Please open Telegram to view this post
VIEW IN TELEGRAM
❤33😁32👍6🤯1
В поставляемых в Ubuntu пакетах с ядром Linux выявлены уязвимости (CVE-2023-2640, CVE-2023-32629), вызванные внесением специфичных для Ubuntu патчей в реализацию модуля OverlayFS. Уязвимости позволяют повысить свои привилегии в системе и по оценке выявивших проблемы исследователей могут быть эксплуатированы примерно в 40% установок Ubuntu. Уязвимости проявляются только в пакетах с ядром для Ubuntu и устранены в обновлениях, выпущенных 26 июля (Ubuntu 23.04, 22.04, 20.04, 18.04, 16.04, 14.04 и др.).
✅ Для эксплуатации выявленных уязвимостей можно использовать уже доступные в открытом доступе рабочие эксплоиты, созданные для прошлой уязвимости в модуле OverlayFS. Для совершения атаки необходимо, чтобы в системе было разрешено монтирование разделов OverlayFS непривилегированным пользователем.
В качестве обходного пути блокирования уязвимостей достаточно отключить возможность создания непривилегированными пользователями пространств имён идентификаторов пользователей, выполнив команды:
🥸
В качестве обходного пути блокирования уязвимостей достаточно отключить возможность создания непривилегированными пользователями пространств имён идентификаторов пользователей, выполнив команды:
sudo sysctl -w kernel.unprivileged_userns_clone=0Linux / Линукс
echo kernel.unprivileged_userns_clone=0 | \
sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤯6😁5❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁9
В VirtualBox выявлена уязвимость (CVE-2023-22018), позволяющая удалённому пользователю, подключающемуся к виртуальной машине через сеанс на базе протокола RDP, выполнить код на уровне хост-системы.
В определённых конфигурациях уязвимость может быть эксплуатирована неаутентифицированным пользователем, имеющим сетевой доступ к сервису RDP.
👉 Уязвимость вызвана ошибкой при обработке запросов на проброс доступа к USB-устройствам, которая из-за отсутствия проверки размера передаваемых данных может привести к записи в область за границей выделенного буфера.
Уязвимость без лишней огласки устранена в выпусках VirtualBox 6.1.46 и 7.0.10.
Linux / Линукс🥸
В определённых конфигурациях уязвимость может быть эксплуатирована неаутентифицированным пользователем, имеющим сетевой доступ к сервису RDP.
👉 Уязвимость вызвана ошибкой при обработке запросов на проброс доступа к USB-устройствам, которая из-за отсутствия проверки размера передаваемых данных может привести к записи в область за границей выделенного буфера.
Уязвимость без лишней огласки устранена в выпусках VirtualBox 6.1.46 и 7.0.10.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8😁4🤯3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍37😁11❤6🤯1
Выпуск Zorin OS 16.3
Представлен релиз Linux-дистрибутива Zorin OS 16.3, основанного на пакетной базе Ubuntu 20.04. Целевой аудиторией дистрибутива являются начинающие пользователи, привыкшие работать в Windows.
— Обновлены версии пакетов и пользовательских приложений, среди прочего добавлен выпуск LibreOffice 7.5 и обновлены драйверы. Добавлена поддержка GPU NVIDIA GeForce RTX 4070, 4060 Ti и 4060.
— Добавлен интерфейс "Zorin Menu → System Tools → Upgrade Zorin" для перевода уже установленных систем на новые релизы и редакции дистрибутива.
— Расширены возможности интеграции рабочего стола со смартфоном при помощи приложения Zorin Connect.
Linux / Линукс🥸
Представлен релиз Linux-дистрибутива Zorin OS 16.3, основанного на пакетной базе Ubuntu 20.04. Целевой аудиторией дистрибутива являются начинающие пользователи, привыкшие работать в Windows.
— Обновлены версии пакетов и пользовательских приложений, среди прочего добавлен выпуск LibreOffice 7.5 и обновлены драйверы. Добавлена поддержка GPU NVIDIA GeForce RTX 4070, 4060 Ti и 4060.
— Добавлен интерфейс "Zorin Menu → System Tools → Upgrade Zorin" для перевода уже установленных систем на новые релизы и редакции дистрибутива.
— Расширены возможности интеграции рабочего стола со смартфоном при помощи приложения Zorin Connect.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8😁6🔥3🌚1
Используемая ныне по умолчанию модель управления окнами построена на концепциях 50-летней давности и требует для достижения комфортного окружения выполнения лишней работы, связанной с настройкой размера и перемещением окон.
👉 Для повышения эффективности управления окнами в GNOME предлагается задействовать элементы мозаичной (тайлинговой) компоновки окон, при которой новые окна по умолчанию автоматически открываются, не перекрывая уже открытые окна и занимают оптимальное экранное пространство.
В GNOME уже имеется опциональная поддержка подобного режима, но она остаётся невостребованной из-за имеющихся ограничений и проблем.
Новый мозаичный режим будет автоматически выбирать оптимальную раскладку окон без перекрытия, предоставляя при этом возможность ручной корректировки. При открытии дополнительных окон, существующие окна сдвигаются, предоставляя место для новых, которые размещаются рядом с существующими.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤32👍14🤔5😍2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍41🤯13😁2
В основном удалению подлежат устаревшие возможности, которые мешают развитию KDE и не работают должным образом. Удаление подобных компонентов позволит высвободить ресурсы для продвижения новшеств. Удаление планируется в выпуске KDE Plasma 6, намеченном на осень 2023 года.
Решено удалить следующие возможности:
— Система глобальных клавиатурных комбинаций KHotKeys.
— Оконные виджеты для KRunner - ограничены по функциональности, а пользователи путают их с полноценными программами.
— Переключатели задач (обработчики Alt+Tab) "Grid", "Informative", "Small Icons", "Text Only" и "Thumbnails".
— Настройка принудительной установки DPI шрифтов для Wayland и глобальные настройки размера пиктограмм.
— Тема оформления Air - старый набор стилей, который остался без сопровождения и имеет давние проблемы.
— Возможность установки настроек энергопотребления в привязке к комнатам (Activities).
— Представление доступных настроек в форме набора пиктограмм. На смену данному режиму пришла боковая панель.
— Поддержка использования картинки дня с сервиса Unsplash.
Linux / Линукс🥸
Решено удалить следующие возможности:
— Система глобальных клавиатурных комбинаций KHotKeys.
— Оконные виджеты для KRunner - ограничены по функциональности, а пользователи путают их с полноценными программами.
— Переключатели задач (обработчики Alt+Tab) "Grid", "Informative", "Small Icons", "Text Only" и "Thumbnails".
— Настройка принудительной установки DPI шрифтов для Wayland и глобальные настройки размера пиктограмм.
— Тема оформления Air - старый набор стилей, который остался без сопровождения и имеет давние проблемы.
— Возможность установки настроек энергопотребления в привязке к комнатам (Activities).
— Представление доступных настроек в форме набора пиктограмм. На смену данному режиму пришла боковая панель.
— Поддержка использования картинки дня с сервиса Unsplash.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🌚3
Думаете о международной карьере, но боитесь, что не хватит английского? Практикуйте его в разговорных клубах для IT-специалистов.
За пять дней вы:
- узнаете, как готовиться к собеседованию на английском
- попробуете использовать фреймворк STAR на примере собеседования
- потренируетесь вести дискуссию и вежливо отстаивать свою точку зрения
- получите подарки от Яндекс Практикума
Формат: закрытый телеграм-канал и два воркшопа в Zoom. В канале вы получите чек-листы и будете решать упражнения. На воркшопах — сможете попрактиковаться с преподавателем и другими студентами.
Ведущая: Василиса Шеромова. Преподаватель на курсах английского для работы в IT. Опыт преподавания: больше 10 лет. Пять лет работала менеджером по маркетингу в IT-компаниях.
За пять дней вы:
- узнаете, как готовиться к собеседованию на английском
- попробуете использовать фреймворк STAR на примере собеседования
- потренируетесь вести дискуссию и вежливо отстаивать свою точку зрения
- получите подарки от Яндекс Практикума
Формат: закрытый телеграм-канал и два воркшопа в Zoom. В канале вы получите чек-листы и будете решать упражнения. На воркшопах — сможете попрактиковаться с преподавателем и другими студентами.
Ведущая: Василиса Шеромова. Преподаватель на курсах английского для работы в IT. Опыт преподавания: больше 10 лет. Пять лет работала менеджером по маркетингу в IT-компаниях.
👍7🤯4😢2
Инструменты безопасности Linux ⌨️
Сегодня речь пойдет об опенсорсных средствах безопасности веб-приложений
Они помогают тестировать веб-приложения на наличие таких проблем, как внедрение SQL, межсайтовый скриптинг и другие веб-уязвимости.
▪️ Nikto
Это сканер уязвимостей веб-приложений, который может выявлять потенциальные проблемы безопасности на веб-серверах и в приложениях. Он проверяет наличие неправильных настроек, устаревшего программного обеспечения и других распространенных уязвимостей.
Особенности:
— Комплексное сканирование уязвимостей веб-приложений
— Регулярные обновления, позволяющие быть в курсе последней информации об уязвимостях
— Поддержка различных технологий веб-сервера
➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖
▪️ OWASP ZAP
Это сканер безопасности веб-приложений, разработанный Open Web Application Security Project.
Особенности:
— Автоматическое и ручное сканирование уязвимостей
— Инструменты для перехвата и изменения веб-трафика
— Интеграция с другими инструментами и платформами безопасности
➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖
▪️ Wapiti
Это сканер уязвимостей веб-приложений, который может выявлять и устранять проблемы безопасности в веб-приложениях. Он выполняет сканирование "черного ящика", анализируя веб-страницы приложения на наличие потенциальных уязвимостей, включая внедрение SQL, межсайтовый скриптинг (XSS) и включение файлов.
Особенности:
— Поддержка различных типов атак
— Генерирует отчеты в нескольких форматах
Linux / Линукс🥸 #security
Сегодня речь пойдет об опенсорсных средствах безопасности веб-приложений
Они помогают тестировать веб-приложения на наличие таких проблем, как внедрение SQL, межсайтовый скриптинг и другие веб-уязвимости.
▪️ Nikto
Это сканер уязвимостей веб-приложений, который может выявлять потенциальные проблемы безопасности на веб-серверах и в приложениях. Он проверяет наличие неправильных настроек, устаревшего программного обеспечения и других распространенных уязвимостей.
Особенности:
— Комплексное сканирование уязвимостей веб-приложений
— Регулярные обновления, позволяющие быть в курсе последней информации об уязвимостях
— Поддержка различных технологий веб-сервера
▪️ OWASP ZAP
Это сканер безопасности веб-приложений, разработанный Open Web Application Security Project.
Особенности:
— Автоматическое и ручное сканирование уязвимостей
— Инструменты для перехвата и изменения веб-трафика
— Интеграция с другими инструментами и платформами безопасности
▪️ Wapiti
Это сканер уязвимостей веб-приложений, который может выявлять и устранять проблемы безопасности в веб-приложениях. Он выполняет сканирование "черного ящика", анализируя веб-страницы приложения на наличие потенциальных уязвимостей, включая внедрение SQL, межсайтовый скриптинг (XSS) и включение файлов.
Особенности:
— Поддержка различных типов атак
— Генерирует отчеты в нескольких форматах
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5
Государственная Дума РФ в третьем, окончательном, чтении приняла законопроекты №346588-8, №346769-8 и №346750-8, запрещающие участие граждан РФ в незарегистрированных в специальном реестре иностранных некоммерческих организациях, и вводящие, среди прочего, уголовную ответственность за организацию деятельности подобных организаций.
Закон вступит в силу после того как пройдёт утверждение в Совете федерации и будет подписан президентом.
👉 У продвигаемого закона есть серьёзный побочный эффект - под его действие потенциально попадает участие во многих международных СПО-проектах.
Большая часть крупных открытых проектов, не принадлежащих коммерческим компаниям, зарегистрированы именно как некоммерческие организации для того, чтобы иметь возможность легально принимать и распоряжаться пожертвованиями, а также оплачивать труд наёмных работников. Так как критерии применения закона не определены, под его действие можно притянуть что угодно: от коммитов в репозиторий и до отправки сообщения об ошибке. Под угрозой преследования по новым статьям не только обычные пользователи СПО-проектов, но и сотрудники российских компаний, осуществляющие разработку и внедрение СПО по программе импортозамещения, так как делать это без участия в апстриме невозможно (российские разработчики активно делятся частью наработок с исходными проектами, а также сообщают о найденных ошибках).
Linux / Линукс🥸
Закон вступит в силу после того как пройдёт утверждение в Совете федерации и будет подписан президентом.
👉 У продвигаемого закона есть серьёзный побочный эффект - под его действие потенциально попадает участие во многих международных СПО-проектах.
Большая часть крупных открытых проектов, не принадлежащих коммерческим компаниям, зарегистрированы именно как некоммерческие организации для того, чтобы иметь возможность легально принимать и распоряжаться пожертвованиями, а также оплачивать труд наёмных работников. Так как критерии применения закона не определены, под его действие можно притянуть что угодно: от коммитов в репозиторий и до отправки сообщения об ошибке. Под угрозой преследования по новым статьям не только обычные пользователи СПО-проектов, но и сотрудники российских компаний, осуществляющие разработку и внедрение СПО по программе импортозамещения, так как делать это без участия в апстриме невозможно (российские разработчики активно делятся частью наработок с исходными проектами, а также сообщают о найденных ошибках).
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😢34🤯18👍6🔥3😁2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁66👍3
Руководящий совет проекта Python намерен утвердить предложение по расширению языка Python PEP-0703, в котором определяется добавление режима сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock). В качестве вероятного срока реализации PEP-0703 упоминается выпуск Python 3.13, намеченный на осень следующего года.
Во внедряемом PEP-0703 определено оставление по умолчанию GIL, но добавление сборочной опции "--without-gil" для его отключения. Новый режим позволит решить проблему с распараллеливанием операций на многоядерных системах, вызванную тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. В долгосрочной перспективе (через 5 лет) интерпретатор планируется перевести по умолчанию на сборку только в режиме без глобальной блокировки, одновременно прекратив поддержку сборки с GIL.
До полного перехода на сборки без GIL планируется добиться всесторонней поддержки данных сборок со стороны сообщества, а также предоставить дополнительные C API и Python API для обеспечения безопасной многопоточности в существующем коде.
Linux / Линукс🥸
Во внедряемом PEP-0703 определено оставление по умолчанию GIL, но добавление сборочной опции "--without-gil" для его отключения. Новый режим позволит решить проблему с распараллеливанием операций на многоядерных системах, вызванную тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. В долгосрочной перспективе (через 5 лет) интерпретатор планируется перевести по умолчанию на сборку только в режиме без глобальной блокировки, одновременно прекратив поддержку сборки с GIL.
До полного перехода на сборки без GIL планируется добиться всесторонней поддержки данных сборок со стороны сообщества, а также предоставить дополнительные C API и Python API для обеспечения безопасной многопоточности в существующем коде.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18👍3