Компания Google объявила о внесении обновлений в программу kCTF (Capture-the-Flag для Kubernetes). Она продлила на неопределённый срок выплату увеличенного вознаграждения, о котором было объявлено ранее в этом году. То есть компания продолжит делать выплаты в пределах от $20 000 до $91 337 за взлом предложенных демонстрационных кластеров kCTF на базе инстансов Google Kubernetes Engine (GKE). Эта выплата будет осуществляться в дополнение к существующим вознаграждениям за исправления для упреждающих улучшений безопасности.

Однако Google заметила, что на текущий момент все уязвимости, позволяющие покинуть контейнер, были связаны с проблемами в ядре Linux. Поэтому компания запустила новые окружения (инстансы) с дополнительными наградами, чтобы оценить защищённость последнего стабильного релиза ядра Linux, а также новые экспериментальные средства защиты. Компания отметила, что разработанные ей меры защиты усложнят использование большинства обнаруженных в прошлом году багов (уязвимостей — в 9 из 10 случаях, эксплойтов — в 10 из 13 случаев).

Источник изображения: Pixabay

За создание новых эксплойтов для свежей стабильной ветки ядра Linux компания дополнительно заплатит $21 000. Для тех, кто скомпрометирует специальное ядро с расширенными экспериментальными патчами от Google, дополнительное вознаграждение составит $21 000. Таким образом, суммарно можно получить до $133 337. Ранее Google призвала другие компании выделять больше инженеров для разработки и сопровождения ядра Linux, а в прошлом году компания совместно с Linux Foundation выделила средства на оплату работы двух специалистов по обеспечению безопасности ядра.

В настоящее время только в трёх сертифицированных отечественных операционных Linux-системах задействовано ядро, поддерживаемое Технологическим центром исследования безопасности ядра Linux. Об этом на проходившей в Москве IX международной научно-практической конференции OS Day 2022 сообщил начальник второго управления Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Дмитрий Шевцов

«У нас есть три сертифицированные программные платформы, которые функционируют на базе отечественной ветки ядра Linux 5.10, выбранной в качестве основной и поддерживаемой специалистами Технологического центра. Остальные российские софтверные компании проводят соответствующие подготовительные работы и намерены перевести свои ОС на упомянутое ядро в скором времени», — заявил представитель ведомства.

По данным ФСТЭК России, наработки Технологического центра уже задействованы в дистрибутивах «Альт 8 СП», «Ред ОС» и «ОСнова». До конца 2023 года перевести свои продукты на рекомендованное регулятором безопасное ядро Linux планируют разработчики операционных систем Astra Linux Special Edition, «Роса Кобальт», AlterOS, «СинтезМ», «Циркон 37К», EMIAS OS. Не исключена вероятность подключения к российской ветке ядра Linux 5.10 компании «Открытая мобильная платформа», занимающейся развитием и продвижением ОС «Аврора» для портативных устройств.

Технологический центр исследования безопасности ядра Linux создан в 2021 году на базе Института системного программирования Российской академии наук (ИСП РАН) под эгидой ФСТЭК России в целях реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Главной задачей Технологического центра является повышение уровня безопасности отечественных Linux-систем.

Партнёрами проекта выступают множество российских IT-компаний, в числе которых «Московский центр SPARC-технологий» (МЦСТ), «Ред Софт», «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), «Байкал электроникс», «Базальт СПО», «РусБИТех-Астра» и многие другие организации.

В 2020 году компания Paragon Software объявила, что намерена открыть и добавить свой драйвер NTFS в ядро Linux, что и произошло в релизе 5.15. Однако, похоже, у проекта возникли проблемы — с момента его добавления в ядро, драйвер не получал сколько-нибудь значимых обновлений, хотя в коммитах они и предлагались. Проще говоря, сопровождением и поддержкой попросту никто не занимается.

Как передаёт Phoronix, Кари Аргилландер (Kari Argillander), который ранее внёс ряд исправлений в код драйвер NTFS3 в процессе проверки, заявил, что ему не удалось связаться с командой, ответственной за развитие проекта со стороны Paragon. Судя по всему, его запрос проигнорировали, или же поддержка драйвера действительно прекращена компанией. При этом в ветке разработки Paragon последние изменения были зафиксированы в ноябре прошлого года. К слову, они до сих пор не внесены в основную ветку ядра.

paragon-software.com

Таким образом, проблемы с драйвером от Paragon могут возникнуть в любой момент. Следует отметить, что сам драйвер должен был решить давно назревший вопрос по поводу полноценной поддержки файловой системы NTFS в ядре Linux. Ранее, напомним, новый драйвер NTFS был многократно проверен разработчиками ядра, и даже на раннем этапе он демонстрировал превосходство над старой реализацией. В частности, он лучше справлялся с чтением и записью данных.

UPD 03.06.2022: компания Paragon возобновила сопровождение драйвера и прислала первые патчи для него.

Одной из проблем и в то же время достоинств Linux является поддержка многих старых архитектур процессоров. Это увеличивает размеры ядра и усложняет сопровождение. Но теперь, похоже, на одну архитектуру станет меньше. В ядре Linux 5.11, как выяснилось, оказалась нарушена поддержка Itanium IA-64.

После исправления выяснилось, что это не единственная проблема такого рода, однако истинную причину выяснить не удалось из-за отсутствия доступа к «железу». Так что Линус Торвальдс (Linus Torvalds) в итоге принял решение пометить данную архитектуру как orphaned, то есть заброшенную, и прямо заявил, что она мертва. А это первый шаг к полному исключению её из ядра, как это уже случилось с другим продуктом Intel — Xeon Phi.

Изображения: wikipedia.org

Два последних крупных игрока на рынке Itanium-систем — сама Intel и её клиент HPE — уже давно забросили поддержку этой архитектуры в Linux, да и энтузиасты к ней охладели. И это объяснимо. Последнее поколение Itanium 9700 Kittson вышло в 2017 году, а приём заказов на них прекратился год назад. Поставки формально будут свёрнуты 29 июля 2021 года, но эти CPU с высокой степенью вероятности практически никто не закупил хоть в сколько-то значимых объёмах.

Несбывшиеся надежды

В дистрибутивах же поддержку процессоров убрали давно. Red Hat не поддерживает чипы с RHEL 5, SUSE перестала поддерживать после SUSE Linux 11. Так что теперь поддержка будет осуществляться лишь теми компаниями, которые явно заинтересованы в этом. Разумеется, если такие остались. В своё время спор между Oracle и HPE подорвал репутацию платформы. Впрочем, Linux не является единственным вариантом — поддержка HP-UX, наследника классических UNIX, версии 11i v3 для ряда продуктов HPE будет осуществляться до 31 декабря 2025.

Аналогичная ситуация сложилась и вокруг SPARC c Solaris, так как большую часть разработчиков обоих продуктов Oracle уволила ещё в 2017 году. Oracle обязалась сопровождать Solaris 11 максимум до 2034 года. В частности, на днях она выпустила патч безопасности для sudo и восстановила некоторые старые материалы. Однако Solaris 12 мы вряд ли когда-либо увидим. Сейчас компании гораздо более интересны облака, Linux и Arm-процессоры Ampere.

Финальная партия Intel Xeon Phi была отгружена летом этого года, хотя сам закат продуктов на базе архитектуры MIC (Many Integrated Core) начался за несколько лет до этого. Теперь же можно сказать, что в их истории поставлена последняя точка — из основной ветки ядра Linux 5.10 поддержка этих процессоров убрана уже в rc2.

В ядре Linux поддержка MIC появилась в 2013 году, и Intel очень активно развивала её, почти втрое увеличив объём кодовой базы. Однако в последние годы развитие прекратилось и код остался фактически заброшенным. Связано это, понятное дело, с уходом ускорителей с рынка, где они не стали массовыми, проиграв конкуренцию NVIDIA как в HPC, так и в остальных сегментах.

Intel последовательно отменила выпуск следующего поколения MIC и продуктов всех прошлых поколений Xeon Phi, переключившись на создание универсальной архитектуры GPU. HPC-ускорители на её базе должны появиться в скором времени. Шине Intel Omni-Path, которая была непосредственно интегрирована в некоторые поздние модели Xeon Phi, повезло больше — после отказа Intel разработки были переданы свежесозданной Cornelis Networks.

Тем не менее, кое-какое наследие MIC в ядре всё же может сохраниться. Речь идёт подсистеме VOP (VirtIO over PCIe), которая решает некоторые проблемы виртуализации PCI Express и для устройств других вендоров. Однако в текущем она ориентирована только на поддержку продуктов и драйверов Intel, и сможет вернуться в ядро Linux лишь после доработки.