OpenNET

Начиная с выпуска 2.38 в инструментарии Git была включена по умолчанию встроенная реализация gzip, которая позволяла унифицировать поддержку данного метода сжатия в разных операционных системах и повысить производительность создания архивов. GitHub подхватил изменение после обновления версии git в своей инфраструктуре. Проблему вызвало то, что сжатые архивы, генерируемые встроенной реализацией gzip на базе zlib, бинарно отличаются от архивов, созданных утилитой gzip, что привело к отличию контрольных сумм для архивов, созданных разными версиями git при выполнении команды "git archive".

Соответственно, после обновления git в GitHub на страницах релизов стали отдаваться немного другие архивы, не проходящие проверку по старым контрольным суммам. Проблема проявилась в различных сборочных системах, системах непрерывной интеграции и в инструментариях сборки пакетов из исходных текстов. Например, нарушилась сборка около 5800 портов FreeBSD, исходные тексты для которых загружались из GitHub.

В ответ на первые жалобы о возникших сбоях представители GitHub вначале ссылались на то, что постоянные контрольные суммы для архивов никогда не гарантировались. После того, как было показано, что для восстановления работоспособности систем сборки, на которые повлияло изменение, потребуется колоссальная работа по обновлению метаданных в различных экосистемах, представители GitHub изменили своё мнение, отменили изменение и вернули старый метод генерации архивов.

Разработчики Git пока не пришли к какому-то решению и лишь обсуждают возможные действия. Рассматривались такие варианты, как откат на использование утилиты gzip по умолчанию; добавление флага "--stable" для сохранения совместимости со старыми архивами; привязка встроенной реализации к отдельному формату архива; использование утилиты gzip для старых коммитов и встроенной реализации для коммитов, начиная с определённой даты; гарантирование стабильности формата только для несжатых архивов.

Сложность принятия решения объясняется тем, что откат на вызов внешней утилиты полностью не решает проблему неизменности контрольных сумм, так как, изменение во внешней программе gzip также может привести к изменению формата архива. В настоящее время для рецензирования предложен набор патчей, возвращающий по умолчанию старое поведение (вызов внешней утилиты gzip) и использующий встроенную реализацию при отсутствии в системе утилиты gzip. Патчи также добавляют в документацию упоминание, что стабильность вывода "git archive" не гарантируется и формат может быть изменён в будущем.

Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется.

Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX", зависящих от версии SSH-клиента. После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза - при выполнении функции do_ssh2_kex(), вызывающей compat_kex_proposal(), и при выполнении функции do_authentication2(), вызывающей по цепочке input_userauth_request(), mm_getpwnamallow(), copy_set_server_options(), assemble_algorithms() и kex_assemble_names().

Создание рабочего эксплоита для уязвимости считается маловероятным, так как процесс эксплуатации слишком усложнён - современные библиотеки распределения памяти предоставляют защиту от двойного освобождения памяти, а процесс pre-auth, в котором присутствует ошибка, выполняется с пониженными привилегиями в изолированном sandbox-окружении.

Кроме отмеченной уязвимости в новом выпуске также устранены ещё две проблемы с безопасностью:

• Ошибка при обработке настройки "PermitRemoteOpen", приводящая к игнорированию первого аргумента, если он отличается от значений "any" и "none". Проблема проявляется в версиях новее OpenSSH 8.7 и приводит к пропуску проверки при указании только одного полномочия.

• Атакующий, контролирующий DNS-сервер, используемый для определения имён, может добиться подстановки спецсимволов (например, "*") в файлы known_hosts, если в конфигурации включены опции CanonicalizeHostname и CanonicalizePermittedCNAMEs, и системный резолвер не проверяет корректность ответов от DNS-сервера. Проведение атаки рассматривается как маловероятное, так как возвращаемые имена должны соответствовать условиям, заданным через CanonicalizePermittedCNAMEs.

Другие изменения:

• В ssh_config для ssh добавлена настройка EnableEscapeCommandline, управляющая включением обработки на стороне клиента escape-последовательности "~C", предоставляющей командную строку. По умолчанию обработка "~C" теперь отключена для использования более жёсткой sandbox-изоляции, что потенциально может привести к нарушению работы систем, в которых "~C" используется для перенаправления портов во время работы.

• В sshd_config для sshd добавлена директива ChannelTimeout для задания таймаута неактивности канала (каналы, в которых за указанное в директиве время не зафиксирован трафик, будут автоматически закрыты). Для сеанса, X11, агента и перенаправления трафика могут быть заданы разные таймауты.

• В sshd_config для sshd добавлена директива UnusedConnectionTimeout, позволяющая задать таймаут для завершения клиентских соединений, находящихся определённое время без активных каналов.

• В sshd добавлена опция "-V" для вывода версии по аналогии с подобной опцией в клиенте ssh.

• В вывод "ssh -G" добавлена строка "Host", отражающая значение аргумента с именем хоста.

• В scp и sftp добавлена опция "-X" для управления такими параметрами протокола SFTP, как размер буфера копирования и число ожидающих завершения запросов.

• В ssh-keyscan разрешено сканирование полных CIDR-диапазонов адресов, например, "ssh-keyscan 192.168.0.0/24".

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 7.3, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE. Готовые сборки сформированы для Linux, Windows и macOS.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• Унифицировано оформление всплывающих подсказок, диалоговых окон, контекстных меню и панелей.

• Интерфейсы для работы с файлами и вывода на печать заменены на штатные системные диалоги.

• Добавлена функция быстрого вывода на печать с предпросмотром результата.

• В окно работы с файлами добавлена поддержка порталов Freedesktop (xdg-desktop-portal), применяемых для организации доступа к ресурсам пользовательского окружения из изолированных приложений.

• Добавлена панель быстрого доступа к уравнениям.

• Для 3D-диаграмм реализованы настройки трёхмерного вращения.

• Добавлена поддержка вставки объектов Smart Art.

• Добавлены преднастройки для вставки горизонтальных и вертикальных текстовых блоков.

• Предоставлена возможность скрытия левой и правой панелей во вкладке View в верхней панели инструментов.

• Обеспечена группировка шаблонов таблиц.

• В редакторе OLE-объектов появилась возможность управления стилем ячеек.

• Предоставлена возможность изменения размера окон редактирования диаграмм, OLE-объектов и получателей рассылок (Mail merge).

• Оптимизировано отображение комментариев.

• Функции чтения и записи PDF объединены в одну библиотеку.

• Изменена логика работы с локальными документами, для которых выставлена блокировка во время редактирования.

• Редактор документов

  • Добавлена поддержка двух режимов ввода уравнений: Unicode и LaTeX.

  • Добавлена возможность открытия защищённого паролем документа в режимах только для чтения, заполнения форм, добавления комментариев или отслеживания предлагаемых изменений.

  • В строку состояния добавлена кнопка для просмотра статистики.

  • Реализована возможность использования относительных ссылок на локальные файлы.

• Редактор таблиц

  • Добавлено окно Watch для инспектирования и аудита вычислений.

  • Добавлена поддержка новых функций: TEXTBEFORE, TEXTAFTER, TEXTSPLIT, VSTACK, HSTACK, TOROW, TOCOL, WRAPROWS, WRAPCOLS, TAKE, DROP, CHOOSEROWS, CHOOSECOLS.

  • Добавлена поддержка ссылок на внешние файлы.

  • Добавлена возможность вставки данных из файла XML (XML Spreadsheet).

  • Добавлена возможность изменения размера области предпросмотра стиля ячеек.

  • Реализована возможность использования относительных ссылок на локальные файлы.

• Редактор презентаций

  • Добавлена поддержка ввода уравнений в режимах Unicode и LaTeX.

  • Во вкладку View и в контекстное меню добавлены настройки направляющих и сетки.

  • Добавлены подсказки, показываемые при перемещении направляющих. Предоставлена возможность удаления выбранной направляющей.

  • Добавлена поддержка горячих клавиш Paste Special для гибкой вставки слайда в презентацию, например, с сохранением исходного форматирования, использования целевой темы оформления или вставки как изображения. .

  • В контекстное меню добавлена кнопка для записи фигуры (графического объекта) в виде картинки.

• Формы

  • Предложены новые поля: дата, время, почтовый индекс и номер кредитной карты.

  • Добавлена возможность добавления, редактирования и удаления ролей, а также привязки ролей к полям заполняемых форм.

  • Предоставлена возможность предпросмотра файла DOCXF во время создания роли.

Представлен выпуск дистрибутива Elementary OS 7, позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (2.8 ГБ), доступные для архитектуры amd64 (для бесплатной загрузки с сайта проекта в поле с суммой пожертвования необходимо ввести 0).

При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и поддержки репозиториев Еlementary OS 7.x совместим с Ubuntu 22.04. Графическое окружение основано на собственной оболочке Pantheon, которая объединяет собой такие компоненты, как оконный менеджер Gala (на базе LibMutter), верхнюю панель WingPanel, лаунчер Slingshot, панель управления Switchboard, нижнюю панель задач Plank (переписанный на Vala аналог панели Docky) и менеджер сессий Pantheon Greeter (на основе LightDM).

В состав окружения входит набор тесно интегрированных в единое окружение приложений, необходимых для решения задач пользователей. Среди приложений большую часть составляют собственные разработки проекта, такие как эмулятор терминала Pantheon Terminal, файловый менеджер Pantheon Files, текстовый редактор Code и музыкальный проигрыватель Music (Noise). Проектом также развиваются менеджер фотографий Pantheon Photos (ответвление от Shotwell) и почтовый клиент Mail (ответвление от Evolution).

Ключевые новшества:

• Проведена модернизация центра установки приложений (AppCenter), в котором расширена страница с информацией о программах, добавлена поддержка автоматического обновления Flatpak-пакетов, обеспечена установка системных обновлений во время перезапуска, улучшена поддержка сторонних репозиториев (Flathub), полностью переработана навигация и реализован адаптивный интерфейс, подстраивающийся под разные размеры экрана.

• На базе браузера GNOME Web 43 (Epiphany) реализована поддержка самодостаточных web-приложений в формате PWA (Progressive Web Apps). Предоставлена возможность установки сайта как web-приложения, размещения его ярлыка в меню приложений и запуска web-приложения в отдельном окне по аналогии с обычными программами.

• Улучшено приложение Feedback для отправки разработчикам сообщений о проблемах и пожеланий по расширению функциональности - сокращено время запуска, обеспечен вызов из меню приложений, проведена оптимизация интерфейса для небольших экранов, упрощён выбор приложений, настроек и компонентов рабочего стола.

• В инсталляторе сокращено число экранов, которые пользователь должен пройти перед установкой, и расширена информация, необходимая для принятия решений в процессе подготовки к установке. В мастере начальной настройки упрощено переключение на использование правой кнопки мыши для обычных кликов и добавлен экран, показываемый при отсутствии подключения к сети.

  В приложение Onboarding добавлены новые экраны для включения автоматической доставки обновлений, периодического удаления устаревших загруженных и временных файлов, переключения на тёмную тему в определённые часы,

• Переделано оформление почтового клиента. Реализована поддержка учётных записей Microsoft 365.

• В приложении Tasks, помогающем вести списки задач и заметок, предоставлена возможность работы с новыми списками в режиме offline (изменения синхронизируются после появления доступа к сети). Обеспечен вывод уведомлений о необходимости выполнения задач. В настройки добавлена поддержка включения offline-режима для учётных записей CalDAV и возможность изменения периодичности обращения к IMAP.

• В файловом менеджере реализован режим, позволяющий выделять каталоги одним щелчком мыши, вместо двух.

• Изменено оформление настроек принтера, добавлена кнопка для очистки очереди вывода на печать, улучшено отображение сведений об уровне краски в картриджах.

• Из GNOME 43 перенесены новые версии приложений для просмотра документов и работы с архивами, в которых улучшена поддержка тёмной темы оформления и заменён диалог выбора файлов.

• Полностью переписан музыкальный проигрыватель Music, который переработан с оглядкой на удобную работу с музыкальными сервисами, осуществляющими потоковое вещание, а также упрощение добавления композиций в очередь, работу с локальной коллекцией и воспроизведение отдельных файлов. Улучшена поддержка чтения метаданных композиций (например, извлечение обложек альбомов). Проведена адаптация элементов управления для экранов разного размера.

• В апплете управления громкостью реализован вывод отдельного индикатора для штатного видеопроигрывателея.

• Обновлён конфигуратор. Добавлен интерфейс управления профилями энергопотребления, через который можно, например, активировать профили максимальной производительности или экономии заряда аккумулятора. Изменено оформление экрана для настройки горячих клавиш. Добавлена опция для запрета подключения новых USB-устройств во время блокировки экрана. Обновлены настройки сетевого подключения и индикатор активности сети, в котором появилась поддержка WPA3. Предоставлена возможность обновления прошивок в offline-режиме.

• Предоставлена возможность выполнения определённых команд при подведении курсора к углам экрана (hotcorner).

• Включены оптимизации производительности, нацеленные на повышение отзывчивости интерфейса и снижение времени выполнения различных операций.

• Началась работа по переводу приложений на GTK4 и внедрению адаптивного оформления, подстраивающегося под экраны любого размера. Выполнено портирование на GTK4 фреймворка Granite, применяемого в приложениях от проекта Elementary OS. На GTK4 переведены такие приложения, как Calculator, Sideload, Shortcuts, Music и Onboarding.

• Унифицировано оформление всех пиктограмм приложений, а также обновлены некоторые системные пиктограммы.

• Для установки через AppCenter предложено новое приложение Icon Browser, предназначенное для просмотра имеющихся пиктограмм.

• Интерфейс текстового редактора Code адаптирован для экранов разного размера. Добавлена боковая панель. Предложены новые светлые и тёмные стили оформления. В функциях поиска добавлена поддержка регулярных выражений. В меню добавлены кнопки для скрытия панелей, а также кнопки для поиска на странице и в проектах.

• В эмуляторе терминала появилась поддержка системных настроек тёмного стиля оформления, но также сохранена и возможность назначения собственных цветов.

По заверению GitHub атака ограничилась только указанными репозиториями и инфраструктура проекта не пострадала. Доступ был получен с использованием персонального токена (PAT, Personal Access Token), привязанного к учётной записи одного из разработчиков.

Компания eQualite опубликовала выпуск мобильного web-браузера CENO 2.0.0 (CEnsorship.NO), предназначенного для организации доступа к информации в условиях цензуры, фильтрации трафика или отключения сегментов интернета от глобальной сети. Браузер построен на основе движка GeckoView (применяется в Firefox для Android), расширенного возможностью обмена данными через децентрализованную P2P-сеть, в которой пользователи участвуют в перенаправлении трафика к внешним шлюзам, обеспечивающим доступ к информации в обход фильтров. Наработки проекта распространяются под лицензией MIT. Готовые сборки доступны в Google Play.

P2P-функциональность вынесена в отдельную библиотеку Ouinet, которая может быть использована для добавления средств обхода цензуры в произвольные приложения. Браузер CENO и библиотека Ouinet позволяют получить доступ к информации в условиях активной блокировки прокси-серверов, VPN, шлюзов и прочих централизованных механизмов обхода фильтрации трафика, вплоть до полного отключения интернета в цензурируемых областях (при полной блокировке контент может раздаваться из кэша или локальных накопителей).

Проект использует кэширование контента на стороне каждого пользователя с поддержанием децентрализованного кэша популярного контента. При открытии пользователем сайта загруженное содержимое кэшируется в локальной системе и становится доступным участникам P2P-сети, которые не могут получить прямой доступ к ресурсу или к шлюзам для обхода блокировки. На каждом устройстве хранятся только данные, непосредственно запрошенные с этого устройства. Идентификация находящихся в кэше страниц осуществляется с использование хэша от URL. Все связанные со страницей дополнительные данные, такие как изображения, скрипты и стили, группируются и отдаются вместе по одному идентификатору.

Для получения доступа к новому контенту, прямой доступ к которому заблокирован, применяются специальные прокси-шлюзы (injector), которые размещаются во внешних частях сети, не подверженных цензуре. Информация между клиентом и шлюзом шифруется с использованием шифрования на базе открытых ключей. Для идентификации шлюзов и предотвращения внедрения вредоносных шлюзов применяются цифровые подписи, а ключи сопровождаемых проектом шлюзов включены в поставку браузера.

Для доступа к шлюзу в условиях его блокировки поддерживается подключение по цепочке через других пользователей, которые выступают в роли прокси для проброса трафика к шлюзу (данные шифруются ключом шлюза, что не позволяет транзитным пользователям, через системы которых передаётся запрос, вклиниться в трафик или определить содержимое). Клиентские системы внешние запросы от имени других пользователей не отправляют, а либо отдают данные из кэша, либо используются в качестве звена для установки туннеля к прокси-шлюзу.

Обычные запросы вначале браузер пытается доставить напрямую, а если прямой запрос не проходит - выполняет поиск в распределённом кэше. При отсутствии URL в кэше информация запрашивается через подключение к прокси-шлюзу или обращение к шлюзу через другого пользователя. Конфиденциальные данные, такие как cookie, в кэше не сохраняются.

Каждая система в P2P-сети снабжается внутренним идентификатором, который используется при маршрутизации в P2P-сети, но не привязан к физическому местоположению пользователя. Достоверность передаваемой и сохраняемой в кэше информации обеспечивается через применение цифровых подписей (Ed25519). Передаваемый трафик шифруется при помощи TLS. Для доступа к информации о структуре сети, участниках и прокэшированном контенте применяется распределенная хэш-таблица (DHT). При необходимости в качестве транспорта помимо HTTP могут использоваться µTP или Tor.

При этом CENO не обеспечивает анонимность и информация о отправляемых запросах доступна для анализа на устройствах участников (например, по хэшу можно определить, что пользователь обращался к определённому сайту). Для конфиденциальных запросов, например, требующих подключения к своей учётной записи в почте и социальных сетях, предлагается использовать отдельную приватную вкладку, при использовании которой данные запрашиваются только напрямую или через прокси-шлюз, но без обращения к кэшу и без оседания в кэше.

Среди изменений в новом выпуске:

• Изменено оформление панели и переделан интерфейс конфигуратора.

• Предоставлена возможность определения поведения по умолчанию кнопки Clear и удаления данной кнопки с панели и из меню.

• В конфигураторе появилась возможность очистки браузерных данных, в том числе с выборочным удалением по списку.

• Выполнена перегруппировка опций меню.

• В отдельное подменю вынесены опции для настройки интерфейса.

• Обновлена версия библиотеки Ouinet (0.21.5) и дополнения Ceno Extension(1.6.1), движок GeckoView и библиотеки Mozilla синхронизированы с Firefox for Android 108.

• Добавлена локализация для русского языка.

• Добавлены настройки для управления параметрам темы оформления и поисковыми движками.