Дата публикации:Sat, 04 Jan 2025 20:38:58 +0300
Итоговая подборка наиболее важных и заметных событий 2024 года, связанных с открытыми проектами и информационной безопасностью:
- Конфликты: Кризис в проекте NixOS. Исключение Сонни Пирса из совета директоров GfNOME Foundation. Временное отстранение автора BсacheFS и его критика Линусом Торвальдсом. Отстранение одного из ключевых разработчиков Python. Конфликт WordPress c WP Engine, доросший до подмены плагина ACF. Нападки Malibal на CoreBoot. Жалоба
Европейскому регулятору на Mozilla. Блокировка uBlock Origin Lite. Ребрендинг Apache из-за индейцев.
Санкции и блокировки: Исключение 11 мэйнтейнеров ядра Linux. Отказ Spring принимать изменения от разработчиков из РФ. Выполнение Mozilla требований роскомнадзора, последующая отмена блокировки и штраф. Временная блокировка РФ в Docker Hub. Закрытие доступа РФ к репозиториям OpenTofu. Ошибочная блокировка OpenXRay на GitHub. Блокировка в GitLab браузерного дополнения BPC.
Форки: FreeNginx - форк Nginx, Valkey и Redict - форки СУБД Redis, Flock - форк Flutter, Apache Cloudberry - форк СУБД Greenplum. Первый выпуск OpenTofu, форка Terraform. Переход OpenSearch, форка Elasticsearch, в Linux Foundation.
Поглощения, объединения и совместные проекты: Microsoft передал Mono сообществу Wine. IBM покупает HashiCorp. Mozilla поглотила компанию Anonym. Объединение Tor и Tails. Реструктуризация OpenSSL и объединение с библиотеками Bouncy Castle и Cryptlib. Инициатива по развитию архитектуры x86.
Патенты и авторские права: Нападки Nintendo на проекты, развивающие эмуляторы приставок: Yuzu, Suyu, Ryujinx, форки Yuzu. Инициативой OS Zone аннулированы 54 патента. Удаление части кода ZLUDA по требованию AMD. HDMI Forum не позволил реализовать HDMI 2.1 в открытых драйверах.
Законы и правила: Возможность блокировки разработчиков ядра Linux, нарушающих кодекс поведения. FCC вернул правила сетевого нейтралитета. Правила использования товарных знаков Rust. NetBSD и Gentoo запретили использование кода, сгенерированного AI-системами. GitHub запретил размещение проектов для создания дипфейков.
Лицензии: Черновик лицензии Post-Open. Переход СУБД Redis, CockroachDB и ScyllaDB на проприетарную лицензию. Возвращение Elasticsearch на открытую лицензию. Прекращение разработки СУБД Greenplum как открытого продукта. Смена лицензии Zabbix с GPLv2 на AGPLv3, Forgejo c MIT на GPLv3, OpenVPN c GPLv2 на GPLv2 с исключениями. Лицензионные проблемы с драйверами Tuxedo.
Публикация исходного кода Winamp. Нарушение лицензии GPL в коде Winamp. Удаление кода Winamp.
Введение определения открытой AI-системы и инициатива по его отмене. Рейтинг открытости генеративных AI-моделей.
Платформы разработки и каталоги приложений: Полное отделение Forgejo от Gitea. Переход Fedora на Forgejo. GitVerse от СберТех. P2P-платформа Radicle 1.0. Хостинг Git-репозиториев Game of Trees Hub. Обязательная двухфакторная аутентификация и новая система проверки подлинности пакетов в PyPI. 2 миллиарда загрузок и миллион пользователей во Flathub.
Языки программирования и компиляторы: GCC 14, LLVM 18/19, Java SE 22/23, Go 1.22/1.23, .NET 9, Perl 5.40, Julia 1.11, PHP 8.4, Ruby 3.4, V 0.4.8, Snek 1.10, Tcl/Tk 9.0, Swift 6.0, Clojure 1.12, Mojo 24.3.
Новые языки и компиляторы: Borgo (сочетает лучшие черты Go и Rust). TrapC (Си-подобный язык, безопасно работающий с памятью). Hare (близкий к Си язык от создателя Sway). Pkl (язык для определения конфигурации). Vcc - C/C++ компилятор для Vulkan. Bend - язык для параллельных вычислений на GPU.
Средства разработки: Meson 1.6, Automake 1.17, GNU Mes 0.27. Gittuf для криптографической защиты репозиториев Git. Среда разработки Eclipse Theia. Открыт редактор кода Zed.
Python: Python сместил JavaScript с 1 места в рейтинге GitHub. Встроен JIT-компилятор. Python 3.13. NumPy 2.0.0. Компилятор Nuitka 2.0.
Безопасное программирование: Продвижение в C++ механизмов безопасной работы с памятью. Стратегия для снижения уязвимостей в Android. Fil-C - компилятор для безопасной работы с памятью в C/C++. Оценка эффективности применения MiraclePtr в С++. Hyperlight - гипервизор для изоляции отдельных функций.
Rust: AI-транслятор для переписывания Си-кода на Rust. Консорциум для разработки высоконадёжных систем на Rust. Анализ использования unsafe в Rust-пакетах. Верификация стандартной библиотеки Rust. Улучшение переносимости между С++ и Rust.
Системные компоненты: systemd 256/257, Glibc 2.39/2.40, GNU Shepherd 1.0.0. Сокращение зависимостей у libsystemd.
run0 - интегрированная в systemd замена sudo. Порт systemd на базе Musl.
Аппаратное обеспечение: Маршрутизатор OpenWrt One. Новые платы Raspberry Pi: Pico 2, Compute Module 5, Pico 2 W, 500, Monitor, Media Center. AI-ассистент Home Assistant Voice. Vortex 2.2 (открытый GPGPU на базе RISC-V). Создание открытого процессора, совместимого с Z80. FuryGpu - GPU на базе FPGA. PiDP-10 (клон мэйнфрейма PDP-10). Первый чип на платформе OpenTitan.
Прошивки: Участие Intel в разработке CoreBoot. Инструментарий fwupd 2.0.0. Модификация прошивок для чипов TI CC13XX и CC26XX.
Сетевая инфраструктура: Инициатива по использованию по умолчанию TCP_NODELAY (реализовано в OpenBSD). Tesla открыла протокол TTPoE. Доля мусорного трафика возросла до 6.8%. free5GC для построения опорной сети 5G. Прекращение поддержки протокола OCSP в Let's Encrypt. Фреймворк Pingora от Cloudflare. Система конфигурации Netplan 1.0. Cетевой стек F-Stack 1.24. hostapd/wpa_supplicant 2.11 с поддержкой Wi-Fi 7.
Стандарты: С23. Vulkan 1.4. POSIX 1003.1-2024. Стандартизация BPF. OpenMP 6.0. Стандартизация алгоритмов постквантового шифрования. RFC для звукового кодека FLAC.
Механизмы защиты: OpenPaX (аналог Grsecurity/PaX). Система управления доступом IPE.
Новые ОС и дистрибутивы: KDE развивает собственный дистрибутив. ALDOS - вариант Fedora без systemd. Ядра Asterinas и Maestro, написанные на Rust и частично совместимые с Linux. Apertis - дистрибутив для электронных устройств от Collabora. Chimera - ядро Linux с окружением FreeBSD. Red Hat Enterprise Linux AI. Fedora Atomic Desktops. Serpent OS. AlmaLinux Kitten. Атамарно-обновляемый вариант Manjaro. Selectel OS. TileOS.
Обновления дистрибутивов и ОС: Ubuntu 24.04/24.10, Ubuntu Core 24, CentOS Stream 10, Red Hat Enterprise Linux 10-beta/9.5/9.4, Fedora 40/41, openSUSE Leap 15.6, SUSE Linux Enterprise 15 SP6, openSUSE Leap Micro 6, elementary OS 8, Whonix 17.2, Linux Mint 22, Azure Linux 3.0, Proxmox VE 8.3, Tails 6, Alpine 3.21, Armbian 24.11, NixOS 24.11, Vanilla OS 2, Blend OS 4, Endless OS 6.0, LibreELEC 12.0, Manjaro 24.0, OpenMediaVault 7.0, Redox OS 0.9, Haiku R1-beta5, OpenIndiana 2024.04.
Изменения в дистрибутивах: Превращение GNOME OS в дистрибутив для обычных пользователей и переход на атомарные обновления. Arch Linux (порт для RISC-V, участие Valve). Fedora (удаление сеанса X11, переход на DNF5, AI-инструменты, инсталлятор на основе web-интерфейса, статус базовой редакции для KDE). Изменение в подготовке промежуточных выпусков RHEL. OpenSUSE (переход на платформу SLFO/ALP, инсталлятор Agama, повторяемые сборки, прекращение использования бренда SUSE). Свежие ядра в Ubuntu.
OpenStreetMap перешёл с Ubuntu на Debian. LinkedIn перешёл с CentOS на Azure Linux.
Real-time ОС: RISC OS 5.30. RT-Thread 5.1. Поддержка Realtime-режима в ядре Linux. Возможность бесплатного использования QNX 8.0.
BSD: FreeBSD 14.2, NetBSD 10, OpenBSD 7.6. ravynOS (редакция FreeBSD в стиле macOS). NixBSD (NixOS с ядром из FreeBSD). Обсуждение использования Rust во FreeBSD. Улучшение поддержки ноутбуков во FreeBSD. Новый цикл подготовки релизов FreeBSD. Графический инсталлятор для FreeBSD. SmolBSD (создание микро-сборок NetBSD).
Мобильные платформы: Android 15/16-pre, LineageOS 22, KDE Plasma Mobile 6, Phosh 0.44, webOS 2.27, Ubuntu Touch OTA-7 Focal, Bliss OS, postmarketOS 24.12, /e/OS 2.6. Экосистема открытых мобильных приложений Mobifree. Сборки postmarketOS на базе systemd. Порт Tizen для RISC-V. Droidian - вариант Debian для смартфонов.
Поддержка деструктивного PIN-кода в GrapheneOS.
Перевод Chrome OS на платформу Android. Поддержка Linux-приложений в Android. MicroFuchsia для виртуальных машин в Android.
Управление пакетами: Переход OpenWrt на пакетный менеджер APK. Pacstall (аналог AUR для Ubuntu). GNU Mes 0.27. Начало разработки RPM 6. Aura 4.0.0. Pacman 7.0. GNU Stow 2.4. Тестовые выпуски APT 3.0. Модернизация управления пакетами в Arch Linux.
Новые пользовательские окружения: Miracle, альфа-тестирование COSMIC, KDE 6, Theseus Ship (бывший KWinFT).
Обновление пользовательских окружений: Xfce 4.20, GNOME 46/47, KDE Plasma 6.0/6.1/6.2, KDE Gear 24.12, MATE 1.28, LXQt 2.1.0, Cinnamon 6.4, Trinity R14.1.3], MaXX Interactive Desktop 2.2, Sway 1.10, Budgie 10.9, Regolith 3.1. Цели KDE на два года. План GNOME на 5 лет. 40 лет X Window System.
Обновление композитных серверов:
labwc 0.8.0,
Hyprland 0.46, Niri 0.1.10, Cage 0.2, Weston 14.0, Wayfire 0.9.
GUI: GTK 4.41/4.16, Qt 6.7/6.8, IGL 1.0. FLTK 1.4.0 с поддержкой Wayland. Ardour продолжил разработку ответвления GTK2. PortableGL 0.98 (реализация OpenGL 3 на языке Си).
Новые движки для OpenGL и Vulkan в GTK. Louvre для разработки композитных серверов. Разработка SDL3.
GPU: Mesa 24.0/24.1/24.2/24.3. В DXVK добавлена поддержка Direct3D 8. Перевод драйверов NVIDIA на открытые модули ядра. Открытая реализация vGPU от NVIDIA. Проект LibreCUDA. AMD опубликовал документацию к GPU RDNA 3.5.
Продвижение Wayland: Wayland 1.23. Возможность сборки GNOME только с Wayland. Поддержка Wayland в драйверах NVIDIA. Raspberry Pi OS перешёл на Wayland. Проект Frog для продвижения новых протоколов Wayland. Экспериментальные протоколы Wayland.
Драйверы: Nova (новый открытый драйвер для GPU NVIDIA с GSP-прошивками). embedded-hal (создание драйверов на Rust). Улучшение драйверов NVK и Zink. EXT2 на Rust. Honeykrisp (Vulkan-драйвер для чипа Apple M1). Готовность драйвера panthor для 10 поколения GPU Mali. AMD открыл драйвер для NPU с движком XDNA.
Мультимедия: Открытый стек для камер MIPI. FFmpeg 7.0/7.1, PipeWire 1.2.0, PulseAudio 17.0, OBS Studio 31.0, Kodi 21, MythTV 34. Звуковая рабочая станция Zrythm 1.0.0. Платформа управления радиостанциями Rivendell.
Кодеки: Звуковые кодеки TSAC и Opus 1.5. Декодировщик xHE-AAC от FFMpeg. jpegli - кодировщик и декодировщик JPEG от Google. Поддержка JPEG XL в Samsung.
Графика: Приближение к релизу GIMP 3.0. Inkscape 1.4, Darktable 5.0, RawTherapee 5.10
Моделирование и 3D: Blender 4.3, FreeCAD 1.0, CadZinho 0.6, KiCad 8.0.
Открыт код Google Blocks.
Программа 3D-визуализации OSPRay Studio 1.0 и движок 3D-рендеринга OSPRay 3.1. 3D-модель острова Caldera.
Игры: Бета-версия NauEngine от VK, Godot 4.3, Open 3D Engine 24.09, Dagor Engine 24.12. Инструментарий для запуска Windos-игр от Asahi. Lakka 5.0. Proton 9.0. Wine 9.0. Minetest переименован в Luanti. Открыт код игры Descent 3. Проект SteamFork. Поддержка ASUS ROG Ally в SteamOS.
Новые открытые проекты: Открыт код эмулятора Mikage. Microsoft открыл код хранилища Garnet. Valve открыла код Steam Audio. NVIDIA передала язык шейдеров Slang консорциуму Khronos. Открытие Bitwarden SDK.
СУБД: PostgreSQL 17, MySQL 8.4/9.0/9.1, MariaDB 11.4, Valkey 8.0, Redis 7.4, DuckDB 1.0, IvorySQL 4.0, SynchDB 1.0, EdgeDB 5.0, Firebird 5.0.
Web: Node.js 23/24 с поддержкой TypeScript. Deno 2.0. Поддержка кода на языке Си в JavaScript-платформе Bun. Wasmer 5. Тест Speedometer 3.0.
Браузеры: Tor Browser 14.0, FixBrowser
Wolvic на движке Chromium.
25 лет Dillo.
Verso и Servo-the-browser на движке Servo. Servo прошёл тесты Acid2. Форсирование разработки браузера Ladybird и решение использовать в нём язык Swift.
Mozilla: Платформа показа рекламы. Отказ от сотрудничества с Onerep. Свёрнут проект MLS (Mozilla Location Service). Решение не прекращать поддержку второй версии манифеста Chrome. Смена руководства. Зимнее и осеннее увольнения сотрудников. AI-генерация сайтов. Инструментарий распознавания речи. Ребрендинг.
Firefox: релизы 122-133, защита от отслеживания с использованием редиректов, блокирование сторонних Cookie, временные полномочия, показ миниатюр, перевод фрагментов текста, "Firefox Labs", встроенный чат-бот, боковая панель, вертикальные вкладки, унифицированный диалог очистки, автозамена HTTP на HTTPS, поддержка Zstandard, улучшение Firefox View и PDF-просмотрщика, порт для ОС Haiku. Firefox 20 лет.
Chrome: релизы 121-131, микроплатежи для монетизации, производительность дополнений, уход от второй версии манифеста, сохранение поддержки сторонних Cookie, предупреждение о прекращении работы uBlock Origin, встраивание большой языковой модели.
Распределённые и P2P системы: Оверлейная P2P-сеть Nebula 1.9. Meshtastic - mesh-сеть на базе передатчиков LoRa. OpenZiti 1.0 для встраивания оверлейных сетей в приложения. PeerTube 7.0.
Офисные пакеты: LibreOffice 24.2/24.8, Calligra 4.0, ONLYOFFICE 8.2.
Машинное обучение: AlphaFold 3 от DeepMind, модель hertz-dev для голосового общения, ChatTTS для синтеза речи, Databricks открыл модель DBRX, xAI, открыл модель Grok, отладчик Transformer Debugger от OpenAI, Google открыл модель Gemma.
Файловые системы: Объявление устаревшим драйвера Ext2 и удаление ReiserFS. Кластер Ceph c пропускной способностью тебибайт в секунду. LittleFS 2.10. Кластерная ФС VitastorFS.
Виртуализация и контейнеры: Работа по переводу VMware Workstation на гипервизор KVM. VMware Workstation и VMware Fusion стали бесплатными. Паравиртуализация IOMMU в Xen. VirtualBox поверх KVM. Microsoft открыл гипервизор OpenVMM/OpenHCL. Finch для Linux. Перенос хост-компонентов Hyper-V в ядро Linux. Lima 1.0 (LInux-on-MAc), Xen 4.19, XCP-ng 8.3, Kata Containers 3.4, LXC 6.0, QEMU 9.0-9.2, Bubblewrap 0.11, CRIU 4.0, Distrobox 1.8, VirtualBox 7.1
Серверные приложения: OpenSSH 9.7-9.9, BIND 9.20, Samba 4.20/4.21, Exim 4.98, Postfix 3.9, SMTP-сервер chasquid 1.13, ClamAV 1.4,
nginx 1.26 с HTTP/3, libmicrohttpd 1.0.0, HAProxy 3.0. Переход Let's Encrypt на ntpd-rs. OpenSSH: прекращение поддержки DSA, разделение на несколько процессов, защита от подбора паролей.
Ядро Linux: Ветка linus-next. Обсуждение использования C++ в ядре.
Lunatik (создания обработчиков на Lua). Запуск Linux на чипе Intel 4004. Открыт код для поддержки CPU Эльбрус. Коллизии. Версии микроархитектуры x86_64. Ядро ELKS 0.8 для 16-разрядных CPU. Ветка UEK-next от Oracle.
eBPF: планировщики задач, диагностика устройств ввода, работа в пространстве пользователя, bpftop, обновление DTrace. План прекращения поддержки старых CPU ARM.
Основные изменения в ядре:
6.7: интеграция ФС Bcachefs, прекращение поддержки архитектуры Itanium, возможность работы Nouveau с прошивками GSP-R, поддержка TLS-шифрования в NVMe-TCP, возможность использования исключений в BPF, поддержка futex в io_uring, оптимизация производительности планировщика fq (Fair Queuing), поддержка расширения TCP-AO (TCP Authentication Option) и возможность ограничения сетевых соединений в механизме защиты Landlock, добавлено управление доступом к user namespace и io_uring через AppArmor.
6.8: драйвер Xe для GPU Intel, режим защиты блочных устройств с примонтированными ФС, механизм планировщика задач Deadline server, автоматическая оптимизация слияния идентичных страниц памяти, первый драйвер на языке Rust, системные вызовы listmount и statmount, удаление bpfilter и SLAB, механизм guest_memfd в KVM, профилирование обращения к данным.
6.9: модуль dm-vdo для дедупликации и сжатия блочных устройств, режим прямого доступа к файлам в FUSE, поддержка создания pidfd для отдельных потоков, механизм BPF-токенов, поддержка Rust на системах ARM64, перевод драйвера ФС Ext2 в разряд устаревших, удаление старого драйвера NTFS, поддержка механизма Intel FRED.
6.10: драйвер ntsync c примитивами синхронизации Windows NT, компоненты DRM Panic для реализации аналога "синего экрана смерти", прекращение поддержки старых CPU Alpha, возможность верификации целостности в ФС на базе FUSE, ограничение доступа к ioctl через механизм Landlock, подсистема для профилирования операций выделения памяти, системный вызов mseal(), возможность шифрованного обмена данными с устройствами TPM, поддержка высокоприоритетных рабочих очередей в dm-crypt, драйвер panthor для десятого поколения GPU Mali.
6.11: поддержка операций атомарной записи на блочном уровне, поддержка операций bind() и listen() в io_uring, новый механизм блокировок программных обработчиков прерываний, возможность записи в отзеркаленные в память исполняемые файлы, поддержка написания драйверов блочных устройств на языке Rust, оптимизация вызова getrandom(), новая реализация AES-GCM.
6.12: возможность включения Realtime-режима, sched_ext для создания планировщиков CPU через eBPF, вывод QR-кода при аварийных состояниях, механизм Device Memory TCP, механизм резервирования ресурсов SCHED_DEADLINE server, улучшение планировщика задач EEVDF, модуль IPE для задания политик обеспечения целостности.
Шифрование: Библиотека гомоморфного шифрования от Apple. PGP-инструментарий sq 1.0, OpenSSL 3.3/3.4, LibreSSL 4.0, VeraCrypt 1.26.14, GnuPG 2.5, Libgcrypt 1.11.0, Cryptsetup 2.7. Реструктуризация OpenSSL. Совместимость Rustls с OpenSSL и nginx. Развитие постквантовых алгоритмов шифрования.
Проблемы с криптографией: KyberSlash (уязвимость в постквантовом алгоритме Kyber). EUCLEAK (клонирование ключей YubiKey 5). Воссоздание ключа PuTTY.
Бэкдор в пакете XZ Utils: ретроспектива, логика активации, результаты аудита, попытки похожих атак на другие проекты.
Уязвимости в процессорах: BadRAM (AMD, обход SEV-SNP), Sinkclose (AMD, доступ к SMM). Обход защиты от Spectre. Indirector (Intel). TikTag (ARM, обход MemTag). Новый вариант BHI (Intel). ZenHammer (AMD). GhostRace (Intel, AMD, ARM, IBM). GhostWrite (RISC-V XuanTie). LeftoverLocals (GPU AMD, Apple, Qualcomm и Imagination). RFDS (Intel Atom).
Методы атак: KeyTrap и NSEC3 в DNSSEC. ArtPrompt и BoN для обхода фильтров AI-систем. Port Shadow (перенаправление соединений VPN и Wi-Fi). TunnelVision (перенаправление VPN-трафика). Получение TLS-сертификатов для чужих доменов ".mobi". Атака через IP 0.0.0.0 в браузере. SnailLoad (определение открываемых сайтов по задержке пакетов). Атака на обработчик не установленных приложений в Ubuntu. Зацикливание протоколов на основе UDP. "Continuation flood" (нарушение работы серверов HTTP/2.0). Подделка ответа в протоколе RADIUS. Атака через escape-последовательности.
BatBadBut (библиотеки Rust, PHP, Node.js, Python, Ruby, Go, Erlang и Haskell).
Исследования: Использование AI для выявления уязвимостей в SQLite. Анализ руткита Ebury, установленного при взломе kernel.org. UEFI-буткит Bootkitty.
Проблемы из-за генерации через AI мусорных отчётов об уязвимостях. Подрыв репутации из-за CVE c ложными и раздутыми уязвимостями.
Локальные уязвимости: ядро Linux (n_gsm, netfilter, io_uring, nf_tables, ksmbd, ktls, uio, сетевой стек), ядро FreeBSD (1, 2), GRUB2 (RHEL), tuned, needrestart (по умолчанию в Ubuntu Server), PostgreSQL, NetworkManager-libreswan, guix-daemon, pam_oath, Nix, драйверы NVIDIA, Flatpak, Buildah, Podman, Node.js, libuv, Glibc.
Удалённые уязвимости: IPv6-стек Linux. Bluetooth-стек Android. Root-уязвимость в OpenSSH (regreSSHion), специфичные для RHEL и FreeBSD уязвимости в OpenSSH. Выполнение кода на системах с CUPS (продолжение). libaom и libvpx (кодеки AV1 и VP8/VP9, возможна атака через браузеры). NFS-сервер FreeBSD и OpenBSD.
Apache Struts, GStreamer, Libarchive, X.Org Server (1, 2, 3, 4), libgsf (затрагивает GNOME), Emacs, Js2Py, PHP, nginx (HTTP/3), Fluent Bit, Git, R, Glibc (атака через скрипты PHP), Suricata, ClamAV, runc (затрагивает Docker и Kubernetes), FFmpeg (JPEG XL), Redis.
Взломы: Internet Archive. Cloudflare. Barracuda Networks. Компрометация репозитория PyTorch. Соревнования Pwn2Own Automotive, Pwn2Own 2024 и Pwn2Own Ireland 2024.
Приватность: Анализ сеансов OpenVPN. Телеметрия в Manjaro Linux, Fedora и Go.
Анализ VPN-приложений для Android. Статистика по блокировщикам рекламы. Доступ к данным из удалённых и приватных репозиториев GitHub.
Уязвимости в маршрутизаторах и оборудовании: PixieFAIL (атака на прошивки UEFI через PXE). Вывод из строя 659 тысяч домашних маршрутизаторов. Возмржность управлять модемами миллионов абонентов ISP Cox. Уязвимости в UEFI-прошивках Phoenix и AMI MegaRAC. Бэкдоры в маршрутизаторах и сетевых хранилищах D-Link. Уязвимости в устройствах Juniper. Уязвимости в маршрутизаторах ASUS. SSID Confusion (подмена сети Wi-Fi). Подмена сборочных артефактов OpenWRT. Уязвимости в прошивках Qualcomm. Разблокировка электронных замов Saflok.
Выявления вредоносных пакетов в каталогах PyPI (1, 2) и Snap Store. Опасные уязвимости в GitHub Enterprise Server, Gogs, GitLab (1, 2, 3, 4, 5, 6). Ручное рецензирование имён пакетов в Snap Store. Анализ загрузки устаревших пакетов из NPM.
Вредоносные AI-модели в репозитории Hugging Face. Сто тысяч репозиториев с вредоносным кодом на GitHub.
Сбои: Проблемы с загрузкой Linux из-за ошибки в обновлении к Windows (разбор). Удаление /home при выполнении "systemd-tmpfiles --purge".
Сбой в доменной зоне RU из-за DNSSEC. Рассинхронизация корневого DNS-сервера "C". Тема оформления KDE, удаляющая пользовательские файлы.
Атаки на инфраструктуры: Подстановка вредоносного кода через Polyfill. Утечка токена доступа к GitHub-репозиториям Python. DDoS на SourceHut. Утечка токенов Hugging Face Spaces. Публикация вредоносных релизов Ultralytics. Внедрение вредоносного кода в официальный JavaScript-клиент криптовалюты Solana. Вредоносный код в
плагине ss-otr к Pidgin.
Инциденты: Атакующие изменили настройки BGP оператора связи Orange Espagne. GitHub обновил GPG-ключи из-за уязвимости в инфраструктуре. Попадание в открытый доступ токена от внутренних репозиториев Мерседес. Обход UEFI Secure Boot из-за тестового ключа в материнских платах.
За год на OpenNET было опубликовано 1569 новостей, на которые было оставлено 158 тысяч комментариев. Осенью 2024 года проекту OpenNET исполнилось 28 лет.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=62475