Пользователи дистрибутива Gentoo обратили внимание на регрессивное изменение в ядре Linux 4.14, которое может привести к повреждению содержимого файловой системы при использовании механизма BCache для кэширования доступа к медленным жестким дискам на быстрых SSD-накопителях. Исправление уже предложено для ядра Linux и будет включено в выпуск 4.14.2. Суть проблемы в том, что в ядре 4.14 в системе блочного ввода/вывода (bio) для указания информации о разделах было представлено новое поле bi_partno, вместо того чтобы использовать уже применяемый метод кодирования сведений в поле bi_bdev в структуре bdev->bd_contains. Функция __bio_clone_fast была адаптирована для копирования информации о диске, но не корректно обрабатывала информацию о разделах на нём, что могло привести к повреждению содержимого при использовании BCache. В зависимости от настроек проблема проявляется выдачей некорректных данных при чтении из раздела BСache, но также отмечаются и случаи невосстановимых повреждений базового раздела после его
Линус Торвальдс не стесняясь в выражениях отверг заявку Кеса Кука (Kees Cook), предложившего включить в состав ядра 4.15 механизм защиты, блокирующий использование вызова usercopy при проведении некоторых видов атак. Суть предложенного метода в запрете применения usercopy для прямого копирования между пространством пользователя и некоторыми областями ядра с введением белого списка допустимых для использования областей памяти. Так как подобный подход потенциально может нарушить работу приложений, использующих usercopy, предусмотрен fallback-режим для kvm и sctp (ipv6). Линус в целом не отказался принять патч, но заявил, что не станет это делать в рамках цикла разработки 4.15, так как у него есть сомнения, что предложенные патчи хорошо протестированы и учтены все нюансы их влияние на работу существующих приложений. Предложенное изменение затрагивает некоторые ключевые подсистемы ядра, а у него сейчас нет времени анализировать появление возможных регрессивных изменений. Также указывается, что неправильно
В состав ядра Linux принят код для обеспечения работы на системах с открытой архитектурой RISC-V. Пользователи смогут воспользоваться RISC-V начиная с ядра 4.15. Также ожидается включение поддержки новой архитектуры в состав glibc. После выхода ядра 4.15, ориентировочно в начале февраля 2018 года, RISC-V Linux ABI будет переведён в разряд стабильных интерфейсов, сохраняющих обратную совместимость и готовых для повсеместного использования. До февраля разработчики намерены устранить остающиеся недоработки в ABI. Дистрибутивы, желающие приступить к обеспечению поддержки RISC-V до выхода ядра 4.15 и новой версии Glibc, могут воспользоваться бэкпортами, размещёнными в репозитории freedom-u-sdk (для сборки следует использовать команду "make sim").
Латиноамериканский Фонд свободного ПО опубликовал полностью свободный вариант ядра 4.14 - Linux-libre 4.14-gnu, очищенный от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. Кроме того, Linux-libre отключает функции ядра по загрузке несвободных компонентов, не входящих в поставку ядра, и удаляет упоминание об использовании несвободных компонентов из документации. Для очистки ядра от несвободных частей, в рамках проекта Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих критериям Фонда СПО по построению полностью свободных дистрибутивов GNU/Linux. Например, ядро Linux-libre используется в таких дистрибутивах, как Dragora Linux, Trisquel,
В процессе проверки в системе fuzzing-тестировния syzkaller выявлено 14 уязвимостей в USB-стеке ядра Linux, позволяющих атаковать систему при подключении к компьютеру специально подготовленных USB-устройств. Уязвимости могут быть эксплуатированы при наличии физического доступа к оборудованию и могут привести к инициированию краха ядра, но не исключаются и другие проявления. Три проблемы вызваны обращением к уже освобождённым блокам памяти (use-after-free), девять - чтением из областей вне границ буфера и две - обращению по некорректному указателю (GPF, General Protection Fault). Проблемы устранены в выпуске 4.13.11.
Организация Linux Foundation опубликовала ежегодный отчёт (PDF) с анализом прогресса развития ядра Linux и оценкой вклада индивидуальных разработчика и коммерческих компаний в разработку и рецензирование кода. Новый отчёт включает данные об изменениях, внесённых в ядрах с 4.8 по 4.13, выпущенных с момента публикации прошлого отчёта в августе 2016 года. Основные тенденции: С момента начала сбора статистики в 2005 году в разработке ядра приняло участие около 15600 разработчиков из более чем 1400 различных компаний. С момента публикации прошлого отчёта в разработке ядра приняли участие 4319 разработчиков, представляющих 519 компаний, которые подготовили около 83 тысяч изменений. 1670 участников присоединилось к разработке ядра впервые. Продолжает увеличиваться темп развития Linux: в среднем каждый час в ядро принимается 8.5 изменений (год назад фиксировалось в среднем 7.8 изменений в час), в день - 204 изменений, в неделю - 1400. На подготовку нового выпуска ядра в среднем уходит 67.66 дней, год
Продолжают всплывать уязвимости в обработчике RAW-сокетов AF_PACKET из состава ядра Linux. Проблема вызвана обращением у уже освобождённому блоку памяти и может привести к повышению привилегий в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Уязвимость устранена в обновлении ядра 4.14-rc2. Это пятая уязвимость в подсистеме AF_PACKET за последний год (1, 2, 3, 4). Так как для обращения к AF_PACKET требуется наличие полномочий CAP_NET_RAW, атака имеет смысл только из изолированных контейнеров с пользователем root, запущенных с применением пространств имён идентификаторов пользователей (user namespaces) и изолированного сетевого стека (net namespaces). В Debian и Red Hat Enterprise Linux поддержка user namespaces по умолчанию не активирована, но она включена в Ubuntu и Fedora.
Технический совет организации Linux Foundation опубликовал документ, поясняющий отношение сообщества разработчиков ядра Linux к вопросу принуждения к соблюдению условий лицензии GPLv2, компаниями использующими ядро в своих продуктах. Документ, который подписали 102 известных разработчика ядра и одобрили такие компании как Linaro, Red Hat, SUSE, VMware, Collabora, Oracle и Samsung, войдёт в состав документации к выпуску 4.14. Инициативу также поддержала правозащитная организация Software Freedom Conservancy, которой некоторые разработчики передали свои имущественные права на код в ядре для отстаивания соблюдения лицензии GPL. Документ определяет добровольные обязательства, которые принимают одобрившие документ разработчики, в отношении расторжения лицензии GPLv2 и прекращении всех прав лицензиата, предоставленных ему данной лицензией. Кроме того, указывается, что юридический путь решения проблемы рассматривается как последний из способов урегулирования нарушения, которое вначале следует попытаться решить
В работающем на уровне ядра Linux коде звуковой системы ALSA выявлена уязвимость (CVE-2017-15265), позволяющая непривилегированному пользователю выполнить код с правами ядра. Уязвимость вызвана обращением к буферу после его освобождения (use-after-free) в функции snd_seq_create_port() и может быть эксплуатирована при выполнении из разных нитей команд создания и удаления порта через ioctl. Обновление уже выпущено для Fedora и Debian Unstable. Также подготовлен патч, который включён в состав ядра Linux 4.14-rc5.
Разработчики из компании Google объявили на конференции Linaro Connect 2017 о намерении обеспечить поддержку LTS-ядра Linux 4.4 в течение шести лет, вместо ранее практикуемого двухлетнего срока. Продление времени поддержки LTS-ядер позволит упростить сопровождение прошивок для различных потребительских устройств на базе Linux и увеличить их жизненный цикл. Интерес Google к LTS-ядрам связан с проектом Treble, в рамках которого развивается прослойка для отделения поддержки оборудования от версий Android. В настоящее время формирование обновлений для Android-прошивок для устройств Google производится в течение трёх лет, что больше штатного времени сопровождения LTS-ядер. Google намерен продлить данный срок для 6 лет, но для этого требуется и более длительное время жизни LTS-ядер Linux. Представители Google уже договорились с Грегом Кроа-Хартманом (Greg Kroah-Hartman), отвечающим за поддержку стабильной ветки ядра Linux и обеспечивающим двухлетнее сопровождение LTS-ядрам. Компания готова взять на себя