FIDOSlax Linux 3.1.3-stable — легковесный дистрибутив из России на базе Slax/Porteus

FIDOSlax Linux* — дистрибутив на базе Porteus (ранее основывался на Slax), который в свою очередь происходит от Slackware. И Porteus, Slax используют Linux Live Kit, который с помощью модулей Linux-ядра aufs и squashfs позволяют собирать свой дистрибутив из установленной системы. FIDOSlax Linux работает как LiveCD-система и может быть установлен на жёсткий диск, создан быть быстрым, компактным и модульным. От своих родителей, по заверению разработчиков, «работает быстрые, а также включает готовый и оптимизированный набор программ для русских пользователей — офисных, мультимедийных и программ резервного копирования и восстановления данных».

Среди изменений в стабильном релизе FIDOSlax Linux 3.1.3, использующем оконный менеджер Fluxbox, отмечается появление улучшений в безопасности: аудит изменений файловой системы (/var/log/files-mon) и установленных сетевых соединений (/var/log/program-mon), добавлен антивирус ClamAV, а также введено отображение всех этих событий в свободной области левого верхнего угла экрана. Кроме того, были обновлены некоторые пакеты программного обеспечения (например, Firefox), которые устанавливаются при помощи дополнительных модулей с расширением xzm. Набор готового к использованию набора программ в каталоге porteus/program превысил отметку в 1,3 Гб.

* Название проекта связано с тем, что в этот Linux-дистрибутив включены клиент и сервер FIDONet, а в специальном одноимённом меню можно открыть книгу Дмитрия Игнатова «Это ваше Фидо».

Выпуск медиасервера Gerbera 1.0

Представлен первый релиз медиасервера Gerbera, продолжившего развитие проекта MediaTomb после прекращения его разработки. Gerbera поддерживает протоколы UPnP, в том числе спецификацию UPnP MediaServer 1.0, и позволяет организовать трансляцию мультимедийного контента в локальной сети с возможностью просмотра видео и прослушивания звука на любом UPnP-совместимом устройстве, включая телевизоры, игровые приставки, смартфоны и планшеты. Код проекта написан на языке С++ и распространяется под лицензией GPLv2.

Поддерживается перекодирование контента на лету для вывода в форматах, поддерживаемых заданным устройством. Управление вещанием производится через web-интерфейс. Из мультимедийных файлов автоматически извлекаются метаданные и строится коллекция, доступная для навигации со всех устройств, оснащённых web-браузером.

С момента ответвления от MediaTomb в Gerbera внесено более 340 изменений, среди которых переход на систему сборки cmake, уход от многих встроенных привязок в пользу внешних библиотек (теперь используются штатные libupnp, libuuid, libflac, libmp4v2, id3lib), замена JavaScript-движка Spidermonkey на Duktape, возможность отображения обложек альбомов, поддержка IPv6.

Релиз рабочего стола KDE Plasma 5.10

Состоялся релиз пользовательской оболочки Plasma 5.10, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon.

Google прекращает поддержку Portable Native Client в пользу WebAssembly

Компания Google объявила о переводе технологии PNaCl (Portable Native Client) в разряд устаревших. Поддержка PNaCl в Chrome будет прекращена в первом квартале 2018 года, но возможность использования PNaCl в дополнениях к Chrome и приложениях Chrome Apps ещё какое-то время будет сохранена.

Разработчикам рекомендуется перейти на использование технологии WebAssembly, предоставляющей не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения в браузере приложений, скомпилированных из различных языков программирования. WebAssembly рассматривается как более перспективная и переносимая между браузерами технология создания высокопроизводительных web-приложений, в то время как PNaCl не вышел за пределы нишевого продукта, привязанного к одному браузеру. Для упрощения перевода приложений с PNaCl на WebAssembly подготовлена серия рекомендаций.

Для ядра Linux предложена реализация белого списка исполняемых приложений

В списке рассылки ядра Linux опубликован набор патчей с реализаций LSM-модуля WhiteEgret, представляющего средства для обеспечения защиты системы через применение белого списка исполняемых компонентов. WhiteEgret допускает исполнение только кода приложений и библиотек, которые явно разрешены и занесены в заранее определённый белый список. Исполнение всех не включённых в список приложений блокируется, что не позволяет выполнить в системе недозволенные программы и вредоносное ПО. WhiteEgret хорошо подходит для статичных окружений, состав которых не меняется длительное время, например, для типовых серверов и промышленных управляющих систем.

В sudo устранена уязвимость, позволяющая переписать файл на системах с SELinux

В утилите sudo, применяемой для организации выполнения команд от имени других пользователей, выявлена опасная уязвимость (CVE-2017-1000367). Проблема позволяет переписать любой файл в системе, например, /etc/shadow, и проявляется только если пользователю делегировано выполнение определённых привилегированных операций в /etc/sudoers, в системе включен SELinux и sudo собран с поддержкой SELinux. Уязвимость устранена в обновлении sudo 1.8.20p1, а также в пакетах дистрибутивов RHEL 6/7, Fedora, Ubuntu, Debian, SUSE и openSUSE.

Уязвимость эксплуатируется через создание символической ссылки на исполняемый файл sudo, с заданием для ссылки имени, содержащем пробел, после которого следует число. При разборе файла /proc/[pid]/stat после запуска по такой ссылке программа sudo пытается определить номер устройства tty, к которому прикреплён текущий процесс, но так как в качестве разделителей /proc/[pid]/stat применяются пробелы, запуск через ссылку с пробелом в имени нарушает порядок разбора и позволяет подставить фиктивный номер устройства, не связанный с каким-то уже существующим устройством в каталоге /dev. Используя данный фиктивный номер устройства sudo не может найти терминал текущего процесса в каталоге /dev/pts, после чего пытается найти устройство в каталоге /dev.

Атакующий может подобрать момент и создать новый псевдотерминал в момент, когда sudo уже проверил /dev/pts но ещё не начал проверку в /dev (например, используя inotify для отслеживания открытия каталога), и установить на него символическую ссылку в каталоге /dev (например, каталог /dev/shm доступен всем на запись), после чего данный файл будет воспринят sudo как текущий терминал. При указании роли SELinux через опцию "-r role" в командной строке при вызове sudo, данное устройство будет использовано для stdin, stdout и stderr. Заменив символическую ссылку с псевдотерминала на реальный файл, можно переписать его содержимое (sudo выводит в stderr все аргументы командной строки в случае ошибки, например, можно вместо опции передать '--\nHELLO\nWORLD\n'). Например, переписав /etc/shadow или /etc/sudoers можно получить полномочия root.

Вышел Live-дистрибутив Grml 2017.05

Спустя почти три года с момента прошлого выпуска представлен релиз Live-дистрибутива grml 2017.05, основанного на пакетной базе Debian GNU/Linux. Дистрибутив содержит подборку программ для выполнения операций по обработке текстовых данных средствами пакета texttools и для выполнения работ, возникающих в практике системных администраторов (восстановление данных после сбоя, разбор инцидентов и т.д.). Графическое окружение построено с использованием оконного менеджера Fluxbox. Размер полного iso-образа 590 Мб, сокращённого - 280 Мб.

Новый выпуск примечателен переходом с системы инициализации file-rc на системный менеджер systemd, но в сборочном инструментарии grml-live оставлена возможность опциональной сборки с file-rc, которая ещё какое-то время будет поддерживаться в краткосрочной перспективе. В grml-live добавлена функция "wayback machine" для установки пакетов Debian, соответствующих выбранной дате в прошлом, а также поддержка netboot.xyz и хэшей SHA-256/512. Следом за Debian 32-разрядные сборки теперь собираются только для класса процессоров i686 (поддержка i586 прекращена). Версии программ синхронизированы с репозиторием Debian Stretch. Ядро Linux обновлено до версии 4.9.29. В утилиту grml2usb и инструментарий grml-debootstrap добавлена поддержка UEFI.