Все новости за Март 2022

---

В России запустят отечественный магазин приложений для Android

Российские разработчики планируют запустить отечественный магазин приложений для устройств на Android. Об этом пишет ТАСС со ссылкой на директора по проектам АНО "Цифровые платформы" Владимира Зыкова. Запуск сервиса NashStore запланирован на 9 мая.

[Источник]

---

Выпуск MirageOS 4.0, платформы для запуска приложений поверх гипервизора

После полутора лет разработки опубликован выпуск проекта MirageOS 4.0, позволяющего формировать операционные системы одного приложения, в которых приложение поставляется как самодостаточный "unikernel", способный выполняться без применения операционных систем, отдельного ядра ОС и каких-либо прослоек. Для разработки приложений применяется язык OCaml. Код проекта распространяется под свободной лицензией ISC.

Вся низкоуровневая функциональность, свойственная операционной системе, реализована в форме библиотеки, прикрепляемой к приложению. Приложение может быть разработано в любой ОС, после чего компилируется в специализированное ядро (концепция unikernel), которое может запускаться напрямую поверх гипервизоров Xen, KVM, BHyve и VMM (OpenBSD), поверх мобильных платформ, в форме процесса в POSIX-совместимом окружении или в облачных окружениях Amazon Elastic Compute Cloud и Google Compute Engine.

Сгенерированное окружение не содержит ничего лишнего и взаимодействует непосредственно с гипервизором без драйверов и системных прослоек, что позволяет добиться существенного снижения накладных расходов и повышения безопасности. Работа с MirageOS сводится к трём стадиям: подготовка конфигурации с определением используемых в окружении OPAM-пакетов, сборка окружения и запуск окружения. Runtime для обеспечения работы поверх гипервизоров построен на базе ядра Solo5.

Несмотря на то, что приложения и библиотеки формируются на высокоуровневом языке OCaml, итоговые окружения демонстрируют достаточно неплохую производительность и минимальный размер (например, DNS-сервер занимает всего 200 КБ). Упрощается и сопровождение окружений, так как при необходимости обновления программы или изменения конфигурации, достаточно создать и запустить новое окружение. Поддерживается несколько сотен библиотек на языке OCaml для выполнения сетевых операций (DNS, SSH, OpenFlow, HTTP, XMPP, Matrix, OpenVPN и т.п.), работы с хранилищами и обеспечения параллельной обработки данных.

[Подробности]
[Источник]

---

Релиз Chrome 100

Компания Google представила релиз web-браузера Chrome 100. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 101 запланирован на 26 апреля.

В связи достижением браузером номера версии 100, состоящей из трёх цифр вместо двух, не исключены нарушения в работе некоторых сайтов, использующих некорректные библиотеки для разбора значения User-Agent. На случай возникновения проблем предусмотрена настройка "chrome://flags##force-major-version-to-minor", позволяющая вернуть вывод в заголовке User-Agent версии 99 при фактическом использовании версии 100.

[Подробности]
[Источник]

---

В ядре Linux выявлены эксплуатируемые уязвимости в nf_tables, watch_queue и IPsec

В ядре Linux выявлено несколько опасных уязвимостей, позволяющих локальному пользователю повысить свои привилегии в системе. Для всех рассматриваемых проблем подготовлены рабочие прототипы эксплоитов.

Уязвимость (CVE-2022-0995) в подсистеме отслеживания событий watch_queue, приводящая к записи данных в области памяти ядра за пределом выделенного буфера. Атака может быть совершена любым непривилегированным пользователем и привести к запуску своего кода с правами ядра. Уязвимость присутствует в функции watch_queue_set_size() и связана с попыткой очистки всех указателей в списке, даже если для них не была выделена память. Проблема проявляется при сборке ядра с опцией "CONFIG_WATCH_QUEUE=y", которая используется в большинстве дистрибутивов Linux.

Уязвимость (CVE-2022-27666) в модулях ядра esp4 и esp6 с реализацией ESP-преобразований (Encapsulating Security Payload) для IPsec, применяемых при использовании IPv4 и IPv6. Уязвимость позволяет локальному пользователю с обычными привилегиями перезаписать объекты в памяти ядра и повысить свои привилегии в системе. Проблема вызвана отсутствием сверки выделенного размера памяти и фактически полученных данных при том, что максимальный размер сообщения мог превышать максимальный размер памяти, выделяемый для структуры skb_page_frag_refill. Примечательно, что эксплоит изначально был подготовлен для соревнований pwn2own 2022, но разработчики ядра выявили и исправили связанную с ним ошибку, поэтому было решено раскрыть детали уязвимости.

Две уязвимости (CVE-2022-1015, CVE-2022-1016) в подсистеме netfilter в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables. Первая проблема позволяет локальному непривилегированному пользователю добиться записи за пределы выделенного буфера в стеке. Переполнение возникает при обработке определённым образом оформленных выражений nftables, обрабатываемых на этапе проверки индексов, заданных пользователем, имеющем доступ к правилам nftables.

[Подробности]
[Источник]

---

Российская транспортная отрасль переходит на отечественный PostgreSQL взамен зарубежного ПО

ИТ-интегратор Минтранса и предприятий всей транспортной отрасли России собирается потратить без малого 35 млн руб. на приобретение лицензий PostgresPro. Непосредственно в Минтрансе данная СУБД ранее не использовалась.

Заказчику требуется 72 бессрочных лицензии на PostgresProACEnterpriseна одно ядро x86-64. Они должны быть переданы ему будущим поставщиком в течение 15 календарных дней с даты заключения договора.

[Подробности]

---

Национальный репозиторий открытого ПО

10 февраля Минцифры опубликовало проект по которому к декабрю 2022 года должен быть создан национальный репозиторий открытого ПО.

24 марта в АНО "Цифровая экономика" прошло заседание, по итогам которого было решено доработать проект. Активно обсуждался вопрос, под какими именно свободными лицензиями следует публиковать разработанное по госзаказу ПО, говорит глава совета директоров "Базальт СПО" Алексей Смирнов:

"Решение зависит от того, хотим ли мы по итогу доработки государственного продукта получить результат под несвободными лицензиями, что позволит их легко продавать, в том числе и государству, или чтобы доработки были в свободном доступе для госсектора и рынка".

[Подробности]

---

В Ubuntu 22.04 Firefox переезжает в Snap

Сегодня вместо пакета с Firefox загружена заглушка, перенаправляющая на установку Snap-пакета Firefox с релизного канала.

В результате чего теперь на системах с миниатюрным объемом SSD-памяти (до 16 ГБ) использование Ubuntu теперь будет затруднительно, если вообще возможно, поскольку контейнер занимает существенный объем места на диске. Также становится невозможной комбинация Firefox ESR + Firefox Release штатными средствами, поскольку Firefox ESR и Firefox Release расположены в одном источнике, и канал нужно будет выбрать при установке.

Ранее это было возможно в виде варианта Firefox Snap ESR + Firefox Release Deb.

[Ссылка на "заглушки"]
[Источник]

---

ClamAV недоступен в России

Компания Cisco (а точнее подразделение Cisco Talos) заблокировала доступ с российских IP адресов к серверам clamav.net и database.clamav.net. Теперь при попытке перейти к ним выдается ошибка 1020 (Access denied). Следовательно базы данных теперь скачать нельзя.

Напомню, что ClamAV - кроссплатформенный пакет антивирусного ПО, распространяемый под лицензией GNU GPL 2.

Решением может быть обход (прокси, VPN, Tor), использование зеркал (нашел это) или сборка из репозиториев.

[Подробности]
[Источник]

---

Релиз ядра Linux 5.17

После двух месяцев разработки Линус Торвальдс представил ядро Linux 5.17.

Наиболее значимые изменения:

• новая система управления производительностью для процессоров AMD;
• новый бэкенд fscache для кэширования сетевых файловых систем;
• возможность рекурсивного маппинга идентификаторов пользователей в файловых системах;
• возможность прикрепления имён к анонимным операциям mmap;
• поддержка переносимых скомпилированных BPF-программ;
• утилита RTLA для анализа выполнения в режиме реального времени;
• перевод генератора псевдослучайных чисел на алгоритм BLAKE2s.

Статистика и цифры:

• Размер патча - 37 МБ.
• Принято 14 203 исправлений.
• Добавлено 506 043 строк кода.
• Изменено 11 366 файлов.
• Удалено 250 954 строк кода.

[Подробности]
[Скачать]

---

Браузер Pale Moon 30.0.0

Pale Moon - браузер с открытым исходным кодом, который является форком Mozilla Firefox. Код проекта распространяется под лицензией MPLv2.

В этом релизе Pale Moon отказывается от своего собственного GUID в пользу GUID Firefox. Это сделано для того, чтобы обеспечить максимальную совместимость со старыми и неподдерживаемыми расширениями Firefox.

Теперь пользователь имеет больше свободы в использовании потенциально несовместимых (старых/небезопасных) расширений браузера, однако проблемы с безопасностью придётся решать самостоятельно.

Прекращена поддержка UXP. Вместо этого браузер собирается на GRE (Goanna Runtime Environment), уделяя больше внимания движку рендеринга Goanna и отказываясь от поддержки неподдерживаемых компонентов и целевых платформ.

Причиной таких существенных изменений в этом выпуске стали результаты опроса пользователей на предмет того, чего они ожидают от проекта.

Важно: после обновления, профиль пользователя нельзя будет использовать со старыми версиями браузера.

[Подробности]
[Скачать]
[Источник]

---

Ежегодная конференция "СПО: от обучения до разработки"

19-22 мая в Переславль-Залесском пройдет ежегодная конференция "СПО: от обучения до разработки 2022". Мероприятие объединяет две традиционные ежегодные конференции "Базальт СПО": "СПО в высшей школе" и конференцию разработчиков свободных программ.

Оргкомитет принимает заявки на доклады по следующим темам:

"СПО в учебном процессе" (19 и 20 мая)

• Научные проекты, связанные с разработкой и использованием свободного ПО.
• Взаимодействие высшей и средней школы при внедрении свободного программного обеспечения в общеобразовательных учреждениях.
• Внедрение свободного ПО в инфраструктуру учебного заведения: проблемы и решения.
• Социальные и экономико-правовые особенности применения свободного ПО в высшей школе.
• Студенческие проекты разработки СПО.

"Разработка свободного ПО" (21 и 22 мая)

• Тенденции разработки свободного программного обеспечения.
• Новейшие достижения проектов СПО.
• Развитие инструментов разработки свободного ПО.
• Разработка свободных программ для разных аппаратных платформ.
• Средства и методы миграции ИТ-инфраструктуры на свободное ПО.
• Формирование российского сообщества разработчиков СПО.
• Правовые вопросы использования СПО.
• Культурные и философские аспекты свободного ПО.

[Подробности]

Архив Новостей

---