Компания Canonical объявила о продлении жизненного цикла Ubuntu 14.04 LTS и 16.04 LTS до 10 лет. Таким образом, эти версии ОС будут получать обновления безопасности ещё долгое время. Такое решение позволит организациям сбалансировать свои затраты на обновление инфраструктуры.

Как отмечается, помимо патчей безопасности дистрибутивы будут получать также обновления ядра системы, системных пакетов и так далее, что даст возможность поддерживать ОС в актуальном состоянии. Переход на новую инфраструктуру резко увеличивает бюджет IT-организаций, но увеличение жизненного цикла Ubuntu 14.04 LTS и 16.04 LTS позволит отчасти решить эту проблему.

Отметим, что аналогичные сроки сопровождения предоставляется в дистрибутивах SUSE Linux и Red Hat Enterprise Linux. А вот Debian GNU/Linux поддерживается только 5 лет. Обычные же версии Fedora Linux и openSUSE поддерживается 13 и 18 месяцев соответственно.

Напомним, что ранее Canonical представила Ubuntu Pro в качестве одного из дистрибутивов для Amazon EC2 с расширенной поддержкой обновлений безопасности. Туда входят, в частности, обновления ядра в реальном времени, Canonical Landscape и так далее.

Разработчики OpenVPN представили новый модуль ядра Linux, который должен решить одну из проблем виртуальных частных сетей — низкую скорость соединения. Модуль называется ovpn-dco и пока что относится к экспериментальным решениям, однако стабильность уже доведена до уровня, который позволяет использовать его в работе сервиса OpenVPN Cloud.

Главным нововведением модуля стал перенос всех операций в пространство ядра. Это касается шифрования, обработки пакетов и управления каналом связи. Ранее эти операции выполнялись в пространстве пользователя, что повышало накладные расходы. Как отмечается, именно эти задачи сильнее всего влияют на производительность VPN.

Отмечается, что перенос операций в пространство ядра позволит также напрямую обращаться к низкоуровневым API, что также добавит скорости и снизит задержки при передаче данных. На данный момент результаты тестирования выглядят так:

Как отмечается, сейчас система находится на этапе бета-тестирования, а сервер Linux OpenVPN с модулем DCO доступен для разработчиков. Пока не сообщается, когда новое решение добавят в основную ветку ядра, однако появление такой возможности позволит ускорить работу защищённых сетей, что может быть важно для различных сфер деятельности.

Специалисты компании Wiz обнаружили информацию о наборе уязвимостей в виртуальных машинах Linux в облаке Azure. Как отмечается, они используют особенности фирменного агента платформы Open Management Infrastructure (OMI).

Об этом сообщили несколько дней назад, а уже 14 сентября Microsoft выпустила соответствующие патчи. Как оказалось, самая безобидная из четырёх уязвимостей имеет оценку 7 баллов из 10. Самая серьёзная — 9,8/10. Дело осложняется тем, что OMI активируется автоматически при запуске виртуальной машины и работает с максимальными правами, а, значит, получение доступа позволяет выполнять код с привилегиями администратора.

О проблеме рассказал, в частности, эксперт Кевин Бомонт (Kevin Beaumont). Он посоветовал обновить OMI до последних версий и убедиться, что там отключены все потенциально опасные службы. Их неполный список выглядит так:

• Azure Automation
• Azure Automatic Update
• Azure Operations Management Suite (OMS)
• Azure Log Analytics
• Azure Configuration Management
• Azure Diagnostics
• Azure Container Insights

При этом отметим, что хотя Microsoft и исправила уязвимости, но обновление самих виртуальных машин она оставила на плечах пользователей. «Клиенты должны обновлять уязвимые расширения для своих облачных и локальных систем по мере того, как обновления становятся доступными в соответствии с расписанием», — говорится в ответе техподдержки компании.

Вышел новый мажорный релиз OpenWrt под номером 21.02. В сборке добавилось много нового по сравнению с релизом 19.07, вышедшем в январе 2020-го года. Пожалуй, самое важное изменение для конечных пользователей — это повышение системных требований. Для OpenWrt 21.02 требуется 8 Мбайт флеш-памяти и 64 Мбайт RAM. Можно сформировать урезанную сборку, которая будет «укладываться» в 4/32 Мбайт, но стабильность её работы не гарантируется. Разработчики рекомендуют конфигурацию 16/128 Мбайт, особенно для случаев, когда нужна установка дополнительных пакетов, а функциональность системы выходит за пределы базового роутера или точки доступа.

OpenWrt 21.02 получила поддержку «из коробки» WPA3, HTTPS и TLS. WPA3 уже поддерживался в OpenWrt 19.07, но не был включен по умолчанию. А HTTPS теперь поддерживается в интерфейсе LuCi, wget и менеджере пакетов opkg (репозитории тоже переведены на HTTPS). Также в числе изменений отметим переход с mbedTLS на wolfSSL. При этом mbedTLS и OpenSSL можно установить вручную.

Также реализована начальная поддержка архитектуры распределенных коммутаторов (DSA), которая заменит swconfig. Это и ряд других изменений привели к смене форматов части конфигурационных файлов, что может потребовать переустановки OpenWrt на некоторых конфигурациях. Отдельно стоит отметить, что теперь система по умолчанию собирается с опциями, упрощающими работу внутри контейнеров.

Помимо этого, в сборке обновилось ядро Linux до версии 5.4.143 с патчами из более свежих ядер (например, для Wi-Fi и Wireguard), а ряд приложений задействует ASLR. Наконец, изменения коснулись и аппаратных платформ. Появилась поддержка нескольких чипов Realtek, Broadcom BCM4908 и Rockchip RK33xx. А вот поддержка некоторых старых платформ Cavium, MikroTik и Samsung была удалена.

Компания CloudLinux объявила, что в рамках программы TuxCare будет предоставлять обновления и поддержку для CentOS 8 до 31 декабря 2025 года. Это позволит не беспокоиться о дедлайне в конце текущего года, когда заканчивается официальная поддержка и начинается переход на CentOS Stream, а постепенно перевести свои системы на другие дистрибутивы.

Услуга поддержки расширенного жизненного цикла CloudLinux TuxCare включает круглосуточную поддержку и обновления для системных компонентов в операционных системах Linux. Помимо CentOS 8 она покрывает Ubuntu 16.04, CentOS 6 и Oracle 6. Как отмечается, TuxCare обеспечивает выпуск критических исправлений даже быстрее, чем от оригинального поставщика дистрибвтива, что даёт возможность поддерживать операционные системы «на плаву» даже после прекращения официальной поддержки.

Под брендом TuxCare предлагаются различные сервисы: Live Patching Services (бывший KernelCare), Extended Lifecycle Support и Linux Support Services. Цены на различные варианты Live Patching Services и Extended Lifecycle Support составляют от $1,95/мес. и $4,25/мес. соответственно за каждый экземпляр ОС в независимости от того, где он развёрнут.

Ресурс Phoronix обратил внимание на любопытный патч для ядра Linux 5.15, который исправляет проблему длительной загрузки Linux на больших мейнфреймах и сверхкрупных кластерах на базе оборудования IBM. На это уходило порядка 30 минут и больше. Теперь такие системы будут загружаться примерно за 5 минут. Правда, без учёта инициализации самого железа, которая в данном случае сама по себе может длиться десятки минут.

Изменения в ядре включают в себя улучшения производительности Kernfs для функций, используемых, в частности, sysfs. Суть в том, что такие системы оснащены сотнями процессоров и десятками терабайт RAM, а память обрабатывается блоками по 256 Мбайт. Из-за этого ранее нужно было очень долго ждать, пока ядро «прожует» всю память. Причём для этого даже требовалось принудительно увеличивать время тайм-аута.

После выхода обновления Linux 5.15 операции, которые ранее выполнялись последовательно, будут делаться параллельно + были произведены оптимизации кеширования этих процессов. Всё это позволит увеличить скорость загрузки системы примерно в 6 раз. А поскольку подобные системы обычно используются для выполнения бизнес-критичных задач, для которых даже одна лишняя минута простоя обходится в круглую сумму, ускорение будет совсем нелишним.

Компания Tachyum, нацелившаяся ни много ни мало на соперничество с AMD, Ampere и Intel в сегменте серверных процессоров, добилась очевидного прогресса в разработке проекта Prodigy. Пока этот процессор существует лишь в виде реализации на ПЛИС, но даже в такой виде он уже способен запустить Linux.

Проект Prodigy выглядит, напомним, весьма амбициозно: речь идёт о создании полноценного «большого» процессора для ЦОД и серверов, причём процессора 128-ядерного. Разработка продвигается небыстро, поскольку речь идёт о чрезвычайно сложном CPU. Лишь два месяца назад компания отчиталась о поставке I/O-плат для аппаратных эмуляторов Prodigy, однако сейчас достигнута серьёзная веха.

Системная плата комплекса эмуляции Tachyum Prodigy

Следует отметить, что речи пока не идёт о «настоящем» кремнии Prodigy, а лишь об FPGA-реализации этой архитектуры. Такой аппаратный эмулятор Tachyum протестировала ещё в начале прошлого года. Системная плата эмулятора несёт четыре мощных программируемых матрицы, способных имитировать работу восьми ядер Prodigy. Она дополнена платами ввода/вывода, а вся система предназначается для установки в стандартную 19" стойку.

Основные возможности нового процессора

Даже наличие ПЛИС-прототипа не гарантирует успешную работу на нём высокоуровневого кода, ведь в ранних реализациях архитектуры неизбежных ошибки и недоработки. Надо сказать, что загрузчик UEFI для Prodigy существовал и ранее, и вместе с его анонсом была объявлена поддержка со стороны ядра Linux, но лишь к сегодняшнему дню комплексы эмуляции Tachyum Prodigу, можно сказать, достигли нужной степени зрелости.

Архитектура Prodigy изначально разрабатывается, как универсальная

Тестовая система смогла успешно загрузить Linux и простую пользовательскую программу, после чего выполнить отключение. По сути, перед нами доказательство того, что базовые функции Prodigy работают стабильно: процессор отрабатывает прерывания и исключения, переключает режимы и имеет корректные тайминги. А значит, Tachyum и её партнёры, наконец-то, могут перейти к разработке системного и, в меньшей степени, пользовательского ПО для новой платформы.

Сам процессор Prodigy сможет работать не только с «родным» кодом, но и запускать код для x86, ARM и RISC-V, что облегчит выход на рынок. Разработчики утверждают, что их детище сможет обеспечить рекордное соотношение цены к производительности, будучи на порядок более экономичным, нежели традиционные серверные процессоры. В настоящее время тестовая система уже доступна заказчикам. Появление первых референсных системных плат с настоящими процессорами Prodigy намечено на первый квартал 2022 года.

Линус Торвальдс (Linus Torvalds), как и ожидалось, спустя несколько дней после 30-летнего юбилея ядра Linux выпустил стабильное обновление под номером 5.14. В этой сборке появились новые функции, расширилась поддержка оборудования и появились другие улучшения.

В числе важных изменений отметим удаление старых драйверов для накопителей с интерфейсом IDE. Теперь обработкой займётся подсистема libata, которая обеспечивает полную поддержку старого оборудования. В целом же львиная доля изменений так или иначе касается железа. Порядка 47 % всех обновлений связаны с драйверами устройств, оптимизациями и прочим.

straipsniai.lt

Появилась поддержка новых функций для Intel Alder Lake, AMD Yellow Carp и Beige Goby, AMD SmartShift и Raspberry Pi 400. Отдельно можно отметить включение поддержки виртуального графического адаптера Hyper-V, а также драйвера simpledrm, который позволяет организовать вывод графики на ранних стадиях загрузку. Помимо этого, расширилась поддержка устройств с интерфейсом USB4.

Также добавлены драйверы для целого ряда звуковых карт, а для USB-аудио снижена задержка инициализации вывода звука. Переработке подверглись различные и аспекты поддерживаемых файловых систем. К примеру, в Btrfs улучшилась производительность, а exFAT теперь учитывает особенности томов, формируемых некоторыми цифровыми камерами. Изменения получили также ext4, XFS, F2FS.

Продолжается и внедрение MPTCP, а также новых возможностей для работы с сокетами. Также были доработаны некоторые механизмы cgroup, отключена поддержка Intel TSX, удалён драйвер raw и начата работа над безопасностью BPF-подпрограмм, которые в будущем обзаведутся цифровой подписью. Помимо этого, появились улучшения для работы с памятью и виртуальными машинами (много изменений в virtio-подсистемах).

Похоже, что затянувшийся судебный спор между компаниями Santa Cruz Operation (SCO) и IBM по поводу прав на код ядра Linux может закончиться в ближайшее время. Суд США по делам о банкротстве округа Делавэр объявил, что TSG Group, которая представляет интересы должников обанкротившейся SCO, урегулировала все оставшиеся претензии с IBM. «В соответствии с Мировым соглашением стороны договорились разрешить все споры между собой по выплате Доверительному управляющему [TLD] от имени IBM в размере $14 250 000», — указано в постановлении суда.

В свою очередь, TLD отказывается от всех прав и интересов по всем судебным искам, находящимся на рассмотрении или которые могут быть предъявлены в будущем против IBM и Red Hat, а также по любым обвинениям в том, что Linux нарушает интеллектуальную собственность SCO Unix или Unixware. Как пояснил представитель TLD, даже если бы SCO удалось доказать суду присяжных, что около 20 лет назад действительно были нарушены права и была нечестная конкуренция, размер ущерба всё было бы нельзя определить. И выплаты, вероятно, были бы значительно меньше, чем при мировом соглашении.

santacruztechbeat.com

Впрочем, речь идёт о завершении лишь части судебного противостояния, длящегося 18 лет. Дело в том, что Xinuos, которая купила продукты SCO Unix и её интеллектуальную собственность в 2011 году, подала в суд на IBM и Red Hat в связи с «незаконным копированием программного кода Xinuos для своих серверных операционных систем». Хотя во время сделки она обещала, что не намерена вести какие-либо судебные разбирательства, связанные с активами группы SCO.

Во-первых, Xinuos утверждает, что IBM украла её интеллектуальную собственность, которую использовала для создания и продажи продукта, чтобы конкурировать с самой Xinuos. Во-вторых, по её мнению, IBM и Red Hat незаконно договорились разделить соответствующий рынок и использовать свои растущие силы на рынке для преследования конкурентов и подавления инноваций. И, наконец, в-третьих, по версии Xinuos, IBM приобрела Red Hat, чтобы укрепить положение на рынке и использовать незаконную схему на постоянной основе.

Компания Trend Micro опубликовала большой отчёт о безопасности Linux и угроз со стороны вредоносного ПО. Как сообщается, в этом году зафиксировано более 13 млн атак или иных инцидентов, касающихся Linux. Сообщается, что почти 40 % атак обнаружили в США, за ними следуют Таиланд и Сингапур с 19 % и 14 % соответственно.

При этом проблемы фиксировались чаще всего в системах, на которых установлены устаревшие версии дистрибутивов Linux. Большинство (почти 44 %) обнаружений приходилось на CentOS версий от 7.4 до 7.9, за ними следовал CloudLinux Server, на который приходилось более 40 % обнаружений, а на Ubuntu пришлось почти 7 %.

Чаще всего это были программы-майнеры (24,56%), затем веб-шеллы (19,92%). Другие виды вредоносного ПО встречались реже. При этом оказалось, что основная масса проблем «приходит» через интернет — на сетевые, веб и прочие приложения такого рода приходится более 76% атак. И лишь менее 24 % — различные локальные атаки.

По данным источника, помимо «классических» инъекций встречаются и проблемы, например, небезопасной десериализации. Отчасти это связано с повсеместным распространением Java, а также проблемами в Liferay Portal, Ruby on Rails и Red Hat JBoss. Злоумышленники также пытаются использовать уязвимости с аутентификацией для получения несанкционированного доступа к системам. Самые популярные способы атак на веб-приложения выглядят так:

Что касается контейнеров, то там всё тоже довольно плохо. В 15 самых популярных официальных образах Docker в Docker Hub есть уйма уязвимостей. Все эти проблемы можно решить только с использованием комплексного подхода. Нужно как минимум обновить ОС и ПО до актуальных версий, установить решения для отслеживания зловредов и пересмотреть конфигурацию контейнеров.