В KDE Neon реализована поддержка offline-обновлений
Offline-режим подразумевает установку обновлений не во время работы, а на начальном этапе загрузки системы, на котором обновляемые компоненты не могут привести к конфликтам и проблемам в работе уже запущенных приложений.
При инициировании обновления системы через интерфейс Discover обновления теперь не будут устанавливаться сразу - после загрузки необходимых пакетов будет выведено уведомление о необходимости перезагрузки системы для завершения обновления. При использовании других интерфейсов управления пакетами, таких как pkcon и apt-get, обновления как и раньше будут установлены сразу. Прежнее поведение также сохранится для пакетов в форматах flatpak и snap.
Источник
Новости Linux 🐧: @linux_gram
Offline-режим подразумевает установку обновлений не во время работы, а на начальном этапе загрузки системы, на котором обновляемые компоненты не могут привести к конфликтам и проблемам в работе уже запущенных приложений.
При инициировании обновления системы через интерфейс Discover обновления теперь не будут устанавливаться сразу - после загрузки необходимых пакетов будет выведено уведомление о необходимости перезагрузки системы для завершения обновления. При использовании других интерфейсов управления пакетами, таких как pkcon и apt-get, обновления как и раньше будут установлены сразу. Прежнее поведение также сохранится для пакетов в форматах flatpak и snap.
Источник
Новости Linux 🐧: @linux_gram
Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot
Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода. Например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра.
CVE-2020-14372 - при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI, разместив SSDT в каталоге /boot/efi и изменив настройки в grub.cfg. Предложенный SSDT будет выполнен ядром и может использоваться для отключения защиты LockDown, блокирующей пути обхода UEFI Secure Boot. В итоге атакующий может добиться загрузки своего модуля ядра или запуска кода через механизм kexec, без проверки цифровой подписи.
CVE-2020-25632 - обращение к уже освобождённой области памяти в реализации команды rmmod, проявляющееся при попытке выгрузить любой модуль без учёта связанных с ним зависимостей. Уязвимость не исключает создание эксплоита, который может привести к выполнению кода в обход верификации Secure Boot.
CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств. Проблема может быть эксплуатирована через подключение специально подготовленного USB-устройства, выдающего параметры, размер которых не соответствует размеру буфера, выделенного для структур USB. Атакующий может добиться выполнения кода, не верифицированного в Secure Boot, через манипуляции с USB-устройствами.
CVE-2020-27749 - переполнение буфера в функции grub_parser_split_cmdline(), которое может быть вызвано указанием в командной строке GRUB2 переменных, размером более 1 КБ. Уязвимость позволяет добиться выполнения кода в обход Secure Boot.
CVE-2020-27779 - команда cutmem даёт возможность атакующему удалить диапазон адресов из памяти для обхода Secure Boot.
CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. При установке в dbx сертификата, используемого для подписи GRUB2, GRUB2 позволял загрузить любое ядро напрямую без проверки подписи.
CVE-2021-20225 - возможность записи данных за пределы буфера при запуске команд с очень большим числом опций.
CVE-2021-20233 - возможность записи данных за границу буфера из-за неверного расчёта размера буфера при использовании кавычек. При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.
Источник
Новости Linux 🐧: @linux_gram
Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода. Например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра.
CVE-2020-14372 - при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI, разместив SSDT в каталоге /boot/efi и изменив настройки в grub.cfg. Предложенный SSDT будет выполнен ядром и может использоваться для отключения защиты LockDown, блокирующей пути обхода UEFI Secure Boot. В итоге атакующий может добиться загрузки своего модуля ядра или запуска кода через механизм kexec, без проверки цифровой подписи.
CVE-2020-25632 - обращение к уже освобождённой области памяти в реализации команды rmmod, проявляющееся при попытке выгрузить любой модуль без учёта связанных с ним зависимостей. Уязвимость не исключает создание эксплоита, который может привести к выполнению кода в обход верификации Secure Boot.
CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств. Проблема может быть эксплуатирована через подключение специально подготовленного USB-устройства, выдающего параметры, размер которых не соответствует размеру буфера, выделенного для структур USB. Атакующий может добиться выполнения кода, не верифицированного в Secure Boot, через манипуляции с USB-устройствами.
CVE-2020-27749 - переполнение буфера в функции grub_parser_split_cmdline(), которое может быть вызвано указанием в командной строке GRUB2 переменных, размером более 1 КБ. Уязвимость позволяет добиться выполнения кода в обход Secure Boot.
CVE-2020-27779 - команда cutmem даёт возможность атакующему удалить диапазон адресов из памяти для обхода Secure Boot.
CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. При установке в dbx сертификата, используемого для подписи GRUB2, GRUB2 позволял загрузить любое ядро напрямую без проверки подписи.
CVE-2021-20225 - возможность записи данных за пределы буфера при запуске команд с очень большим числом опций.
CVE-2021-20233 - возможность записи данных за границу буфера из-за неверного расчёта размера буфера при использовании кавычек. При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.
Источник
Новости Linux 🐧: @linux_gram
openSUSE Leap 15.3 перешёл на стадию бета-тестирования
Опубликован бета-выпуск дистрибутива openSUSE Leap 15.3, сформированного на основе базового набора пакетов дистрибутива SUSE Linux Enterprise с некоторыми пользовательскими приложениями из репозитория openSUSE Tumbleweed. Для загрузки доступна универсальная DVD-сборка, размером 4.3 ГБ (x86_64, aarch64, ppc64les, 390x). Релиз openSUSE Leap 15.3 ожидается в июле 2021 года.
В отличие от прошлых выпусков openSUSE Leap, версия 15.3 построена не через пересборку src-пакетов SUSE Linux Enterprise, а с использованием единого с SUSE Linux Enterprise 15 SP 3 набора бинарных пакетов. Предполагается, что использование одних и тех же бинарных пакетов в SUSE и openSUSE упростит миграцию от одного дистрибутива к другому, сэкономит ресурсы на сборку пакетов, распространение обновлений и тестирование, унифицирует различия в spec-файлах и позволит отойти от диагностики разных сборок пакетов при разборе сообщений об ошибках. Рабочий стол Xfce обновлён до ветки 4.16.
Источник
Новости Linux 🐧: @linux_gram
Опубликован бета-выпуск дистрибутива openSUSE Leap 15.3, сформированного на основе базового набора пакетов дистрибутива SUSE Linux Enterprise с некоторыми пользовательскими приложениями из репозитория openSUSE Tumbleweed. Для загрузки доступна универсальная DVD-сборка, размером 4.3 ГБ (x86_64, aarch64, ppc64les, 390x). Релиз openSUSE Leap 15.3 ожидается в июле 2021 года.
В отличие от прошлых выпусков openSUSE Leap, версия 15.3 построена не через пересборку src-пакетов SUSE Linux Enterprise, а с использованием единого с SUSE Linux Enterprise 15 SP 3 набора бинарных пакетов. Предполагается, что использование одних и тех же бинарных пакетов в SUSE и openSUSE упростит миграцию от одного дистрибутива к другому, сэкономит ресурсы на сборку пакетов, распространение обновлений и тестирование, унифицирует различия в spec-файлах и позволит отойти от диагностики разных сборок пакетов при разборе сообщений об ошибках. Рабочий стол Xfce обновлён до ветки 4.16.
Источник
Новости Linux 🐧: @linux_gram
Выпуск дистрибутива SystemRescue 8.0.0
Доступен релиз SystemRescue 8.0.0, специализированного Live-дистрибутива на основе Arch Linux, предназначенного для восстановления системы после сбоя. В качестве графического окружения используется Xfce. Размер iso-образа - 708 МБ (amd64, i686).
Из функциональных изменений в новой версии упоминается обновления рабочего стола Xfce до ветки 4.16, поставка ядра Linux 5.10 и включение в состав пакета paperkey, предназначенного для вывода на печать закрытых ключей. Пакет exfat-utils заменён на новый набор утилит exfatprogs, созданный после принятия драйвера exFAT в состав ядра Linux. Обновлены версии parted 3.4, gparted 1.2.0, btrfs-progs 5.10.1, xfsprogs 5.10.0, e2fsprogs 1.46.2, nwipe 0.30, dislocker 0.7.3, fsarchiver 0.8.6, Python 3.9.2.
Источник
Новости Linux 🐧: @linux_gram
Доступен релиз SystemRescue 8.0.0, специализированного Live-дистрибутива на основе Arch Linux, предназначенного для восстановления системы после сбоя. В качестве графического окружения используется Xfce. Размер iso-образа - 708 МБ (amd64, i686).
Из функциональных изменений в новой версии упоминается обновления рабочего стола Xfce до ветки 4.16, поставка ядра Linux 5.10 и включение в состав пакета paperkey, предназначенного для вывода на печать закрытых ключей. Пакет exfat-utils заменён на новый набор утилит exfatprogs, созданный после принятия драйвера exFAT в состав ядра Linux. Обновлены версии parted 3.4, gparted 1.2.0, btrfs-progs 5.10.1, xfsprogs 5.10.0, e2fsprogs 1.46.2, nwipe 0.30, dislocker 0.7.3, fsarchiver 0.8.6, Python 3.9.2.
Источник
Новости Linux 🐧: @linux_gram
Canonical начала продвижение Ubuntu как замены CentOS
Компания Canonical запустила кампанию по продвижению Ubuntu в качестве замены CentOS на серверах, используемых в инфраструктуре компаний, занимающихся оказанием финансовых услуг. Инициатива обусловлена решением Red Hat прекратить с 31 декабря 2021 года выпуск обновлений для классического CentOS 8 в пользу тестового проекта CentOS Stream.
Несмотря на то, что Red Hat Enterprise Linux и CentOS заняли прочное положение в секторе финансовых услуг, фундаментальные изменения в CentOS могут подтолкнуть финансовые компании к пересмотру своих решений в отношении операционных систем. Среди пунктов, которые упоминаются в попытках подтолкнуть индустрию финансовых услуг к переходу c CentOS на Ubuntu:
— Предсказуемый график выпусков.
— Поддержка корпоративного уровня с выпуском обновлений в течение 10 лет, сервисом обновления ядра без перезапуска и SLA.
— Высокая производительность и универсальность.
— Безопасность и сертификация криптографического стека на соответствие требованиям FIPS 140-2 Level 1.
— Пригодность для использования в частных и публичных облачных системах.
— Поддержка Kubernetes. Поставка в Google GKE, Microsoft AKS и Amazon EKS CAAS как эталонной платформы для Kubernetes.
Источник
Новости Linux 🐧: @linux_gram
Компания Canonical запустила кампанию по продвижению Ubuntu в качестве замены CentOS на серверах, используемых в инфраструктуре компаний, занимающихся оказанием финансовых услуг. Инициатива обусловлена решением Red Hat прекратить с 31 декабря 2021 года выпуск обновлений для классического CentOS 8 в пользу тестового проекта CentOS Stream.
Несмотря на то, что Red Hat Enterprise Linux и CentOS заняли прочное положение в секторе финансовых услуг, фундаментальные изменения в CentOS могут подтолкнуть финансовые компании к пересмотру своих решений в отношении операционных систем. Среди пунктов, которые упоминаются в попытках подтолкнуть индустрию финансовых услуг к переходу c CentOS на Ubuntu:
— Предсказуемый график выпусков.
— Поддержка корпоративного уровня с выпуском обновлений в течение 10 лет, сервисом обновления ядра без перезапуска и SLA.
— Высокая производительность и универсальность.
— Безопасность и сертификация криптографического стека на соответствие требованиям FIPS 140-2 Level 1.
— Пригодность для использования в частных и публичных облачных системах.
— Поддержка Kubernetes. Поставка в Google GKE, Microsoft AKS и Amazon EKS CAAS как эталонной платформы для Kubernetes.
Источник
Новости Linux 🐧: @linux_gram
MIPS Technologies прекращает развитие архитектуры MIPS в пользу RISC-V
Восьмое поколение архитектуры MIPS решено построить на наработках открытого проекта RISC-V. В 2017 году компания MIPS Technologies перешла под контроль стартапа Wave Computing, выпускающего ускорители для систем машинного обучения, использующие процессоры MIPS. Wave Computing чуть не обанкротилась, но неделю назад провела реорганизацию и переродилась под новым именем - MIPS. MIPS полностью изменила бизнес-модель и не будет ограничиваться процессорами.
Раньше компания MIPS Technologies занималась развитием архитектуры и лицензированием интеллектуальной собственности, связанной с процессорами MIPS, не занимаясь непосредственно производством. Новая компания займётся выпуском чипов, но уже на базе архитектуры RISC-V. MIPS и RISC-V схожи между собой по концепции и философии, но RISC-V развивается некоммерческой организацией RISC-V International при участии сообщества. Компания MIPS приняла решение не продолжать развитие собственной архитектуры, а подключиться к совместной работе.
Восьмое поколение архитектуры MIPS решено построить на наработках открытого проекта RISC-V. В 2017 году компания MIPS Technologies перешла под контроль стартапа Wave Computing, выпускающего ускорители для систем машинного обучения, использующие процессоры MIPS. Wave Computing чуть не обанкротилась, но неделю назад провела реорганизацию и переродилась под новым именем - MIPS. MIPS полностью изменила бизнес-модель и не будет ограничиваться процессорами.
Раньше компания MIPS Technologies занималась развитием архитектуры и лицензированием интеллектуальной собственности, связанной с процессорами MIPS, не занимаясь непосредственно производством. Новая компания займётся выпуском чипов, но уже на базе архитектуры RISC-V. MIPS и RISC-V схожи между собой по концепции и философии, но RISC-V развивается некоммерческой организацией RISC-V International при участии сообщества. Компания MIPS приняла решение не продолжать развитие собственной архитектуры, а подключиться к совместной работе.
Меня вдруг осенило... Дефолтная картинка профиля в KDE выглядит как грустный Майк Вазовски
Новости Linux 🐧: @linux_gram
Новости Linux 🐧: @linux_gram