Игры для изучения Linux
• linux-survival – https://linuxsurvival.com
• vim-adventures – https://vim-adventures.com
• overthewire – https://overthewire.org
• Terminus – https://web.mit.edu/mprat/Public/web/Terminus/Web/main.html
Linux / Линукс🥸
• linux-survival – https://linuxsurvival.com
• vim-adventures – https://vim-adventures.com
• overthewire – https://overthewire.org
• Terminus – https://web.mit.edu/mprat/Public/web/Terminus/Web/main.html
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤5🎉5😁3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁50👍2
GitLab заблокировал BPC, браузерное дополнение для обхода Paywall
GitLab заблокировал репозиторий проекта Bypass Paywalls Clean (BPC), развивающего браузерное дополнение для организации доступа к материалам, распространяемым по платной подписке (Paywall). Причиной удаления стали жалобы в GitLab о нарушении дополнением действующего в США Закона об авторском праве в цифровую эпоху.
Метод Paywall применяется многими изданиями (forbes.com, independent.co.uk, nytimes.com и т.п.) для открытия полного текста свежих статей только платными подписчиками. Ссылки на подобные статьи активно продвигаются в социальных сетях и поисковых системах, но после перехода по публикуемым ссылкам вместо открытия полного текста пользователю предлагается оформить платную подписку, если он хочет увидеть подробности.
Нарушение защиты в BPC является спорным вопросом, так как сайты с Paywall обычно открывают полный доступ поисковым системам и социальным сетям, из-за того, что издания заинтересованы в индексации текстов и привлечении посетителей. Поэтому для обхода ограничения доступа, как правило, достаточно просто сменить идентификатор браузера и притвориться поисковым ботом "Googlebot".
Linux / Линукс🥸
GitLab заблокировал репозиторий проекта Bypass Paywalls Clean (BPC), развивающего браузерное дополнение для организации доступа к материалам, распространяемым по платной подписке (Paywall). Причиной удаления стали жалобы в GitLab о нарушении дополнением действующего в США Закона об авторском праве в цифровую эпоху.
Метод Paywall применяется многими изданиями (forbes.com, independent.co.uk, nytimes.com и т.п.) для открытия полного текста свежих статей только платными подписчиками. Ссылки на подобные статьи активно продвигаются в социальных сетях и поисковых системах, но после перехода по публикуемым ссылкам вместо открытия полного текста пользователю предлагается оформить платную подписку, если он хочет увидеть подробности.
Нарушение защиты в BPC является спорным вопросом, так как сайты с Paywall обычно открывают полный доступ поисковым системам и социальным сетям, из-за того, что издания заинтересованы в индексации текстов и привлечении посетителей. Поэтому для обхода ограничения доступа, как правило, достаточно просто сменить идентификатор браузера и притвориться поисковым ботом "Googlebot".
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔14😢10🫡7❤1👍1
Инициатива по избавлению браузерного движка Servo от привязки к Mozilla SpiderMonkey
Разработчики браузерного движка Servo представили инициативу по усилению модульности и уходу от использования низкоуровневых API JavaScript-движка SpiderMonkey, развиваемого компанией Mozilla и применяемого в Servo для обеспечения поддержки JavaScript и WebAssembly.
В дальнейшем Servo планируют перевести на более высокоуровневый API и слой абстракций для взаимодействия с JavaScript-движками, что даст возможность избавиться от небезопасных прямых обращений к коду SpiderMonkey, выполняемых в блоках unsafe. В отдалённой перспективе изменение позволит уйти от жёсткой привязи к SpiderMonkey и обеспечить поддержку других движков JavaScript и WebAssembly, таких как используемый в Chrome движок V8.
Linux / Линукс🥸
Разработчики браузерного движка Servo представили инициативу по усилению модульности и уходу от использования низкоуровневых API JavaScript-движка SpiderMonkey, развиваемого компанией Mozilla и применяемого в Servo для обеспечения поддержки JavaScript и WebAssembly.
В дальнейшем Servo планируют перевести на более высокоуровневый API и слой абстракций для взаимодействия с JavaScript-движками, что даст возможность избавиться от небезопасных прямых обращений к коду SpiderMonkey, выполняемых в блоках unsafe. В отдалённой перспективе изменение позволит уйти от жёсткой привязи к SpiderMonkey и обеспечить поддержку других движков JavaScript и WebAssembly, таких как используемый в Chrome движок V8.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
Please open Telegram to view this post
VIEW IN TELEGRAM
😁85😢7👍2
Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59
Опубликован релиз легковесного http-сервера lighttpd 1.4.76, ориентированного на сочетание высокой производительности, безопасности, соответствия стандартам и гибкости настройки.
В новой версии:
• Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
• Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой "git archive" с верификацией по тегам релиза и без загрузки готовых архивов с кодом.
• Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.
• В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2).
И другие изменения.
Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости.
Linux / Линукс🥸
Опубликован релиз легковесного http-сервера lighttpd 1.4.76, ориентированного на сочетание высокой производительности, безопасности, соответствия стандартам и гибкости настройки.
В новой версии:
• Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
• Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой "git archive" с верификацией по тегам релиза и без загрузки готовых архивов с кодом.
• Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.
• В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2).
И другие изменения.
Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
Please open Telegram to view this post
VIEW IN TELEGRAM
❤35😁9👍1
Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя
В PuTTY, клиенте для протокола SSH, пользующегося популярностью на платформе Windows, выявлена опасная уязвимость (CVE-2024-31497), позволяющая воссоздать закрытый ключ пользователя, сгенерированный с использованием алгоритма ECDSA с эллиптической кривой NIST P-521 (ecdsa-sha2-nistp521). Для подбора закрытого ключа достаточно проанализировать примерно 60 цифровых подписей, сформированных проблемным ключом.
Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1. После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Linux / Линукс🥸
В PuTTY, клиенте для протокола SSH, пользующегося популярностью на платформе Windows, выявлена опасная уязвимость (CVE-2024-31497), позволяющая воссоздать закрытый ключ пользователя, сгенерированный с использованием алгоритма ECDSA с эллиптической кривой NIST P-521 (ecdsa-sha2-nistp521). Для подбора закрытого ключа достаточно проанализировать примерно 60 цифровых подписей, сформированных проблемным ключом.
Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1. После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤2🤔2😁1
Памятка Mikrotik Config
В ней задокументирован процесс подключения и настройки общих сценариев.
📌 https://codingpackets.com/blog/mikrotik-config-cheatsheet/
Linux / Линукс🥸
В ней задокументирован процесс подключения и настройки общих сценариев.
📌 https://codingpackets.com/blog/mikrotik-config-cheatsheet/
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15
Линус Торвальдс решил бороться с парсерами Kconfig, которые не могут правильно обрабатывать табуляции
В рамках подготовки патчей для Linux 6.9-rc4 Линус Торвальдс решил бороться с парсерами конфигурационных файлов Kconfig, которые не могут правильно обрабатывать табуляции.
Из-за того, что на прошлой неделе в очередь на обработку был поставлен патч, заменяющий табуляцию на пробел в файле трассировки ядра Kconfig (kernel tracing Kconfig file), Линус Торвальдс решил взять дело в свои руки для парсеров Kconfig, которые не могут работать с табуляциями.
Торвальдс написал патч, чтобы намеренно добавить несколько собственных табов в Kconfig, чтобы отбросить любые внешние или сторонние парсеры, которые не могут их правильно обработать.
Он намеренно добавил эти скрытые табы в общий файл Kconfig для обработки размеров страниц ядра. Таким образом, это обязательно приведёт к серьёзным и заметным ошибкам для любых парсеров, не имеющих правильную обработку табов.
Linux / Линукс🥸
В рамках подготовки патчей для Linux 6.9-rc4 Линус Торвальдс решил бороться с парсерами конфигурационных файлов Kconfig, которые не могут правильно обрабатывать табуляции.
Из-за того, что на прошлой неделе в очередь на обработку был поставлен патч, заменяющий табуляцию на пробел в файле трассировки ядра Kconfig (kernel tracing Kconfig file), Линус Торвальдс решил взять дело в свои руки для парсеров Kconfig, которые не могут работать с табуляциями.
Торвальдс написал патч, чтобы намеренно добавить несколько собственных табов в Kconfig, чтобы отбросить любые внешние или сторонние парсеры, которые не могут их правильно обработать.
Он намеренно добавил эти скрытые табы в общий файл Kconfig для обработки размеров страниц ядра. Таким образом, это обязательно приведёт к серьёзным и заметным ошибкам для любых парсеров, не имеющих правильную обработку табов.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😁47👍20🤔4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁59👍4
Новые версии nginx 1.25.5 и форка FreeNginx 1.26.0
Сформирован выпуск основной ветки nginx 1.25.5, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.
Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск 1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.
Linux / Линукс🥸
Сформирован выпуск основной ветки nginx 1.25.5, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.
Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск 1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19
Please open Telegram to view this post
VIEW IN TELEGRAM
😁66💯18🤔6
Проект Gentoo запретил принятие изменений, подготовленных при помощи AI-инструментов
Управляющий совет дистрибутива Gentoo Linux утвердил правила, запрещающие принятие в Gentoo любого контента, созданного с использованием AI-инструментов, обрабатывающих запросы на естественном языке, таких как ChatGPT, Bard и GitHub Copilot. Подобные инструменты не должны использоваться при написании кода компонентов Gentoo, создании ebuild, подготовке документации и отправке отчётов об ошибках.
Новое требование может быть выборочно отменено для AI-инструментов, для которых будет доказано отсутствие проблем с авторским правом, качеством и этикой.
Linux / Линукс🥸
Управляющий совет дистрибутива Gentoo Linux утвердил правила, запрещающие принятие в Gentoo любого контента, созданного с использованием AI-инструментов, обрабатывающих запросы на естественном языке, таких как ChatGPT, Bard и GitHub Copilot. Подобные инструменты не должны использоваться при написании кода компонентов Gentoo, создании ebuild, подготовке документации и отправке отчётов об ошибках.
Новое требование может быть выборочно отменено для AI-инструментов, для которых будет доказано отсутствие проблем с авторским правом, качеством и этикой.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍53😁4
This media is not supported in your browser
VIEW IN TELEGRAM
Lazy Git – визуальный клиент Git для терминала
Инструмент написан на Go, в нём есть пакеты под популярные дистрибутивы Linux и сборка под Windows.
Начать пользоваться Git сразу на полную не всегда просто, поэтому подобные инструменты помогают привыкнуть и освоиться новичку.
📌 https://github.com/jesseduffield/lazygit
Linux / Линукс🥸
Инструмент написан на Go, в нём есть пакеты под популярные дистрибутивы Linux и сборка под Windows.
Начать пользоваться Git сразу на полную не всегда просто, поэтому подобные инструменты помогают привыкнуть и освоиться новичку.
📌 https://github.com/jesseduffield/lazygit
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🤔6🎉1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁49🤔7
Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Организация OpenSSF выявила активность, связанную с попытками получения контроля над популярными открытыми проектами. По аналогии с атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать методы социального инжиниринга для достижения своих целей.
Например, атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation. В переписке несколько сторонних разработчиков с сомнительной историей разработки открытого ПО предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS. Один из разработчиков предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS.
📌 На что следует обращать внимание:
При приёме изменений следует воспринимать как признаки потенциально вредоносных действий попытки включения в запросы на слияние бинарных данных (например, в xz бэкдор был передан в архивах для тестирования распаковщика) или запутанного или трудного для понимания кода. Следует обращать внимание на пробные попытки внесения изменений, незначительно снижающих безопасность, отправляемые для оценки реакции сообщества и проверки наличия лиц, отслеживающих изменения (например, в xz функция Safe_fprintf была замена на fprintf). Подозрение также должны вызывать нетипичные изменения методов компиляции, сборки и развёртывания проекта, задействование сторонних артефактов и нагнетание ощущения необходимости срочного принятия изменений.
Linux / Линукс🥸
Организация OpenSSF выявила активность, связанную с попытками получения контроля над популярными открытыми проектами. По аналогии с атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать методы социального инжиниринга для достижения своих целей.
Например, атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation. В переписке несколько сторонних разработчиков с сомнительной историей разработки открытого ПО предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS. Один из разработчиков предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS.
📌 На что следует обращать внимание:
При приёме изменений следует воспринимать как признаки потенциально вредоносных действий попытки включения в запросы на слияние бинарных данных (например, в xz бэкдор был передан в архивах для тестирования распаковщика) или запутанного или трудного для понимания кода. Следует обращать внимание на пробные попытки внесения изменений, незначительно снижающих безопасность, отправляемые для оценки реакции сообщества и проверки наличия лиц, отслеживающих изменения (например, в xz функция Safe_fprintf была замена на fprintf). Подозрение также должны вызывать нетипичные изменения методов компиляции, сборки и развёртывания проекта, задействование сторонних артефактов и нагнетание ощущения необходимости срочного принятия изменений.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🤔3❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁82🤔2