Kiddy – модуль для ядра Linux, разработанный с целью снижения рисков эксплуатации (некоторых) уязвимостей ядра.

В основе механизма защиты, реализованного в данном модуле, лежит простая идея, которая заключается в том, что в процессе атаки так или иначе происходит идентификация объекта атаки. Поэтому, если затруднить такую идентификацию, можно кратно повысить сложность эксплуатации, т.к. во множестве случаев готовые эксплойты содержат в себе таблицы различного рода смещений (оффсетов), соответствующих целевым версиям ядра.

Например, вот как это сделано для CVE-2017-1000112. Там же можно видеть, что идентификация версии ядра осуществляется с использованием uname.

Разработанный модуль является простым в реализации и позволяет:

• менять идентификацию ядра;
• ограничивать доступ к журналу ядра (dmesg);
• ограничивать доступ к некоторым файлам в /proc, также содержащим идентифицирующую информацию;
• ограничивать доступ к файлам и папкам, потенциально содержащим идентифицирующую информацию;
• менять идентификацию версии ядра, доступную через vDSO.

В процессе сборки модуль позволяет использовать т.н. «пресеты», реализующие различную логику изменения идентификации. Например, используя пресет «windows» можно получить следующее поведение:

До загрузки модуля

$ ./misc/id.sh
** UNAME identidty leaks
 - uname -r
   2.6.32-754.35.1.el6.x86_64
 - uname -v
   #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - uname -a
   Linux localhost.localdomain 2.6.32-754.35.1.el6.x86_64 #1 SMP Sat Nov 7 12:42:14 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
** PROCFS identidty leaks
 - /proc/cmdline
   ro root=/dev/mapper/VolGroup00-LogVol00 rd_NO_LUKS no_timer_check console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16  rd_LVM_LV=VolGroup00/LogVol01 rd_LVM_LV=VolGroup00/LogVol00  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet
 - /proc/version
   Linux version 2.6.32-754.35.1.el6.x86_64 (mockbuild@x86-02.bsys.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) ) #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - /proc/sys/kernel/version
   #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - /proc/sys/kernel/osrelease
   2.6.32-754.35.1.el6.x86_64
which: no hostnamectl in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin)

После загрузки модуля

$ ./misc/id.sh
** UNAME identidty leaks
 - uname -r
   Windows
 - uname -v
   NT 4.0
 - uname -a
   Linux localhost.localdomain Windows NT 4.0 x86_64 x86_64 x86_64 GNU/Linux
** PROCFS identidty leaks
 - /proc/cmdline
   \EFI\Microsoft\Boot\bootmgfw.efi
 - /proc/version
   Windows NT 4.0
 - /proc/sys/kernel/version
   NT 4.0
 - /proc/sys/kernel/osrelease
   Windows
which: no hostnamectl in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin)

Скрипт-кидди не пройдут!

>>> Подробности

В преддверии выпуска Linux Kernel 6.9, Давид Стерба из компании SUSE представил обновления для файловой системы Btrfs, которые включают в себя не только улучшение стабильности и исправление ошибок, но и оптимизацию производительности.

Нововведения в производительности Btrfs

Среди ключевых оптимизаций производительности Btrfs в Linux 6.9, Стерба выделяет следующие улучшения:

• Ускорение логирования: незначительное ускорение ведения журнала, когда повторно выделяемая структура предварительно выделяется только один раз, что уменьшает задержку и уменьшает конфликт блокировок.

• Повышение пропускной способности: незначительное увеличение пропускной способности (+6%), уменьшение конфликтов блокировок после очистки битов отложенного выделения, применимо к нескольким распространённым типам рабочих нагрузок.

• Пропуск полного пересчета квот: Если в той же транзакции добавляется новая связь, то полный пересчет квот может быть пропущен.

Эти оптимизации не только улучшают общую производительность Btrfs, но и делают её использование более эффективным в различных сценариях работы.

Дополнительные улучшения BTRFS

В дополнение к упомянутым оптимизациям, Btrfs в Linux 6.9 получит исправление для сжатия Zstd, улучшения в отладочном коде, повышение качества обработки ошибок, подготовку к более детальному разделению блокировок секторов и рефакторинг кода. Все эти изменения направлены на усиление стабильности, безопасности и производительности файловой системы.

>>> Подробности

На днях Линус Торвальдс объявил о выходе ядра Linux 6.8.

Основные изменения:

• Новый драйвер DRM (Direct Rendering Manager) для GPU Intel Xe.
• Улучшении драйвера P-State для процессоров Meteor Lake.
• Добавлена поддержка звука на Arrow Lake и поддержка Thunderbolt/USB4 для Lunar Lake.
• Добавлен драйвер P-State Preferred Core.
• Реализована поддержка будущих чипов Zen 5 и графики RDNA 4.
• Осуществлен переход с FreeSync на VRR.
• Добавлена поддержка Raspberry Pi 5 в драйвер V3D DRM.
• Реализована начальная поддержка семейства мобильных чипов Qualcomm Snapdragon 8 Gen 3.

( читать дальше... )

>>> Подробности

Вышло ядро Linux 6.7. Как известно, основным изменением в данной версии является новая файловая система — bcachefs.

( читать дальше... )

>>> Подробности

10 января была окончательно завершена поддержка ядра Linux 4.14 LTS, о чём через рассылку сообщил сопровождающий разработчик стабильной ветки ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman):

«Я объявляю о выпуске ядра 4.14.336. Это ПОСЛЕДНЕЕ выпущенное ядро 4.14.y. Сейчас его срок официально истек. НЕ используйте больше эту версию ядра, пожалуйста, перейдите на более новую версию, как показано на странице выпусков kernel.org. Все пользователи ядра серии 4.14 должны выполнить обновление. Но затем перейдите к более новой версии. Если вы застряли на этой версии из-за того, что ее требует поставщик, обратитесь к этому поставщику за поддержкой по этому устаревшему дереву ядра, поскольку именно за это вы им платите:)»

В финальную версию ядра вошло всего несколько исправлений ошибок.

Ядра, которые на данный момент по-прежнему поддерживаются исходными версиями Linux в рамках долгосрочной серии - это Linux 4.19, 5.4, 5.10, 5.15, 6.1 и совсем недавно 6.6 в качестве ядра LTS 2023 года. Срок службы Linux 4.19 закончится в конце этого года, версии 5.4 EOL в 2025 году, а остальных в конце 2026 года в рамках сокращения продолжительности долгосрочной поддержки.

>>> Официальное сообщение о прекращении поддержки.

Грег Кроа-Хартман, очевидно не страдающий гексакосиойгексеконтагексафобией, анонсировал выход ядра Linux с мистическим номером 6.6.6.

Изменение ровно одно - откат исправления ошибки, связанной с подсистемой драйвера cfg80211 (конфигурация API беспроводных соединений стандарта 802.11), которое привело к серии регрессий из-за одного потерянного коммита.

>>> Подробности

10 декабря в рассылке разработчиков ядра Linux Кристианом Чокальтеа (Cristian Ciocaltea) из Collabora был разослал набор из 11 патчей для улучшения поддержки Sound Open Firmware (SOF) под недавно выпущенную модель Steam Deck OLED. В случае удачно проведённых работ по интеграции, патчи будут включены в ядро Linux начиная с версии 6.8.

>>> Подробности в рассылке разработчиков ядра.

Из-за проблемного патча, перенесенного обратно из Linux 6.5 в 6.1, вызывающего помехи между кодом Ext4 и iomap, существует вероятность повреждения данных в старых ядрах - особенно в последних точечных выпусках Linux 6.1 LTS, которые в настоящее время можно найти в таких дистрибутивах, как Debian 12.

В возможной ошибке повреждения данных файловой системы EXT4, которая встречается в подобных версиях Linux 6.1.64 и 6.1.55, обвиняют «тонкое взаимодействие» (subtle interaction) между iomap и Ext4. Новая версия Linux 6.1.66 уже исправляет выявленный баг.

>>> Подробности в рассылке разработчиков ядра.

На прошедших выходных, 21-22 октября, на базе «СберУниверситета» состоялся финал конкурса по системному программированию операционных систем на базе Linux. Конкурс призван популяризировать использование и развитие открытых системных компонентов, являющихся основой для операционных систем на базе компонентов GNU и Linux Kernel. Соревнование проходило с использованием Linux-дистрибутива OpenScaler.

Организаторами конкурса выступили российский разработчик программного обеспечения «СберТех» (цифровая облачная платформа Platform V), АНО «Центр развития инновационных технологий «ИТ-Планета» и российское открытое сообщество разработчиков OpenScaler. Соревнование прошло при поддержке компании «Скала^р» — разработчика и производителя модульной платформы для высоконагруженных информационных систем. Компания выполняет роль технологического контрибьютора для рынка корпоративной ИТ-инфраструктуры и поддерживает инициативы, которые содействуют усилению кадрового потенциала и инновационного развития страны.

Всего для участия в конкурсе зарегистрировались более 1200 дипломированных специалистов и студентов из России старше 18 лет. Во время отборочных этапов участники проверяли свои теоретические и практические знания в системном программировании для операционных систем на базе Linux-дистрибутива OpenScaler. 15 участников, показавших лучшие результаты на отборочных этапах, были приглашены в финал соревнований.

Финал проходил в очном формате в течение двух дней. Финалисты решали задачи по системному программированию.

Победителями стали:

1 место — Кириллов Григорий Евгеньевич, Балтийский государственный технический университет «ВОЕНМЕХ» им. Д.Ф. Устинова, г. Санкт-Петербург.

2 место — Атнагузин Кирилл Андреевич, Марийский радиомеханический техникум, Республика Марий Эл.

3 место — Семичастнов Константин Владиславович, Национальный исследовательский университет «Московский институт электронной техники», г. Москва.

Победители получили денежные призы, а все участники — сертификаты, фирменные сувениры и уникальный опыт общения с экспертами и друг с другом.

Все подробности о конкурсе, включая информацию о призах и результаты финала, можно найти на официальном сайте конкурса.

Open OS Challenge 2023 останется ярким событием в истории поддержки и развития IT-специалистов России. «СберТех», ИТ-Планета, сообщество разработчиков OpenScaler и «Скала^р» благодарят всех участников и партнеров, сделавших этот конкурс возможным.

>>> Подробности

Loongson готовит мир к своим новым процессорам. Компания выпустила патчи для Linux, внедряющие поддержку ряда функций чипа 3A6000, релиз которого ожидается в ближайшие недели.

( читать дальше... )

>>> Подробности (CNews)

В институте системного программирования Российской академии наук (ИСП РАН) создали консорциум, который будет исследовать безопасность ядра Linux и развивать его российскую ветку. Новая структура будет работать на базе созданного ранее Технологического центра исследования безопасности ядра Linux.

( читать дальше... )

>>> Подробности

13 апреля Эдуардо Вела Нава, специалист из группы реагирования на безопасность продуктов Google, сообщил о новой уязвимости в ядре Linux 6.2, связанной с принципом работы уязвимости Spectre. О недостатке безопасности средней степени 31 декабря 2022 года специалисты сообщили в первую очередь поставщикам облачных услуг. 27 февраля 2023 года уязвимость уже была исправлена.

( читать дальше... )

>>> Подробности

В этом году Microsoft выложила обширную документацию по работе с системами WSL (WSL2), включая установку, настройку и разработку. Большинство статей датируется январём этого года. В подборку также включены ранее записанные видеокурсы.

Документация включает описание различий WSL и WSL2, список команд среды, способы установки наиболее часто используемых в данной среде дистрибутивов Linux (Ubuntu, Alpine), работу с VS Code и Git и многое другое, необходимое для разработчика и администратора системы.

Ядро Linux, модифицированное для WSL2, является проектом с открытым кодом (GPL 2 с исключением syscall).

https://github.com/microsoft/WSL2-Linux-Kernel

>>> Подробности

Сегодня, 28 декабря, очередной День рождения создателя ядра Linux Линуса Бенедикта Торвальдса.

История Linux началась с патчей для ОС Minix, выросших в целую ОС, первую версию которой автор выложил на ftp.funet.fi. С тех пор прошло уже больше 30 лет, усилия в развитие системы вложило множество частных лиц и целых корпораций. Сам Линус писал, что он, подобно Исааку Ньютону, стоял на плечах гигантов, использовав компилятор GCC и другое свободное ПО. Тем не менее, вклад Линуса в развитие свободного ПО трудно переоценить.

По ссылке — книга самого Линуса, в которой можно почитать про Рождение Ядра, полемику с Эндрю Таненбаумом, критику Sun и Java, размышление о будущем СПО и другие любопытные вещи.

С Днём рождения!

>>> Книга Just For Fun, русский перевод Натальи Шаховой (PDF)

В выпуске Fedora 38 предложено реализовать первую стадию перехода на модернизированный процесс загрузки, ранее предложенный Леннартом Поттерингом для организации полноценной верифицированной загрузки, охватывающей все этапы от прошивки до пространства пользователя, а не только ядра и загрузчика. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

( читать дальше... )

>>> Подробности (OpenNet)

Линус Торвальдс после двух месяцев разработки выпустил стабильную версию ядра Linux версии 6.1.

В новой мажорной версии ядра с кодовым названием «Hurr durr I’ma ninja sloth» представлена экспериментальная (но пока очень базовая и неприменимая в реальных случаях использования) поддержка языка программирования Rust для разработки модулей и драйверов.

( читать дальше... )

Окончательно удалена поддержка a.out.

>>> Подробности

Исследователь Sönke Huster из Технического университета Дармштадта опубликовал подробности о 5 уязвимостях в стеке Wi-Fi ядра Linux (mac80211), эксплуатируемых «по воздуху». Три из уязвимостей гипотетически позволяют удалённое исполнение кода (RCE); две другие представляют собой атаки типа «отказ в обслуживании» (DoS).

В основе всех пяти уязвимостей лежит неправильная работа с памятью (переполнения буфера, use-after-free или разыменование нулевых указателей). Для эксплуатации уязвимостей достаточно отправить специальным образом сформированные фреймы Wi-Fi.

Уязвимостям присвоены номера CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722.

Утверждается, что уязвимости (по крайней мере, некоторые из них) были добавлены в первом квартале 2019 года. Уязвимы все версии Linux, начиная с 5.1 или 5.2.

>>> Подробности

Согласно отчету Phoronix, ядро Linux версии 5.19.12 повреждает дисплеи ноутбуков с графикой от Intel.

Проблема связана с ошибкой графического драйвера, которая вызывает нежелательные задержки в последовательности подачи питания на самом дисплее, что может физически повредить ЖК-панели на ноутбуках с видеокартами от Intel. Согласно сообщениям пользователей, проблема вызывает белые вспышки на экране.

Пользователи начали сообщать о проблемах с отображением «белого мигания», причем один пользователь описал это как «дисплей ноутбука начинает мигать, как огни на рейв-вечеринке 90-х».

( читать дальше... )

При этом все ноутбуки на базе AMD с графикой от AMD или APU не затронуты.

>>> Подробности

Линус Торвальдс после двух месяцев разработки выпустил стабильную версию ядра Linux версии 6.0.

В новой мажорной версии ядра — заметное увеличение производительности процессоров Intel Ice Lake, AMD Threadripper и EPYC благодаря изменениям планировщика, а также настройкам энергопотребления ядра. Добавлена поддержка процессоров Intel Sapphire Rapids (Xeon 4-го поколения) и Raptor Lake (Core 13 поколения).

AMD добавила в ядерный графический драйвер поддержку RDNA 3 GPU (RX 7000), выпустила новый аудиодрайвер для платформы Raphael (Ryzen 7000) и улучшила поддержку звука на системах Jadeite. Также была исправлена проблема с клавиатурой на ноутбуках с процессорами Ryzen 6000.

Архитектуры OpenRISC и LoongArch обзавелись поддержкой шины PCI, RISC-V расширяет возможности управления кэша с помощью новых расширений, в т.ч. «Zicbom».

Появилась начальная поддержка процессора Qualcomm Snapdragon 8cx Gen3 (который используется, например, Lenovo ThinkPad X13s).

Системы, используемые Linux-энтузиастами (такие как TUXEDO и Clevo) ранее имели проблемы с сенсорными панелями и клавиатурой после выхода из спящего режима.

Добавлена поддержка планшета для рисования XP-PEN Deco L, различных датчиков на материнских платах AMD, включая Sensor Fusion Hub в новых ноутбуках на процессорах Ryzen и шины Thunderbolt на Intel Raptor Lake.

Исправлено небольшое падение производительности на системах с процессорами AMD Zen, добавленное 20 лет назад как обход аппаратных проблем в некоторых чипсетах.

В драйвер drm/v3d (отвечающий за Broadcom V3D Graphics Driver) добавлена поддержка Raspberry Pi 4.

Удалена опция сборки ядра с оптимизацией -O3.

>>> Подробности

Создатель ядра Linux и координатор его разработки Линус Торвальдс объявил на Kernel Maintainers Summit, что в Linux 6.1 будет доступно программирование модулей на Rust — «если не произойдёт ничего незапланированного».

Причиной включения Rust в ядро Торвальдс назвал более высокую безопасность языка (за счёт снижения числа ошибок работы с памятью) и его привлекательность для молодых разработчиков:

Rust - это одна из тех вещей, которые, как я думаю, привлекут новые лица… мы стареем и седеем…

Также опубликована начальная реализация драйвера rust-e1000 для Ethernet-адаптеров Intel. А компания Western Digital разрабатывает на Rust драйвер для NVMe-накопителей. Хотя драйвер ещё не оптимизирован, он не отстаёт в производительности от имеющегося ядерного драйвера на языке Си.

>>> Подробности