Разработчики Arch Linux объявили о переводе инструментария ABS (Arch Build System) и связанной с ним системы загрузки PKGBUILD на базе rsync (rsync://rsync.archlinux.org/abs), в разряд устаревших. Пакет extra/abs уже удалён из репозитория, а rsync.archlinux.org/abs будет отключен в конце месяца. В качестве причины отказа от ABS называются излишне большие затраты на сопровождение. Вместо ABS рекомендуется использовать утилиту asp из репозитория extra, которая предоставляет похожую функциональность. В частности, команда "asp export pkgname" может быть использована в качестве альтернативы abs. Для загрузки PKGBUILD также может использоваться репозиторий Subversion или зеркала svntogit.
Компания Oracle выпустила четвёртое функциональное обновление для ядра Unbreakable Enterprise Kernel 4 (UEKR4U4). Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро распространяется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Пакеты с ядром подготовлены для Oracle Linux 6 и Oracle Linux 7. Ключевые улучшения: В драйвер intel_idle добавлена поддержка процессоров на базе микроархитектуры Skylake, таких как Intel Xeon E3 v5, Intel Xeon E5 v5 и Intel Xeon E7 v5; Добавлена поддержка новых аппаратных платформ Hewlett Packard Enerprise, построенных на базе технологий SGI UV; В ядро добавлены компоненты, необходимые для поддержки механизма userfaultfd (user space page fault), позволяющего создавать обработчики обращений к не выделенным страницам памяти (page faults) в пространстве пользователя; В
Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали технику эксплуатации уязвимости (CVE-2017-7308) в ядре Linux, позволяющей поднять свои привилегии в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Уязвимость проявляется в ядрах до 4.10.6 при включении сокетов AF_PACKET с поддержкой кольцевых буферов TPACKET_V3 ( "CONFIG_PACKET=y", в большинстве дистрибутивов включены по умолчанию). Проблема была выявлена в результате fuzzing-тестирования системных вызовов ядра Linux. Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP. Уязвимость вызвана целочисленным переполнением в функции packet_set_ring() для сокетов AF_PACKET. Примечательно, что это вторая уязвимость в packet_set_ring() за последнее время, похожая проблема (CVE-2016-8655) была выявлена в конце
В сервере NFS (NFSv2 и NFSv3), входящем в состав ядра Linux, выявлена удалённо эксплуатируемая уязвимость (CVE-2017-7895), позволяющая прочитать содержимое произвольных областей памяти ядра и пространства пользователя (от 1 до 4 Мб) через отправку специально оформленных запросов к NFS. Для успешного проведения атаки необходимо наличие доступного на запись NFS-раздела, примонтированного в системе с которой совершается атака. Проблема вызвана ошибкой, внесённой при добавлении изменения в код fs/nfsd более 10 лет назад (при подготовке ядра 2.6.22). Уязвимость устранена в выпусках 4.11 и 4.10.13. В дистрибутивах проблема пока остаётся неисправленной (Debian, RHEL, Ubuntu, SUSE).
Представлен дистрибутив Kali Linux 2017.1, продолжающий развитие проекта BackTrack Linux и предназначенный для проведения тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ, размером 2.6 Гб. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети, до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и более 300 специализированных утилит
Джейсон Доненфилд (Jason A. Donenfeld), выявил уязвимость в сетевом стеке ядра Linux, позволяющую удалённо инициировать переполнение буфера. Уязвимость вызвана ошибкой в коде drivers/net/macsec.c с реализацией стандарта IEEE 802.1AE (MACsec). Подробности пока не сообщаются, а CVE ID не назначен, но, судя по всему, эксплуатация возможна только в локальных сетях, в которых применяется достаточно редкая технология MACsec. Джейсон Доненфилд возглавляет компанию Edge Security и является достаточно известным исследователем безопасности и разработчиком открытого ПО. Например, в своё время он выявил такие уязвимости в ядре Linux, как CVE-2012-0056, CVE-2011-1485, CVE-2011-4594, CVE-2011-4330 и CVE-2010-4258. Джейсон также является автором cgit и WireGuard (новая реализация VPN для ядра Linux).
Майкл Опденакер (Michael Opdenacker), занимающийся разработкой встраиваемых систем, рассказал о методах, которые позволяют сформировать минимальную сборку ядра и системного окружения, пригодную для применения на системах с несколькими мегабайтами оперативной памяти или используемую в качестве загрузчика других систем. В частности, показано, что несмотря на существенное разрастание кодовой базы ядра и забвение проекта по минимизации ядра, вполне реально урезать современное ядро Linux до состояния, способного работать на системах с 2-6 Мб ОЗУ и требующего 2-4 Мб для размещения на постоянном носителе. Сокращение размера достигается не только отключением расширенной функциональности ядра ("make tinyconfig"), но и оптимизацией процесса сборки. Например, сборка ядра Linux 4.10 при помощи gcc 6.2 для ARM позволяет на 0.4% сократить размер, по сравнению со сборкой в gcc 4.7. Включение режима "-Os" и оптимизаций на этапе связывания (LTO) в GCC ("gcc -Os -flto") даёт возможность сократить размер на 2.8%.
Представлен проект Anbox, в рамках которого развивается окружение, позволяющее запустить полноценную мобильную среду Android в обычном дистрибутиве Linux, тесно интегрированную с основным рабочим столом. Проект развивается уже полтора года и в настоящее время готов для предварительного тестирования. Официально пока поддерживается только установка в Ubuntu Linux. Android-окружение построено на базе Android 7.1.1 из репозитория AOSP (Android Open Source Project). Наработки Anbox распространяются под лицензией GPLv3. Anbox использует пространства имён ядра Linux (user, pid, uts, et, mount, ipc) для создания изолированного контейнера с компонентами Android. Android не имеет прямого доступа к оборудованию - всё взаимодействие производится только через специальную прослойку, которой управляет фоновый процесс anbox, запускаемый на стороне хоста. Прослойка использует те же методы работы с оборудованием и внешним миром, что и официальный эмулятор Android, основанный на QEMU. Поддержка отрисовки обеспечивается при
Проект FRRouting, в рамках которого развивается стек с реализацией протоколов маршрутизации (BGP4, BGP4+, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), ответвившийся от проекта Quagga, перешёл под управление организации Linux Foundation. Перевод процесса управления проектом под покровительство некоммерческой организации Linux Foundation позволит создать нейтральную площадку для совместного развития и управления проектом, независимую от предпочтений отдельных поставщиков. К разработке FRRouting уже присоединились такие компании, как 6WIND, Architecture Technology Corporation, Big Switch Networks, Cumulus Networks, LabN Consulting, NetDEF (OpenSourceRouting), Orange и Volta Networks. Одновременно сформирован первый релиз FRRouting, в котором отмечены следующие изменения, по сравнению с Quagga: В BGP и OSPFv2/v3 добавлена реализация 32-разрядных тегов маршрутизации, упрощающих сопровождение политик маршрутизации и улучшающих переносимость в окружениях с оборудованием различных
Компания Oracle объявила о формировании сборок Oracle Linux 6 для архитектуры SPARC. Для загрузки подготовлены iso-образы и исходные тексты пакетов для SPARC на основе Oracle Linux 6 Update 7. Также доступен yum-репозиторий с пакетами и обновлениями для SPARC, в котором в том числе присутствуют "-devel"-пакеты для разработчиков, включая gcc с поддержкой оптимизаций для CPU M7. Поддерживается установка на системы на базе 64-разрядных процессоров SPARC T4, T5 и T7 (M7, M5). Платформа SPARC S7 пока не поддерживается. О планах по подготовке Oracle Linux 7 для SPARC ничего не сообщается, Oracle Linux 6 выбран для релиза так как являлся эталонной платформой при разработке проекта Linux for SPARC. В состав дистрибутива вошли не все пакеты, поставляемые для систем x86, но число пригодных для использования на системах SPARC пакетов будет расширяться. Так как компания Red Hat прекратила поддержку архитектуры SPARC ещё в 2000 году, сборка Oracle Linux для SPARC поставляется только с ядром Unbreakable Enterprise