сисадмін ️️💻

Доступна СУБД MySQL 9.0.0 Компанія Oracle сформувала нову гілку СУБД MySQL 9.0.0. Складання MySQL Community Server 9.0.0 підготовлено для всіх основних дистрибутивів Linux, FreeBSD, macOS та Windows. У рамках впровадженої торік моделі формування релізів, MySQL 9.0 віднесений до гілок "Innovation", до яких також будуть віднесені такі значні релізи MySQL 9.1 та 9.2. Innovation-гілки рекомендовані для тих, хто хоче раніше отримувати доступ до нової функціональності, публікуються кожні 3 місяці і підтримуються лише до публікації наступного значного релізу (наприклад, після появи гілки 9.1 буде припинено підтримку гілки 9.0). Приблизно через рік планують сформувати LTS-реліз, який буде рекомендований для впроваджень, яким необхідна передбачуваність та тривале збереження постійної поведінки. Слідом за LTS-гілкою буде сформована нова Innovation-гілка - MySQL 10.0. https://dev.mysql.com/downloads/mysql/

Випуск Phosh 0.40, GNOME-оточення для смартфонів Опубліковано реліз Phosh 0.40, екранну оболонку для мобільних пристроїв, засновану на технологіях GNOME та бібліотеці GTK. Оточення спочатку розвивалося компанією Purism як аналог GNOME Shell для смартфону Librem 5, але потім увійшло до неофіційних проектів GNOME і використовується в postmarketOS, Mobian, деяких прошивках для пристроїв Pine64 і редакції Fedora для смартфонів. Phosh використовує композитний сервер Phoc, що працює поверх Wayland, а також власну екранну клавіатуру squeekboard. Напрацювання проекту розповсюджуються під ліцензією GPLv3+. https://phosh.mobi/releases/rel-0.40.0/

Реліз OpenSSH 9.8 з відключенням алгоритму DSA та додатковими механізмами захисту Опубліковано реліз OpenSSH 9.8, відкритої реалізації клієнта та сервера для роботи за протоколами SSH 2.0 та SFTP. Крім усунення окремо анонсованої критичної вразливості (CVE-2024-6387), що дозволяє домогтися віддаленого виконання коду з правами root на стадії до проходження аутентифікації, в новій версії виправлена ще одна менш небезпечна вразливість та запропоновано кілька суттєвих змін, націлених на зміну. Друга вразливість дозволяє обійти доданий у версії OpenSSH 9.5 захист від атак стороннім каналам, що аналізує затримки між натисканнями клавіш на клавіатурі для відтворення введення. Вразливість дозволяє відрізнити пакети, що створюють фонову активність через симуляцію фіктивних натискань клавіш від пакетів, що відправляються при натисканні реальних клавіш, що знижує ефективність механізму приховання особливостей інтерактивного введення в трафіку в ssh. Дані про натискання дозволяють використовувати атаки, що відтворюють введення на основі аналізу затримок між натисканнями при наборі тексту, які залежать від розташування клавіш на клавіатурі (наприклад, реакція при введенні літери "F" швидше, ніж при введенні "Q" або "X", так як для натискання потрібно менше рухів пальців). Крім того, з'ясувалося, що реалізований алгоритм відправлення пакетів з реальними та фіктивними натисканнями знижував надійність іншого методу захисту від атак сторонніми каналами. Починаючи з випуску OpenSSH 2.9.9, сервер відправляв пакети з фіктивними натисканнями для консольного введення в режимі echo-off, використовуваному, наприклад, при введенні паролів у su або sudo. Нова логіка відправки фіктивних пакетів дозволяла при пасивному аналізі трафіку виділяти пакети з реальними натисканнями в режимі echo-off для їхнього окремого аналізу. При цьому точність відомостей про час натискання обмежується, оскільки після набору пакети відправляються не відразу, а через фіксовані проміжки часу (за замовчуванням 20 мс). https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-July/041430.html

У KDE вирішено проблеми з продуктивністю KWin на старому обладнанні Нейт Грем (Nate Graham), розробник, який займається контролем якості в проекті KDE, опублікував черговий звіт про розробку KDE. З цікавих змін можна відзначити проведення роботи з усунення в композитному менеджері проблем, які призводять під час використання сеансу на базі Wayland до зниження продуктивності на старому устаткуванні з GPU Intel. Виправлення, що усуває просідання продуктивності при використанні потрійної буферизації, включено до складу коректуючого випуску KDE Plasma 6.1.1. Крім того, у KWin забезпечено автоматичний перехід на програмне відтворення на системах зі старими GPU, на яких не підтримуються необхідні операції OpenGL. Підвищена надійність роботи KWin з пристроями, що інтенсивно генерують події введення (наприклад, раніше могли спостерігатися зависання або аварійні завершення при швидкому русі деякими ігровими мишами). На системах зі стилусом реалізовано підтримку переміщення вікон із захопленням за порожню область. Додана, налаштування, що дозволяє при включенні в KWin ефекту "Hide Cursor" приховувати курсор тільки під час набору тексту і повертати його при неактивності. https://pointieststick.com/2024/06/28/this-week-in-kde-everything-i-think/

У KDE вирішено проблеми з продуктивністю KWin на старому обладнанні Нейт Грем (Nate Graham), розробник, який займається контролем якості в проекті KDE, опублікував черговий звіт про розробку KDE. З цікавих змін можна відзначити проведення роботи з усунення в композитному менеджері проблем, які призводять під час використання сеансу на базі Wayland до зниження продуктивності на старому устаткуванні з GPU Intel. Виправлення, що усуває просідання продуктивності при використанні потрійної буферизації, включено до складу коректуючого випуску KDE Plasma 6.1.1. Крім того, у KWin забезпечено автоматичний перехід на програмне відтворення на системах зі старими GPU, на яких не підтримуються необхідні операції OpenGL.

Критична вразливість у GitLab Опубліковано коригувальні оновлення платформи для організації спільної розробки - GitLab 17.1.2, 17.0.4 та 16.11.6, у яких усунуто 6 уразливостей. Однією із проблем (CVE-2024-6385) надано критичний рівень небезпеки. Як і вразливість, усунена минулого місяця, нова проблема дозволяє запустити роботи в конвеєрі безперервної інтеграції (pipeline jobs) під довільним користувачем. Виконання своєї роботи в контексті іншого користувача дозволяє атакуючому отримати доступ до внутрішніх репозиторій та закритих проектів цього користувача. Відомості про вразливість передані в GitLab в рамках програми виплати винагород, що діє на HackerOne, за виявлення вразливостей. Детальну інформацію про вразливість планують розкрити за 30 днів після публікації виправлення. https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/

Zotac помилково вивантажили у відкритий доступ файли з даними клієнтів Виробник комп'ютерних пристроїв Zotac випадково вивантажив у відкритий доступ до хмар Google файли з даними клієнтів, які ремонтували або змінювали пристрої компанії за програмою RMA. У Zotac пояснили, що інцидент із витоком даних клієнтів стався через помилку в роботі системи управління файлами системи повернення неякісних або несправних виробів виробнику для ремонту або обміну (RMA) . Фактично файли клієнтів Zotac були доступні деякий час у пошуку Google на запит Zotac RMA. У цих файлах знаходилася різна конфіденційна інформація про рахунки та дані щодо бізнес-партнерів Zotac. https://wccftech.com/zotac-mismanages-customer-rma-files-personal-information-b2b-transactions/

Windows 10 отримає ще п'ять років підтримки та оновлень, але Microsoft тут ні до чого Компанія Acros Security стоїть за сервісом мікропатчів 0Patch, призначеного для забезпечення безпеки програмного забезпечення. Через сервіс 0Patch планується надавати оновлення безпеки для Windows 10, як мінімум, протягом п'яти років після офіційного закінчення терміну її служби. А термін припинення підтримки Windows 10 – 14 жовтня 2025 року. 0patch вже не вперше забезпечує оновлення безпеки для продуктів, що нині не підтримуються. Вони, як і раніше, пропонують апдейти для Windows 7 і Server 2008, продуктів Microsoft Office та багато іншого. https://www.neowin.net/news/windows-10-will-get-five-years-of-additional-support-thanks-to-0patch/

VR-гарнітуру Quest заразили здирницьким шкодоносом ІБ-дослідник показав атаку та спосіб доставки будь-якого шкідливого ПЗ на гарнітуру Quest 3. Як демонстрацію та proof-of-concept він заразив свій пристрій здирником CovidLock. Простий пошук у Google показав, що пристрій використовує обмежену версію Android Open Source Project. "Це означало, що я можу встановлювати будь-які APK-файли так само, як програми на Android-смартфон", - пояснює фахівець. Далі використовував популярну програму з App Lab для доступу до нативного файлового менеджера Android. Саме цим способом і скористався дослідник для встановлення CovidLock на Quest 3. https://www.linkedin.com/posts/harish-santhanalakshmi-ganesan-31ba96171_worlds-first-ransomware-attack-on-meta-quest-activity-7210773551132332032-piJO

До складу DXVK додано підтримку Direct3D 8 До складу прошарку DXVK, що надає реалізацію графічного API Direct3D 9, 10 і 11, що працює через трансляцію викликів API Vulkan, інтегровані напрацювання проекту D8VK, що забезпечує трансляцію Direct3D 8 API Vulkan. Всі пов'язані з проектом D8VK розробки тепер будуть вестися у складі кодової бази DXVK, в якій D8VK оформлений у вигляді бекенда для Direct3D 8. дозволила досягти більш високої продуктивності, стабільності та сумісності з іграми. Наприклад, при тестуванні в пакеті 3DMark 2001 SE проект D8VK набирав 144660 балів, у той час як зв'язка d3d8to9+DXVK - 118033, а WineD3D - 97134. Розробниками протестована підтримка більше 200 ігор з них: Elder Scrolls III: Morrowind, Freelancer, Postal 2, Warcraft III, Another World 15, Need for Speed: High Stakes, Need for Speed III: Hot Pursuit, Red Faction II, Max Payne 2, Unreal II: The Awakening, Silent Hill 3 . https://github.com/doitsujin/dxvk