Злоумышленники получают контроль над snap-пакетами через просроченные домены
Бывший инженер Canonical Алан Поуп обнаружил новую тактику атак на Snap Store. Вместо создания новых аккаунтов злоумышленники начали скупать просроченные домены, указанные в email-адресах зарегистрированных разработчиков snap-пакетов.
После перехвата почтового трафика они восстанавливают пароль и получают полный контроль над учётной записью. Это позволяет выпускать вредоносные обновления для уже существующих и доверенных приложений, минуя строгие проверки для новых разработчиков и избегая предупреждающих меток.
Ранее атаки в основном сводились к регистрации поддельных пакетов (тайпсквоттинг) или публикации изначально легитимного ПО с последующим вредоносным обновлением. Новая схема использует уязвимость в самом процессе поддержки аккаунтов: Snap Store не проверял актуальность доменов в email-адресах. Поуп уже выявил как минимум два таких домена, но предполагает, что реальных случаев больше.
Linux / Линукс🥸
Бывший инженер Canonical Алан Поуп обнаружил новую тактику атак на Snap Store. Вместо создания новых аккаунтов злоумышленники начали скупать просроченные домены, указанные в email-адресах зарегистрированных разработчиков snap-пакетов.
После перехвата почтового трафика они восстанавливают пароль и получают полный контроль над учётной записью. Это позволяет выпускать вредоносные обновления для уже существующих и доверенных приложений, минуя строгие проверки для новых разработчиков и избегая предупреждающих меток.
Ранее атаки в основном сводились к регистрации поддельных пакетов (тайпсквоттинг) или публикации изначально легитимного ПО с последующим вредоносным обновлением. Новая схема использует уязвимость в самом процессе поддержки аккаунтов: Snap Store не проверял актуальность доменов в email-адресах. Поуп уже выявил как минимум два таких домена, но предполагает, что реальных случаев больше.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍3
В базовую систему NetBSD вернули компилятор языка Fortran
20 лет назад, когда был выпущен gcc4, компилятор g77 был заменён на gfortran. Однако из-за некоторых возникших с ним проблем он был исключён из базового образа NetBSD. Благодаря недавно внесённым изменениям в NetBSD-current, gfortran теперь снова поставляется в базовом образе операционной системы. В скором будущем планируют добавить соответствующие переменные в pkgsrc для компиляции программ с использованием этого системного компилятора, без необходимости установки пакета gcc12 из репозитория pkgsrc.
Linux / Линукс🥸
20 лет назад, когда был выпущен gcc4, компилятор g77 был заменён на gfortran. Однако из-за некоторых возникших с ним проблем он был исключён из базового образа NetBSD. Благодаря недавно внесённым изменениям в NetBSD-current, gfortran теперь снова поставляется в базовом образе операционной системы. В скором будущем планируют добавить соответствующие переменные в pkgsrc для компиляции программ с использованием этого системного компилятора, без необходимости установки пакета gcc12 из репозитория pkgsrc.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚10❤9
Почему кубернетизация затягивается? ⚙️
Нестабильные сборки, дрейф конфигураций и неудачные чарты превращают подготовку приложения к Kubernetes в долгий и непредсказуемый процесс.
На вебинаре 23 января в 17:00 разберём, как выстроить воспроизводимый workflow и ускорить запуск приложений в кластере.
Вы узнаете:
— какие данные нужно уточнить до начала работ;
— как оптимизировать билд образов;
— какие практики использовать при подготовке Helm-чартов;
— что проверить при запуске приложения в кластере;
— какие элементы включать в ревью.
Приходите — покажем рабочие подходы, которые помогают сокращать время вывода изменений в продакшен.
👉 Зарегистрироваться
23 января в 17:00 (МСК) | Онлайн
🎁 Все участники получат практический PDF-гайд по ревью кубернетизации.
Нестабильные сборки, дрейф конфигураций и неудачные чарты превращают подготовку приложения к Kubernetes в долгий и непредсказуемый процесс.
На вебинаре 23 января в 17:00 разберём, как выстроить воспроизводимый workflow и ускорить запуск приложений в кластере.
Вы узнаете:
— какие данные нужно уточнить до начала работ;
— как оптимизировать билд образов;
— какие практики использовать при подготовке Helm-чартов;
— что проверить при запуске приложения в кластере;
— какие элементы включать в ревью.
Приходите — покажем рабочие подходы, которые помогают сокращать время вывода изменений в продакшен.
👉 Зарегистрироваться
23 января в 17:00 (МСК) | Онлайн
🎁 Все участники получат практический PDF-гайд по ревью кубернетизации.
❤5🤬3
Вышел MX Linux 25.1
Опубликован релиз легковесного дистрибутива MX Linux 25.1, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве на выбор можно использовать системы инициализации sysVinit и systemd. Поставляются собственные инструменты для настройки и развёртывания системы.
В новом выпуске:
Linux / Линукс🥸
Опубликован релиз легковесного дистрибутива MX Linux 25.1, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве на выбор можно использовать системы инициализации sysVinit и systemd. Поставляются собственные инструменты для настройки и развёртывания системы.
В новом выпуске:
— Синхронизация с пакетной базой Debian 13.3. Ядро Linux обновлено до версии 6.12.
— Обновлены сборки с расширенной поддержкой оборудования (AHS), которые поставляются с Xfce, ядром 6.18 c патчами от проекта liquorix и Мesa 25.3.3.
— Возобновлено формирование совмещённых iso-образов, в которых на выбор доступны системы инициализации systemd и sysVinit. В Live-сборках пользователь может выбрать желаемую систему инициализации в загрузочном меню.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤3🔥3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁46🌚3😎1
В стане любителей Fedora, openSUSE и RHEL маленький праздник. Mozilla наконец-то, в 2026 году, официально запустила RPM-репозиторий для Firefox Nightly.
Для тех, кто в танке... для Debian/Ubuntu они сделали это еще в конце 2023-го. Но лучше поздно, чем никогда. Теперь, чтобы погонять свежую ночнуху, не нужно качать тарболы, писать скрипты для автообновления или подключать мутные COPR-репозитории от Васяна.
Официальные сборки идут с агрессивными компиляторными оптимизациями (PGO и LTO), которых часто лишены пакеты в дефолтных репозиториях дистрибутивов. Плюс завезли полный харднинг бинарников по безопасности и автоматическое создание .desktop файлов, чтобы иконки не отваливались после каждого апдейта. Звучит как мечта, если бы не один нюанс.
В офф мануалу по установке Mozilla требует прописать параметры
gpgcheck=0 и repo_gpgcheck=0. Оказывается, из-за висящего бага №2009927 они пока не смогли нормально настроить проверку GPG-подписей... как говорится - качаем, ставим и надеемся, что по дороге пакет не подменили на майнер Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣28👍5🔥3❤2
KWin получил экспериментальный VR‑плагин
Для композитного менеджера KWin предложен экспериментальный плагин, который превращает KDE Plasma в рабочий стол для виртуальной/дополненной реальности. Интерфейс формируется не на физическом мониторе, а как виртуальные экраны в 3D‑пространстве, доступные через AR‑очки или VR‑шлем.
Под капотом крутится связка Qt Quick 3D Xr и OpenXR через рантайм Monado. Управление заточено под клавиатуру, а курсор эмулируется программно (KwinVrInputDevice) и не упирается в рамки физического экрана. Размещение окон в 3D опирается на штатные механизмы KWin, доработанные для всплывающих окон и расширенные возможностью выносить окна за пределы области вывода. Правда чтобы этот киберпанк завелся, нужно пропатчить Qt и XWayland, но есть и хорошая новость: большинство патчей уже приняли в апстрим (ждите в Qt 6.10+).
Linux / Линукс🥸
Для композитного менеджера KWin предложен экспериментальный плагин, который превращает KDE Plasma в рабочий стол для виртуальной/дополненной реальности. Интерфейс формируется не на физическом мониторе, а как виртуальные экраны в 3D‑пространстве, доступные через AR‑очки или VR‑шлем.
Под капотом крутится связка Qt Quick 3D Xr и OpenXR через рантайм Monado. Управление заточено под клавиатуру, а курсор эмулируется программно (KwinVrInputDevice) и не упирается в рамки физического экрана. Размещение окон в 3D опирается на штатные механизмы KWin, доработанные для всплывающих окон и расширенные возможностью выносить окна за пределы области вывода. Правда чтобы этот киберпанк завелся, нужно пропатчить Qt и XWayland, но есть и хорошая новость: большинство патчей уже приняли в апстрим (ждите в Qt 6.10+).
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥7
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🤔4🤣3🤬1