Основные новшества:
- Добавлена поддержка контроля целостности данных в логических томах LVM (LVM LV), реализуемая при помощи dm-integrity.
- Добавлена поддержка конфигураций, использующих LVM cachevol для ускорения доступа к медленным дискам за счёт кэширования данных на быстрых накопителях.
- Добавлена поддержка файловой системы EROFS (Extendable Read-Only File System), разработанной компанией Huawei для использования на разделах, доступных в режиме только для чтения. Структура EROFS существенно упрощена за счёт отбрасывания при реализации некоторых областей метаданных, таких как битовая карта свободных блоков. EROFS поддерживает хранение данных в сжатом виде, но использует иной подход для хранения сжатых блоков, оптимизированный для достижения высокой производительности при случайном доступе к данным.
- Добавлена возможность размещения блока с переменными окружения GRUB в зарезервированную область заголовка файловой системы Btrfs. В подобных переменных могут сохраняться данные об используемом по умолчанию загрузочном разделе.
- Добавлена поддержка запуска EFI-образов GRUB в режиме защиты NX (No Execute), запрещающем исполнение инструкций в областях памяти, специально не помеченных, как допустимые для исполнения.
- Добавлена поддержка протокола Shim loader, используемого для верифицированной загрузки shim-прослойки для загрузки в режиме UEFI Secure Boot.
- Добавлена поддержка загрузки унифицированных образов ядра UKI (Unified Kernel Image), объединяющих обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ оформляется в виде одного исполняемого файла в формате PE, который может быть загружен при помощи традиционных загрузчиков или напрямую вызван из прошивки UEFI.
- Добавлена поддержка универсальной конфигурации загрузчика в формате BLS (Boot Loader Specification), для разбора которой реализована команда blscfg.
- Добавлена поддержка схемы хэширования паролей Argon2.
- Добавлена поддержка механизма "TPM2 key protector" для автоматической разблокировки зашифрованного раздела при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module).
- Добавлена поддержка прикрепляемой цифровой подписи (Appended Signature, применяется для прикрепления подписи к модулям ядра Linux без изменения самого файла) при верификации загрузки в режиме Secure Boot на системах PowerPC.
- Реализована опция "--disable-cli" для блокировки интерфейса командной строки GRUB и запрета редактирования элементов меню.
- Добавлена поддержка дат, не попадающих в диапазон 1901-2038.
- Добавлена поддержка распаковки данных, сжатых при помощи алгоритма ZSTD.
- Осуществлён переход на использование новой ветки криптографической библиотеки Libgcrypt 1.11.0 (ранее использовался выпуск libgcrypt 1.5.3, сформированный в 2013 году).
- Устранены накопившиеся уязвимости (1, 2).
Источник: https://www.opennet.ru/opennews/art.shtml?num=64615
(opennet.ru, основная лента)