операции VACUUM
4. OpenNews: Первый стабильный выпуск FerretDB, реализации MongoDB на базе СУБД PostgreSQL
5. OpenNews: Выпуск IvorySQL 2.1, надстройки над PostgreSQL для обеспечения совместимости с Oracle
6. OpenNews: Открыты исходные тексты СУБД CitusDB

Сканер оформлен в виде универсального самодостаточного приложения, поддерживающего работу в 64-разрядных окружениях на базе дистрибутивов AlmaLinux OS 8+, AlterOS 7.5+ Astra Linux Common Edition 2.12+, CentOS 6.7+, Debian GNU/Linux 10.0+, EulerOS 2.0+, Linux Mint 19.2+, openSUSE Leap 15.0+, Oracle Linux 7.3+, Red Hat Enterprise Linux 6.7+, Rocky Linux 8.5+, SUSE Linux 12.5, Ubuntu 12.04+, AltLinux 8+, Rosa 12+ и РЕД ОС 7.3+. Программа распространяется бесплатно. Размер предлагаемого для загрузки исполняемого файла - 175 МБ. Автоматическое обновления антивирусных баз в KVRT не поддерживается - для получения актуальных антивирусных данных нужно загружать новую версию (программа обновляется несколько раз в день).

1. Главная ссылка к новости
2. OpenNews: Компания Cisco выпустила антивирусный пакет ClamAV 1.3.0 и устранила опасную уязвимость
3. OpenNews: Большинство антивирусов оказались подвержены атаке через символические ссылки
4. OpenNews: Лаборатория Касперского подтвердила планы по созданию собственной операционной системы
5. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
6. OpenNews: Уязвимость в защищённом браузере Bitdefender SafePay, приводящая к выполнению кода

Как и в классическом CentOS, внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat. Дистрибутив по возможности бинарно совместим с Red Hat Enterprise Linux 8.10 и включает все предложенные в данном выпуске улучшения. Например, предложены новые версии GCC Toolset 13, LLVM Toolset 17.0.6, Rust Toolset 1.75.0, Go Toolset 1.21.0, Python 3.12, Ruby 3.3, PHP 8.2, Git 2.43.0, nginx 1.24, samba 4.19.4, PostgreSQL 16, MariaDB 10.11 и Podman 4.9. Указано, что выпуск Rocky Linux 8.10 станет последним обособленным релизом в ветке 8.x и версия 8.11 сформирована не будет (обновления пакетов с устранением уязвимостей и критичных ошибок продолжат ещё пять лет формироваться без отдельных релизов дистрибутива).

Среди специфичных для Rocky Linux изменений можно отметить поставку дополнительных репозиториев: plus c пакетом open-vm-tools, nfv c пакетами для виртуализации компонентов сетей, развиваемыми SIG-группой NFV (Network Functions Virtualization), RT с пакетами для работы в режиме реального времени, PowerTools, ResilientStorage и HighAvailability. В образах для AWS обеспечена возможность загрузки в подсетях только с IPv6.

Дополнительно можно напомнить о скором истечении времени жизни ветки CentOS 7. После 30 июня 2024 года обновления с устранением уязвимостей для CentOS 7 выпускаться не будут. Пользователям CentOS 7 рекомендуется до конца июня выполнить обновление своих систем до CentOS Stream 8, AlmaLinux 8, Rocky Linux 8, Oracle Linux 8 или EuroLinux 8.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Rocky Linux 9.4, развиваемого основателем CentOS
3. OpenNews: Обновление дистрибутивов AlmaLinux 8.9 и Rocky Linux 8.9
4. OpenNews: Rocky Linux, Oracle и SUSE создали совместный репозиторий для RHEL-совместимых дистрибутивов
5. OpenNews: Доступны дистрибутивы AlmaLinux 8.10 и EuroLinux 8.10
6. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8.10

Атака была совершена с использованием типового вредоносного ПО Chalubo, известного с 2018 года, организующего централизованное управление ботнетом и применяемого для Linux-устройств на базе 32- и 64-разрядных архитектур ARM, x86, x86_64, MIPS, MIPSEL и PowerPC. Как именно устройства были скомпрометированы для установки вредоносного ПО информации нет, исследователи лишь предполагают, что доступ к устройствам мог быть получен в результате выставления провайдером ненадёжных учётных данных, использования типового пароля для входа в интерфейс администрирования или эксплуатации неизвестных уязвимостей.

Вредоносное ПО Chalubo подразумевает три этапа внедрения. После эксплуатации уязвимости или использования скомпрометированных учётных данных на устройстве запускается bash-скрипт, который проверяет наличие в системе вредоносного исполняемого файла /usr/bin/usb2rci и при его отсутствии отключает блокировки пакетного фильтра, выполняя "iptables -P INPUT ACCEPT;iptables -P OUTPUT ACCEPT;", после чего загружает с подконтрольного злоумышленникам управляющего сервера (C&C) скрипт get_scrpc.

Скрипт get_scrpc оценивает контрольную сумму md5 файла usb2rci и если она не совпадает с определённым значением загружает второй скрипт get_fwuueicj, который проверяет наличие файла /tmp/.adiisu и при отсутствии создаёт его и загружает основной исполняемый файл вредоносного ПО, собранный для CPU MIPS R3000, в каталог /tmp под именем "crrs", после чего запускает его.

Запущенный файл собирает информацию о хосте, такую как сведения о MAC-адресе, идентификаторе устройства, версии ПО и локальных IP-адресах, и отправляет её на внешний хост, после чего проверяет доступность управляющих серверов и загружает основной компонент вредоносного ПО, который расшифровывается с использованием потокового шифра ChaCha20. Основной компонент может загружать и запускать с управляющего сервера произвольные Lua-скрипты, определяющие логику дальнейших действий, например, участие в совершении DDoS-атак.

Предполагается, что злоумышленники, имеющие доступ к серверам управления ботнетом, воспользовались имеющейся в Chalubo функцией загрузки и выполнения скриптов на языке Lua для перезаписи прошивки устройств и вывода оборудования из строя. Инцидент примечателен тем, что несмотря на распространённость вредоносного ПО Chalubo (в начале 2024 года было зафиксировано более 330 тысяч IP, обращающихся к известным серверам управления ботнетом), описываемые вредоносные действия ограничились только одним провайдером, что позволяет судить о том, что атака была целевой.

1. Главная ссылка к новости
2. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
3. OpenNews: Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия
4. OpenNews: RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
5. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
6. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc

Среди прочего доступен код ядра XNU, исходные тексты которого публикуются в виде срезов кода, связанных с очередным релизом macOS. XNU является частью открытого проекта Darwin и представляет собой гибридное ядро, сочетающее ядро Mach, компоненты от проекта FreeBSD и C++ API IOKit для написания драйверов.

Кроме того, опубликованы открытые компоненты, используемые в мобильной платформе iOS 17.5. Публикация включает два пакета - WebKit и libiconv.

1. Главная ссылка к новости
2. OpenNews: В Fedora одобрена поставка в пакете asahi-installer исполняемых файлов для macOS
3. OpenNews: Проект ravynOS развивает редакцию FreeBSD, нацеленную на совместимость c macOS
4. OpenNews: Компания Apple опубликовала код ядра и системных компонентов macOS 14.4

Наиболее важные изменения:

• Встроенный пакет Vkd3d с реализацией Direct3D 12 обновлён до версии 1.12.
• Улучшена поддержка режима DPI Awareness для организации отображения приложений на экранах с высокой плотностью пикселей, с учётом того поддерживает приложение адаптацию к изменению DPI или нет.
• Для платформ ARM добавлена поддержка C++ RTTI (Run-Time Type Information).
• Проведена чистка от устаревших возможностей кода WineD3D, реализации DirectX 1-11 на базе OpenGL.
• Закрыты отчёты об ошибках, связанные с работой приложений: Paint.NET 4.1, Notepad++, Race, Affinity Photo 1.9.1, Pivot Animator 4.2, FL Studio 20.9.1, EA Desktop Client, reMarkable, BExAnalyzer, EditPad.
• Закрыты отчёты об ошибках, связанные с работой игр: DualShock 4, Silent Hill 4: The Room, игры компании SRPG Studio, Far Cry 3, Horizon Zero Dawn CE, Metro Exodus.

Кроме того, сформирован выпуск проекта Wine Staging 9.10, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 429 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 9.10 и vkd3d. Обновлены патчи vkd3d-latest (интеграция последней версии vkd3d) и Compiler_Warnings (исправления по мотивам предупреждений компиляторов).

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine 9.9 и Wine staging 9.9
3. OpenNews: Проект Wine опубликовал Vkd3d 1.12 с реализацией Direct3D 12
4. OpenNews: В Arch Linux улучшили совместимость c Windows-играми, запускаемыми в Wine и Steam
5. OpenNews: Стабильный релиз Wine 9.0
6. OpenNews: Apple представил инструментарий для портирования игр, основанный на Wine

Основные новшества NetworkManager 1.48:

• Объявлена устаревшей система сборки на базе пакета autotools. Для сборки NetworkManager теперь рекомендовано использовать инструментарий meson.
• Объявлено устаревшим свойство mac-address-blacklist, позволяющее определить чёрный список MAC-адресов для проводных и беспроводных сетей. Вместо mac-address-blacklist предписано использовать свойство mac-address-denylist, в названии которого отсутствует неполиткорректная терминология.
• Добавлено свойство 802-1x.openssl-ciphers для изменения шифров OpenSSL, применяемых при аутентификации 802.1X, что позволяет, например, отключить некоторые новые шифры при подключении к старым серверам.
• Разрешено применение IPv6 SLAAC (Stateless Address Auto-configuration) и назначение IPv6-адреса DNS-сервера для широкополосных модемов, если адрес IPv6 не был явно передан ModemManager.
• Добавлена поддержка отправки DHCP-сообщения RELEASE в случае разрыва соединения.
• Решена проблема, приводившая к 100% нагрузке на CPU, в случае поступления от внешних программ большого числа обновлений маршрутов.
• Решена проблема с определением поддержки беспроводными устройствами диапазона 6 GHz.

1. Главная ссылка к новости
2. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.46.0
3. OpenNews: Разработчики systemd предложили новую систему для настройки сетевой конфигурации
4. OpenNews: Релиз программы для настройки сетевых соединений Wicd 1.7
5. OpenNews: В ArchLinux интегрирован новый сетевой конфигуратор netctl
6. OpenNews: Выпуск сетевого конфигуратора ConnMan 1.38

Содержимое network-scripts сильно завязано на ISC dhcp и его перевод на другой DHCP-клиент не представляется возможным из-за прекращения разработки пакета. Вместо команд ifup и ifdown рекомендовано использовать утилиту nmcli из NetworkManager или команду networkctl. Удаление network-scripts не приведёт прекращению работы старых сетевых конфигураций ifcfg, так как пакетом NetworkManager-initscripts-ifcfg-rh предоставляются альтернативные компоненты для их поддержки.

Кроме того, можно отметить намерение внести в Fedora 41 изменения в правила Polkit, регулирующие доступ к фоновому процессу rpm-ostree в сборках дистрибутива Fedora, применяющих атомарную модель обновления (Fedora Atomic Desktops). Изменения разрешат обычным непривилегированным пользователям выполнять операцию обновления системы без ввода пароля администратора.

При этом изменения также расширят число привилегированных операций, требующих ввода пароля, при их выполнении администратором. Подобное изменение рассматривается как дополнительная мера для подтверждения выполнения администратором опасных операций, таких как изменение параметров ядра, установка пакетов из локальной ФС и смена системного образа. Операции установки/удаления пакетов из штатных репозиториев, обновления системы и отката изменений останутся доступны для администратора без ввода пароля.

Предложения пока находятся на стадии обсуждения и не рассмотрены комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

1. Главная ссылка к новости
2. OpenNews: В Fedora одобрена поставка в пакете asahi-installer исполняемых файлов для macOS
3. OpenNews: В Fedora 41 одобрена поставка сборки с композитным менеджером Miracle
4. OpenNews: В Fedora 41 утверждён переход на пакетный менеджер DNF5
5. OpenNews: Представлено семейство атомарно обновляемых дистрибутивов Fedora Atomic Desktops