Please open Telegram to view this post
VIEW IN TELEGRAM
😁82🫡5
Новая серия дыр в telnetd: забытый патч 1999 года оставил лазейку для root
В GNU InetUtils (telnetd) обнаружили сразу несколько способов получить root, и все они последствия неполного исправления 27-летней уязвимости CVE-1999-0073. Тогда забыли заблокировать переменную CREDENTIALS_DIRECTORY, через которую можно подменить каталог с настройками и подложить файл login.noauth, который разрешит вход без пароля кому угодно, включая root.
Но это не всё. Вторая цепочка использует OUTPUT_CHARSET/LANGUAGE (gettext) и GCONV_PATH (glibc). Подсунув свои переменные, атакующий заставляет login загрузить собственную библиотеку с root-правами. Проблема в том, что telnetd до сих пор использует чёрный список опасных переменных, а не белый список разрешённых, как в OpenSSH .
Rocky Linux 9 и FreeBSD уже ушли от этой схемы, а в OpenBSD telnetd выпилили ещё в 2005-м. Для остальных патчей пока нет, но в Debian проблему уже пофиксили в inetutils 2:2.6-3+deb13u2. CVE-2026-24061 (базовая атака с USER=-f root) уже вовсю эксплуатируется в дикой природе.
Linux / Линукс🥸
В GNU InetUtils (telnetd) обнаружили сразу несколько способов получить root, и все они последствия неполного исправления 27-летней уязвимости CVE-1999-0073. Тогда забыли заблокировать переменную CREDENTIALS_DIRECTORY, через которую можно подменить каталог с настройками и подложить файл login.noauth, который разрешит вход без пароля кому угодно, включая root.
Но это не всё. Вторая цепочка использует OUTPUT_CHARSET/LANGUAGE (gettext) и GCONV_PATH (glibc). Подсунув свои переменные, атакующий заставляет login загрузить собственную библиотеку с root-правами. Проблема в том, что telnetd до сих пор использует чёрный список опасных переменных, а не белый список разрешённых, как в OpenSSH .
Rocky Linux 9 и FreeBSD уже ушли от этой схемы, а в OpenBSD telnetd выпилили ещё в 2005-м. Для остальных патчей пока нет, но в Debian проблему уже пофиксили в inetutils 2:2.6-3+deb13u2. CVE-2026-24061 (базовая атака с USER=-f root) уже вовсю эксплуатируется в дикой природе.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣18😁6❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬29😁22😢7❤3
Linux LTS-веткам 6.18, 6.12 и 6.6 продлили жизнь до 4 лет
Новые даты окончания поддержки:
▪️ Linux 6.18 — поддержка увеличена с 2 до 3 лет, теперь актуальна до декабря 2028 года.
▪️ Linux 6.12 — самый серьёзный апгрейд: с 2 до 4 лет, теперь будет жить до декабря 2028 года. Эта версия особенно важна, так как используется в Debian 13, SUSE 16, Android 16 и Oracle Unbreakable Enterprise Kernel 8.
▪️ Linux 6.6 — срок вырос с 3 до 4 лет, обновления обещают до декабря 2027 года. Ядро применяется в OpenWRT 24.10 .
Другие LTS-ветки и их пользователи:
▪️ 6.1 — до декабря 2027 г. (Debian 12).
▪️ 5.15 — до октября 2026 г. (Ubuntu 22.04, Oracle Unbreakable Enterprise Kernel 7, OpenWRT 23.05).
▪️ 5.10 — до декабря 2026 г. (Debian 11, Android 12, OpenWRT 22).
Кроме того, для промышленников существует отдельная инициатива SLTS (Super Long Term Support) от Linux Foundation. В рамках проекта Civil Infrastructure Platform (CIP) такие ветки, как 4.4, 4.19, 5.10, 6.1 и 6.12, сопровождаются 10–20 лет при участии Toshiba, Siemens, Bosch и других гигантов. Обычным же пользователям стоит помнить, что даже двухлетний LTS — понятие растяжимое, и пока у ядра есть заинтересованные мейнтейнеры, его могут продлевать снова и снова.
Linux / Линукс🥸
Новые даты окончания поддержки:
▪️ Linux 6.18 — поддержка увеличена с 2 до 3 лет, теперь актуальна до декабря 2028 года.
▪️ Linux 6.12 — самый серьёзный апгрейд: с 2 до 4 лет, теперь будет жить до декабря 2028 года. Эта версия особенно важна, так как используется в Debian 13, SUSE 16, Android 16 и Oracle Unbreakable Enterprise Kernel 8.
▪️ Linux 6.6 — срок вырос с 3 до 4 лет, обновления обещают до декабря 2027 года. Ядро применяется в OpenWRT 24.10 .
Другие LTS-ветки и их пользователи:
▪️ 6.1 — до декабря 2027 г. (Debian 12).
▪️ 5.15 — до октября 2026 г. (Ubuntu 22.04, Oracle Unbreakable Enterprise Kernel 7, OpenWRT 23.05).
▪️ 5.10 — до декабря 2026 г. (Debian 11, Android 12, OpenWRT 22).
Кроме того, для промышленников существует отдельная инициатива SLTS (Super Long Term Support) от Linux Foundation. В рамках проекта Civil Infrastructure Platform (CIP) такие ветки, как 4.4, 4.19, 5.10, 6.1 и 6.12, сопровождаются 10–20 лет при участии Toshiba, Siemens, Bosch и других гигантов. Обычным же пользователям стоит помнить, что даже двухлетний LTS — понятие растяжимое, и пока у ядра есть заинтересованные мейнтейнеры, его могут продлевать снова и снова.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤5
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁49👍3
В мире открытого ПО появился ещё один источник денег для мэйнтейнеров, а именно фонд Open Source Endowment. Его принципиальное отличие от классических сборов пожертвований в том, что он работает по модели эндаумента (целевого капитала). Пожертвования не тратятся сразу, а инвестируются в низкорисковые бумаги, и на гранты идут только проценты с этого капитала (примерно 5% в год). Такой подход давно используют университеты, и он должен обеспечить стабильное финансирование независимо от капризов рынка и доноров.
Размер грантов планируется около $5000, нацеленных на повышение безопасности и стабильности или просто как благодарность сопровождающим. Важное условие: проекты должны быть действительно независимыми, не корпоративными и не стартапами на венчурных деньгах.
Фонд основал Константин Виноградов (экс-Runa Capital). В совет директоров вошли Чад Витакре (Open Source Pledge), Максим Коновалов (сооснователь Nginx) и сам Виноградов. В попечителях Эми Паркер (OpenSSL Foundation) и Влад-Стефан Харбуз (thanks.dev).
Сейчас в капитале $693 тысячи, 61 крупный жертвователь и 44 частных.
Linux / Линукс🥸
Размер грантов планируется около $5000, нацеленных на повышение безопасности и стабильности или просто как благодарность сопровождающим. Важное условие: проекты должны быть действительно независимыми, не корпоративными и не стартапами на венчурных деньгах.
Фонд основал Константин Виноградов (экс-Runa Capital). В совет директоров вошли Чад Витакре (Open Source Pledge), Максим Коновалов (сооснователь Nginx) и сам Виноградов. В попечителях Эми Паркер (OpenSSL Foundation) и Влад-Стефан Харбуз (thanks.dev).
Сейчас в капитале $693 тысячи, 61 крупный жертвователь и 44 частных.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🌚4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁23
Вышел релиз офисного пакета ONLYOFFICE 9.3
В текстовом редакторе теперь можно сохранять документы в формате Markdown, смотреть страницы бок о бок в многостраничном режиме и видеть комментарии разных авторов, раскрашенные своими цветами.
В PDF-редакторе появилась возможность ставить подпись от руки мышью, стилусом или пальцем на сенсорном экране. Картинку с подписью можно загрузить и автоматически очистить от белого фона. PDF-формы научились работать с полями под паролем, ссылками на другие страницы и историей версий.
В электронных таблицах добавили инструмент Solver, решающий задачи линейного программирования симплекс-методом прямо в ячейках. Появилась поддержка динамических массивов (результат формулы сам растекается по соседним ячейкам) и три новые функции с регулярными выражениями: REGEXTEST, REGEXREPLACE и REGEXEXTRACT. Большие таблицы теперь отрисовываются заметно быстрее.
В презентациях наконец-то заработала GIF-анимация при показе слайд-шоу. Ещё можно открывать файлы TSV, вешать гиперссылки на картинки и фигуры, а также записывать макросы для всех типов документов.
Linux / Линукс🥸
В текстовом редакторе теперь можно сохранять документы в формате Markdown, смотреть страницы бок о бок в многостраничном режиме и видеть комментарии разных авторов, раскрашенные своими цветами.
В PDF-редакторе появилась возможность ставить подпись от руки мышью, стилусом или пальцем на сенсорном экране. Картинку с подписью можно загрузить и автоматически очистить от белого фона. PDF-формы научились работать с полями под паролем, ссылками на другие страницы и историей версий.
В электронных таблицах добавили инструмент Solver, решающий задачи линейного программирования симплекс-методом прямо в ячейках. Появилась поддержка динамических массивов (результат формулы сам растекается по соседним ячейкам) и три новые функции с регулярными выражениями: REGEXTEST, REGEXREPLACE и REGEXEXTRACT. Большие таблицы теперь отрисовываются заметно быстрее.
В презентациях наконец-то заработала GIF-анимация при показе слайд-шоу. Ещё можно открывать файлы TSV, вешать гиперссылки на картинки и фигуры, а также записывать макросы для всех типов документов.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥4🤬3
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣42❤4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁36💯10
ИИ-эксперименты в BIND 9 и Next.js: от бесполезного кода до ускорения в 4 раза
Ондржей Сури из ISC поделился опытом использования Claude Code для работы над DNS-сервером BIND 9. Результаты, мягко говоря, неоднозначные: ИИ предлагал «исправить» зарезервированные идентификаторы и потенциальные переполнения, которые и так отлавливаются компилятором. Ни один патч в итоге не приняли.
Попытка написать систему телеметрии дала быстрый прототип, но качество кода оказалось посредственным, с кучей повторов. В итоге на разбор и переделку ушло больше времени, чем если бы писали с нуля.
Третьим экспериментом стала генерации балансировщика нагрузки на языке Rust с использованием crate-пакетов Domain и Tokio. Claude Code сумел сгенерировать запрошенный рабочий прототип, но Ондржей не настолько хорошо знает Rust и задействованные библиотеки, чтобы оценить качество проделанной работы.
Успешнее всего ИИ показал себя в подготовке учебных материалов, тестов и вопросов к курсу лекций, который Ондржей преподаёт в университете. Правда там ИИ придумывал несуществующие термины.
А вот в Cloudflare эксперимент удался: инженеры потратили неделю и $1100 на токены, чтобы создать vinext, альтернативную реализацию API Next.js на базе Vite. Результат: сборка в 4 раза быстрее Turbopack, бандлы на 57% легче, и 94% совместимости с оригиналом. Vinext уже работает на Cloudflare Workers без прослоек и Node.js, а в будущем обещают поддержку Netlify и AWS Lambda.
Linux / Линукс🥸
Ондржей Сури из ISC поделился опытом использования Claude Code для работы над DNS-сервером BIND 9. Результаты, мягко говоря, неоднозначные: ИИ предлагал «исправить» зарезервированные идентификаторы и потенциальные переполнения, которые и так отлавливаются компилятором. Ни один патч в итоге не приняли.
Попытка написать систему телеметрии дала быстрый прототип, но качество кода оказалось посредственным, с кучей повторов. В итоге на разбор и переделку ушло больше времени, чем если бы писали с нуля.
Третьим экспериментом стала генерации балансировщика нагрузки на языке Rust с использованием crate-пакетов Domain и Tokio. Claude Code сумел сгенерировать запрошенный рабочий прототип, но Ондржей не настолько хорошо знает Rust и задействованные библиотеки, чтобы оценить качество проделанной работы.
Успешнее всего ИИ показал себя в подготовке учебных материалов, тестов и вопросов к курсу лекций, который Ондржей преподаёт в университете. Правда там ИИ придумывал несуществующие термины.
А вот в Cloudflare эксперимент удался: инженеры потратили неделю и $1100 на токены, чтобы создать vinext, альтернативную реализацию API Next.js на базе Vite. Результат: сборка в 4 раза быстрее Turbopack, бандлы на 57% легче, и 94% совместимости с оригиналом. Vinext уже работает на Cloudflare Workers без прослоек и Node.js, а в будущем обещают поддержку Netlify и AWS Lambda.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7👍5