_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
OpenWrt 24.10.5, r29087-d9c5716d1d
-----------------------------------------------------
19 декабря вышла OpenWrt 24.10.5 - операционная система на базе ядра Linux, предназначенная для встраиваемых устройств.
Выпущена новая версия NethSecurity, открытого межсетевого экрана на базе Linux. В ней улучшена стабильность, обновлён интерфейс управления администраторами, добавлено отслеживание соединений.
Состоялся выпуск OpenWrt 22.03 — встраиваемой операционной системы на ядре Linux, предназначенной, в первую очередь, для домашних маршрутизаторов (роутеров).
Предыдущие вечеринки оказалисьвесьмауспешны: мы прекрасно провели время и обсудили множество опенсорсных прошивок с выдающимися хакерами со всего света, в том числе и Ричардом Столлманом который уже стал нашим регулярным почётным гостем.
Разумеется, мы собираемся не только «пить чай» и веселиться, но и поговорить и узнать больше о крутых опенсорсных проектах из «низкоуровневого мира». Например:
RustSBI - супервизор для RISC-V на 100%-ом Rust'е;
qspimux - переходник для безопасной удалённой перепрошивки чипа SPI-Flash без его отключения от матплаты;
lnDSO150 - прошивка для популярных карманных осциллографов DSO;
bcm5719-fw - прошивка для сетевой карты Broadcom BCM5719;
swtpm - программный эмулятор Trusted Platform Module и способы его использования;
TrenchBoot - фреймворк из связки проектов, призванный повысить безопасность процесса загрузки прошивки.
Надеюсь, и эта встреча окажется не менее увлекательной чем прошлые, которые продлились по 10-12 часов ;-) Вас ждут увлекательные разговоры об открытых прошивках, свободном железе и приятный вечер в уютной компании за чашкой чая. Приходите, мы ждём вас!
Предыдущие вечеринки оказались весьмауспешны: мы прекрасно провели время и обсудили множество опенсорсных прошивок (+ железо под них) с выдающимися хакерами со всего света: например, сам Ричард Столлман посетил нас уже дважды, и есть хороший шанс что увидимся снова!
В этот раз мы решили немного отойти от привычного формата «весёлого рандома»: вначале будет несколько нескучных презентаций с Q&A (примерный список тем доступен на странице встречи), а уже потом основное веселье. Надеюсь, и эта встреча окажется не менее увлекательной чем прошлые, которые продлились по 10-12 часов ;-)
Вас ждут увлекательные разговоры об открытых прошивках, свободном железе и приятный вечер в уютной компании за чашкой чая. Приходите, мы ждём вас!
Предыдущие вечеринки оказались весьма успешны: мы прекрасно провели время, и нас даже посетил сам Ричард Столлман! И в этот раз вас тоже ждут увлекательные разговоры об открытых прошивках, свободном железе и приятный вечер в уютной компании за чашкой чая. Приходите, мы ждём вас!
Начинается наша встреча во вторник в 11 вечера по Москве — сразу же после онлайн-форума «Linux Secure Launch» TrenchBoot Summit (4:00–8:00 PM UTC), мероприятия посерьёзнее: с глубоким погружением в мир по-настоящему защищённой свободной загрузки прошивок, без использования проприетарного Secure boot и аппаратных со-процессоров вроде Intel ME и AMD PSP, на примере серверной платы ASUS KGPE-D16 с AMD Opteron. Ещё недавно эта мощная плата поддерживалась Сoreboot и, к сожалению, была удалена оттуда из-за несовместимостей кода, но теперь — благодаря щедрому пожертвованию от фонда Immunefi — наша компания 3mdeb сможет грамотно обновить её код и вернуть поддержку в coreboot, и уже есть важные достижения на этом пути.
Надеюсь, вас заинтересуют одна или даже обе эти встречи. Мы будем рады вас видеть!
Если хоть немного знаете английский, от лица компании 3mdeb я приглашаю вас на свежее «виртПиво v2»! Старое «v1» посетили 50 любителей прошивочного ремесла со всего мира и в том числе несколько ЛОРовцев: подробности здесь+ на англ. А в этот раз — помимо расширения прошлых тем — мы планируем обсудить:
развитие мира опенсорсных прошивок/железа - например, инициатива по созданию опенсорсных ПЛИС
реальна ли открытность BeagleV и другого нового железа RISC-V на практике?
результаты опроса(ещё продолжается) про идеальный ПК для coreboot'ных тренировок
+ Вы запросто можете внезапно предложить свою тему: например, в прошлый раз LeNiN рассказал о проблемах обновления документации БИОСа coreboot и сейчас пытаются это исправить. Так что, милости просим! Можно и без пива ;)
P.S. а про поиск Си-прогеров: мы нашли двух очень увлечённых человек, они точно с ЛОР т.к. объява публиковалась только тут, и можем взять ещё...
Если хоть немного знаете английский, от лица компании 3mdeb(которая сейчас ищет Си-прогеров в Job) - я приглашаю вас на «виртПиво»! Будем обсуждать опенсорсные прошивки/железо, новые форки БИОСа coreboot, возможность коребута на свежих компах и многое другое! А само пиво приносить необязательно ;)
Выпущены версии дистрибутива OpenWrt 18.06.7 и 19.07.1, в которых исправлена уязвимость CVE-2020-7982 в менеджере пакетов opkg, с помощью которой можно было осуществить MITM-атаку и заменить содержимое загружаемого из репозитория пакета. Из-за ошибки в коде проверки контрольных сумм, атакующий мог проигнорировать контрольные суммы SHA-256 из пакета, что позволяло обойти механизмы проверки целостности загружаемых ipk-ресурсов.
Проблема существует с февраля 2017 года, после того, как был добавлен код для игнорирования начальных пробелов, идущих перед контрольной суммой. Из-за ошибки при пропуске пробелов не сдвигался указатель на позицию в строке и цикл декодирования шестнадцатеричной последовательности SHA-256 сразу возвращал управление и отдавал контрольную сумму нулевой длины.
Из-за того, что менеджер пакетов opkg запускался из-под root, злоумышленник мог изменить содержимое в ipk-пакете во время организации MITM-атаки, загружаемый из репозитория в процессе выполнения пользователем команды «opkg install», и организовать выполнение своего кода с правами root через добавления в пакет собственных скриптов-обработчиков, вызываемых при установке. Для использования уязвимости атакующий также должен подменить индекс пакетов (например, отдаваемого с downloads.openwrt.org). Размер изменённого пакета должен соответствовать изначальному, из индекса.
В новых версиях также устранена ещё одна уязвимость в библиотеке libubox, которая может привести к переполнению буфера при обработке в функции blobmsg_format_json специально оформленных сериализированных бинарных данных или данных в формате JSON.
Сформированы сборки нового значительного релиза OpenWRT — открытого дистрибутива Linux для домашних сетевых маршрутизаторов. Основные нововведения, видимые пользователю:
На всех устройствах используется ядро 4.14.x.
Добавлена архитектура ath79, которой поддерживаются устройства, ранее относившиеся к архитектуре ar71xx. Отличие - использование Device Tree вместо явного прописывания специфики каждого устройства в C-файлах.
Значительно повышена производительность маршрутизации за счет внедрения технологии FLOWOFFLOAD. Суть технологии - в возможности сказать ядру, что все будущие пакеты, принадлежащие определенному сетевому соединению, больше не надо проверять на предмет правил firewall’а, политик QoS и изменившихся правил маршрутизации, достаточно просто переписать заголовки и отправить через запомненный выходной интерфейс. Итого, TP-Link Archer C7 v2 сейчас может маршрутизировать не 250-300 мегабит в секунду, а 700-800.
Для беспроводных сетей доступна поддержка WPA3 (требуется установка пакета hostapd-openssl или wpad-openssl).
Веб-интерфейс стал более отзывчивым за счет переноса шаблонизации на сторону клиента.
В торрент-клиенте Transmission решены проблемы с потреблением 100% CPU и неоправданного количества памяти, за счет отключения полурабочей поддержки web seed’ов.
Добавлена альтернативная легковесная реализация сервера SMB на уровне ядра, как решение проблемы, что SAMBA 3.6 более не поддерживается в плане безопасности и ограничена старыми версиями протокола SMB, а SAMBA 4 занимает слишком много места. SAMBA 4 тоже доступна и позволяет организовать контроллер домена, совместимый с Active Directory.
Прошлым летом, проект LEDE и OpenWRT голосовали за объединение общих усилий в начале 2018 года
LEDE и OpenWRT станут одним целым, кодовая база LEDE под именем Openwrt уже доступна в официальном git(ветка master)
Однако исходники OpenWRT архивированы(read-only) каждый желающий имеет доступ к ним.
Через несколько месяцев ожидается большое обновление которое выйдет под брендом/названием - «OpenWRT»
Но пока, LEDE 17.01 будет получать обновления безопасности
Больше информации о их слиянии доступна на официальном сайте LEDE.
Спустя 9 месяцев после того, как восемь наиболее активных разработчиков OpenWrt покинули проект и начали работу над созданием форка, получившего название LEDE (Linux Embedded Development Environment), состоялся первый стабильный выпуск.
25 июня 2016 года, как и было запланировано, был осуществлён перенос разработки OpenWRT на GitHub. Отныне главное дерево исходных кодов проекта располагается в репозитории на GitHub.
Поскольку проект до этого использовал SVN, а Git как зеркало на GitHub'e, то и переключение свелось к объявлению репозитория на GitHub'е основным. При всей кажущейся простоте переезда, тем не менее:
Разработчики могут посылать запросы (pull requests) в данный репозиторий в дополнение к ранее организованному процессу приёма патчей.
Патчи, нуждающиеся в обсуждении, по прежнему доступны для всех желающих в списках рассылки openwrt-devel и на сайте с патчами.
buildbots будет настроен на еженедельную сборку.
Для заведения карточки об ошибке текущий сайт остаётся наилучшим методом.
Будет обновлена документация на официальном сайте OpenWrt.
И вдогонку мы создали возможность непрерывной интеграции, тесно связанную с новым деревом GitHub. Это позволит разработчикам иметь лучшее представление о коммитах. На данный момент эта интеграция только для настроек по умолчанию, запускает новую сборку по запросу на добавление.
Кроме того, планируется с августа делать выпуски каждые 6 месяцев, предпочтительно с LTS или LTSI ядром.
Восемь наиболее активных разработчиков OpenWrt покинули проект и начали работу над созданием форка, получившего название LEDE (Linux Embedded Development Environment).
Цели проекта:
Упор на стабильность и функциональность.
Регулярные выпуски.
Прозрачность обсуждений и принятия решений, учёт мнений сообщества.
Причины создания форка:
Малое количество ключевых разработчиков OpenWrt, привлечение новых лиц не производится.
Проблемы с инфраструктурой (из-за недавнего выхода из строя жёстких дисков на сервере, были недоступны вики, форумы, репозитории). Отсутствие дублирования важных узлов инфраструктуры. Апгрейду препятствуют внутренние разногласия.
Отсутствует прозрачность и коммуникация, как между основными разработчиками и сообществом, так и между самими разработчиками внутри команды.
Малое количество людей имеет право коммита. Они не справляются с рассмотрением поступающих патчей. Тривиальные патчи висят годами. Нет должного тестирования.
Документация даже по самым важным вещам типа procd (местный аналог systemd) отсутствует, либо в неактуальном состоянии.
Отличия LEDE от OpenWrt:
Все обсуждения публичны, некоторые в режиме только для чтения посторонними, чтобы не засорять обсуждение важных вопросов.
Решения принимаются путём проведения голосования в группе, наполовину состоящей из разработчиков, а наполовину из опытных пользователей.
Более простая и лёгкая инфраструктура.
Либеральная политика приёма изменений.
Больше автоматического тестирования и упрощение выкатывания релизов.
Состоялся релиз дистрибутива для маршрутизаторов и беспроводных точек доступа OpenWrt 15.05.1. В данной версии были исправлены проблемы безопасности ядра (CVE-2016-0728), hostapd и samba36 (CVE patches from 2015-12-16).
Из других изменений стоит отметить:
Обновление сетевых демонов netifd, procd, uci, rpcd, ubox и uhttpd.
Расширение функциональности: добавление поддержки управления частотой процессора и питанием USB в Netgear R8000, а также поддержки sysupgrade в RapsberryPi.
Исправления для подсистем ядра ramoverlay, multicast-to-unicast, ip6_fragment related skb_leak.
Исправления пакета igmpproxy.
Поддержка нового оборудования:
Linksys WRT1900ACS (mvebu)
D-LINK DIR-615 rev. Ix (ar71xx)
LinkIt Smart7688 (ramips)
Gainstrong MiniBox v1.0 (ar71xx)
ZBT WG2626 (ramips)
TP-LINK TL-WR841N/ND v10 (ar71xx)
TL-WR741ND v5 (ar71xx)
WR740N v5.0 (ar71xx)
TP-LINK TL-WR941ND v6 international version (ar71xx)
Фонд СПО сертифицировал роутер ThinkPenguin TPE-R1100 как устройство, обеспечивающее безопасность и приватность данных пользователя (Требования прохождения сертификации).
Мини-роутер оснащён системой LibreCMC (ответвление OpenWRT, очищенное от бинарных драйверов и прошивок, поставляется с ядром Linux-libre) и позиционируется как устройство для приватного доступа в сеть с использованием VPN-соединений и сети tor.
