В рамках оптимизации Ubuntu Server 25.10 разработчики приняли решение убрать
wget из стандартной установки. Вместо него для базовых задач теперь будет использоваться wcurl, который предлагает схожую функциональность. Сам пакет wget не удален из репозиториев, а просто перемещен в категорию поддерживаемых.Это часть более широкой кампании по зачистке, т.к. из этой же сборки удалили терминальные мультиплексоры
byobu и screen, оставив только tmux. Разработчики считают, что раз в новой версии curl (8.14.x) появилась обертка wcurl, способная заменить wget в большинстве простых сценариев, то нет смысла держать два инструмента с похожими задачами.Технически,
wcurl обертка, которая транслирует базовые команды wget в их эквиваленты для curl. Она умеет скачивать файлы, следовать редиректам, автоматически подбирать имена файлов, избегать перезаписи и выполнять повторные попытки при сбое. Однако для более сложных сценариев, особенно в старых скриптах с множеством специфичных флагов, все еще придется ставить wget вручную.Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣17🤔10😁4👍2🫡2
Невидимый бэкдор Plague атакует Linux-серверы через PAM
Исследователи из Nextron Systems обнаружили новый изощренный бэкдор для Linux под названием Plague. За последний год на VirusTotal было загружено несколько его вариантов, и ни один из них не был обнаружен ни одним из 66 антивирусных движков (рейтинг детекта 0/66).
Такая неуловимость достигается за счет глубокой интеграции в систему. Plague маскируется под легитимный модуль PAM (Pluggable Authentication Modules), встраиваясь в самый корень процесса аутентификации в Linux. Вместо того чтобы ломать систему снаружи, он становится ее частью. Вредоносная библиотека (часто с именем
Plague использует многоуровневую обфускацию строк, которая эволюционировала от простого XOR до сложных алгоритмов, похожих на RC4. Вредонос также оснащен антиотладочными механизмами: он проверяет, что его имя файла не изменено, и что в переменных окружения отсутствует
Для персистентности в бэкдор зашит статический пароль, который позволяет атакующим входить в систему по SSH, обходя стандартную аутентификацию. После успешного входа Plague тщательно зачищает следы: обнуляет переменные окружения
После успешного обхода аутентификации вредонос выводит сообщение-пасхалку из культового фильма «Хакеры» (1995):
Linux / Линукс🥸
Исследователи из Nextron Systems обнаружили новый изощренный бэкдор для Linux под названием Plague. За последний год на VirusTotal было загружено несколько его вариантов, и ни один из них не был обнаружен ни одним из 66 антивирусных движков (рейтинг детекта 0/66).
Такая неуловимость достигается за счет глубокой интеграции в систему. Plague маскируется под легитимный модуль PAM (Pluggable Authentication Modules), встраиваясь в самый корень процесса аутентификации в Linux. Вместо того чтобы ломать систему снаружи, он становится ее частью. Вредоносная библиотека (часто с именем
libselinux.so.8) подменяет собой легитимную и перехватывает функцию pam_sm_authenticate(), получая доступ к логинам и паролям в открытом виде.Plague использует многоуровневую обфускацию строк, которая эволюционировала от простого XOR до сложных алгоритмов, похожих на RC4. Вредонос также оснащен антиотладочными механизмами: он проверяет, что его имя файла не изменено, и что в переменных окружения отсутствует
ld.so.preload, что характерно для песочниц.Для персистентности в бэкдор зашит статический пароль, который позволяет атакующим входить в систему по SSH, обходя стандартную аутентификацию. После успешного входа Plague тщательно зачищает следы: обнуляет переменные окружения
SSH_CONNECTION, SSH_CLIENT, SSH_TTY (чтобы скрыть IP и порт атакующего) и перенаправляет историю команд (HISTFILE) в /dev/null, не оставляя никаких записей в .bash_history.После успешного обхода аутентификации вредонос выводит сообщение-пасхалку из культового фильма «Хакеры» (1995):
Uh. Mr. The Plague, sir? I think we have a hacker.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Nextron-Systems
Plague: A Newly Discovered PAM-Based Backdoor for Linux - Nextron Systems
🌚16❤3👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁76
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁53
Orbitiny Desktop 4: необычное окружение с Qt стало чуть удобнее
Вышел четвёртый экспериментальный релиз Orbitiny Desktop — среды рабочего стола на Qt, написанной с нуля на C++ и распространяемой под GPL. Проект старается совместить классический интерфейс (панель, меню, значки) с новыми UX-идеями, которые редко встречаются в других DE.
Большая часть изменений касается файлового менеджера Qutiny и взаимодействия с рабочим столом. Теперь:
— В описаниях точек монтирования отображаются реальные устройства (например, /dev/sdc1)
— Для них появились отдельные пиктограммы, и они видны в боковой панели
— В панель инструментов добавлена кнопка для быстрого доступа к точкам монтирования
— В диалоге удаления теперь видно полный путь до файла, а в свойствах — хэши и владельца
— Диалог переименования получил обновлённый внешний вид
Orbitiny по-прежнему экспериментальный, но двигается к полноценной DE для тех, кто хочет что-то отличное от GNOME и KDE, но с Qt и классическим поведением.
Linux / Линукс🥸
Вышел четвёртый экспериментальный релиз Orbitiny Desktop — среды рабочего стола на Qt, написанной с нуля на C++ и распространяемой под GPL. Проект старается совместить классический интерфейс (панель, меню, значки) с новыми UX-идеями, которые редко встречаются в других DE.
Большая часть изменений касается файлового менеджера Qutiny и взаимодействия с рабочим столом. Теперь:
— В описаниях точек монтирования отображаются реальные устройства (например, /dev/sdc1)
— Для них появились отдельные пиктограммы, и они видны в боковой панели
— В панель инструментов добавлена кнопка для быстрого доступа к точкам монтирования
— В диалоге удаления теперь видно полный путь до файла, а в свойствах — хэши и владельца
— Диалог переименования получил обновлённый внешний вид
Orbitiny по-прежнему экспериментальный, но двигается к полноценной DE для тех, кто хочет что-то отличное от GNOME и KDE, но с Qt и классическим поведением.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤3😎2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤49😁6☃3🫡1
В Clang появится режим «усиленной безопасности» по примеру GCC
Ведущий разработчик Clang Аарон Баллман предложил добавить единый флаг безопасности — аналог GCC
— Усиленную проверку границ (
— Инициализацию переменных нулём;
— Защиту стеков и контроль потоков;
— ASLR через PIE;
— Защиту от ROP-атак (
Сейчас эти опции разрознены, плохо документированы и часто нарушают ABI-совместимость — их редко используют. Новый режим (
Linux / Линукс🥸
Ведущий разработчик Clang Аарон Баллман предложил добавить единый флаг безопасности — аналог GCC
-fhardened. Режим разом включит набор защит: — Усиленную проверку границ (
_FORTIFY_SOURCE=3); — Инициализацию переменных нулём;
— Защиту стеков и контроль потоков;
— ASLR через PIE;
— Защиту от ROP-атак (
-fcf-protection).Сейчас эти опции разрознены, плохо документированы и часто нарушают ABI-совместимость — их редко используют. Новый режим (
-fhardened, --config=hardened или отдельный драйвер) решит проблему, дав разработчикам «одну кнопку» для безопасности.Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13😁7🤔2🤯1🤣1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁37💔5❤2🤬1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁48❤4
В Clang намерены добавить режим усиленной безопасности
Аарон Баллман, главный сопровождающий компилятор Clang, начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор опций для усиления защиты по аналогии с добавленным в GCC 14 флагом "-fhardened", при котором включаются опции "-D_FORTIFY_SOURCE=3 -D_GLIBCXX_ASSERTIONS -ftrivial-auto-var-init=zero -fPIE -pie -Wl,-z,relro,-z,now -fstack-protector-strong -fstack-clash-protection -fcf-protection=full".
Отмечается, что в настоящее время ведётся работа по добавлению возможностей для усиления безопасности в стандарты C и C++, но этот процесс не быстрый, при том, что в Сlang уже доступны отдельные опции с реализацией дополнительных механизмов защиты. Реализуемые методы защиты часто приводят к отдельным несовместимостям с существующим кодом или нарушению ABI, что не позволяет активировать их по умолчанию. Кроме того, подобные опции разрознены (флаги для управления компиляцией, флаги генерации машинных инструкций, привязанные к аппаратным архитектурам, предупреждения, режимы диагностики, макросы), плохо документированы и выпадают из поля зрения многих разработчиков.
Linux / Линукс🥸
Аарон Баллман, главный сопровождающий компилятор Clang, начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор опций для усиления защиты по аналогии с добавленным в GCC 14 флагом "-fhardened", при котором включаются опции "-D_FORTIFY_SOURCE=3 -D_GLIBCXX_ASSERTIONS -ftrivial-auto-var-init=zero -fPIE -pie -Wl,-z,relro,-z,now -fstack-protector-strong -fstack-clash-protection -fcf-protection=full".
Отмечается, что в настоящее время ведётся работа по добавлению возможностей для усиления безопасности в стандарты C и C++, но этот процесс не быстрый, при том, что в Сlang уже доступны отдельные опции с реализацией дополнительных механизмов защиты. Реализуемые методы защиты часто приводят к отдельным несовместимостям с существующим кодом или нарушению ABI, что не позволяет активировать их по умолчанию. Кроме того, подобные опции разрознены (флаги для управления компиляцией, флаги генерации машинных инструкций, привязанные к аппаратным архитектурам, предупреждения, режимы диагностики, макросы), плохо документированы и выпадают из поля зрения многих разработчиков.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🤔1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁63🤯1
❓ Потеря данных — это кошмар для любой компании. Хотите защитить свои MySQL-базы?
👉 На открытом уроке 7 августа в 19:00 МСК мы разберём все подходы к резервному копированию: от дампов до репликации. Вы научитесь работать с инструментами вроде mysqldump, xtrabackup, а также научитесь автоматизировать создание резервных копий и их хранение.
💪 После вебинара вы сможете восстановить данные из дампов или инкрементальных копий и избежать ошибок при бэкапе. Этот опыт необходим каждому системному администратору и DevOps-инженеру!
🎁 Посетите урок и получите скидку на большое обучение «Administrator Linux. Professional»: https://vk.cc/cOaj8c
👉 Для участия в вебинаре зарегистрируйтесь
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👉 На открытом уроке 7 августа в 19:00 МСК мы разберём все подходы к резервному копированию: от дампов до репликации. Вы научитесь работать с инструментами вроде mysqldump, xtrabackup, а также научитесь автоматизировать создание резервных копий и их хранение.
💪 После вебинара вы сможете восстановить данные из дампов или инкрементальных копий и избежать ошибок при бэкапе. Этот опыт необходим каждому системному администратору и DevOps-инженеру!
🎁 Посетите урок и получите скидку на большое обучение «Administrator Linux. Professional»: https://vk.cc/cOaj8c
👉 Для участия в вебинаре зарегистрируйтесь
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
❤4💔1
Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
Сопровождающий пакет StarDict в Debian ответил, что подобное поведение является штатным. По умолчанию в StarDict включён режим автоматического поиска в словарях выделенного текста и активированы как локальные, так и внешние словари. Серверы dict. youdao. com и dict. cn предоставляют англо-китайские словари, подключаемые через плагины, по умолчанию включаемые при установке пакета stardict-plugin, который является рекомендованной зависимостью для пакета stardict-gtk. Тем, кого подобное поведение не устраивает, рекомендовано в настройках отключить сетевые словари или функцию автоматического поиска при выделении.
Обративший внимание на проблему пользователь возразил, что подобное поведение ни при каких условиях не должно активироваться по умолчанию, так как она приводит к утечке информации. Пользователь может выделять в приложениях текст с конфиденциальным содержимым, например, паролями и личными данными. При этом информация не только потенциально оседает в логах на серверах dict. youdao. com и dict. cn и видна их администраторам, но и становится доступна для перехвата трафика из-за использования HTTP, а не HTTPS
Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. Теперь данная функциональность опять возвращена.
Linux / Линукс🥸
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
Сопровождающий пакет StarDict в Debian ответил, что подобное поведение является штатным. По умолчанию в StarDict включён режим автоматического поиска в словарях выделенного текста и активированы как локальные, так и внешние словари. Серверы dict. youdao. com и dict. cn предоставляют англо-китайские словари, подключаемые через плагины, по умолчанию включаемые при установке пакета stardict-plugin, который является рекомендованной зависимостью для пакета stardict-gtk. Тем, кого подобное поведение не устраивает, рекомендовано в настройках отключить сетевые словари или функцию автоматического поиска при выделении.
Обративший внимание на проблему пользователь возразил, что подобное поведение ни при каких условиях не должно активироваться по умолчанию, так как она приводит к утечке информации. Пользователь может выделять в приложениях текст с конфиденциальным содержимым, например, паролями и личными данными. При этом информация не только потенциально оседает в логах на серверах dict. youdao. com и dict. cn и видна их администраторам, но и становится доступна для перехвата трафика из-за использования HTTP, а не HTTPS
Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. Теперь данная функциональность опять возвращена.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬31👍7😁3❤1🤔1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁63🤣12😎4💯1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣60😁10❤6🌚3
Стабильный релиз прокси-сервера Squid 7
Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций.
Основные новшества Squid 7:
— В ACL улучшена настройка перекрывающихся диапазонов IP-адресов и определения масок доменов.
— Удалена поддержка языка разметки ESI (Edge Side Includes).
— Убран доступ к Cache Manager с использованием схемы cache_object:// (оставлен только доступ по HTTP).
— Удалена утилита squdclient, вместо которой следует использовать "curl https://хост/squid-internal-mgr/menu".
— Удалён обработчик cachemgr.cgi.
— Удалена утилита purge, вместо которой следует использовать HTTP-метод PURGE.
— Прекращена поддержка протокола Ident.
— Удалены обработчики basic_smb_lm_auth и ntlm_smb_lm_auth, вместо которых рекомендовано использовать ntlm_auth от проекта Samba.
Linux / Линукс🥸
Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций.
Основные новшества Squid 7:
— В ACL улучшена настройка перекрывающихся диапазонов IP-адресов и определения масок доменов.
— Удалена поддержка языка разметки ESI (Edge Side Includes).
— Убран доступ к Cache Manager с использованием схемы cache_object:// (оставлен только доступ по HTTP).
— Удалена утилита squdclient, вместо которой следует использовать "curl https://хост/squid-internal-mgr/menu".
— Удалён обработчик cachemgr.cgi.
— Удалена утилита purge, вместо которой следует использовать HTTP-метод PURGE.
— Прекращена поддержка протокола Ident.
— Удалены обработчики basic_smb_lm_auth и ntlm_smb_lm_auth, вместо которых рекомендовано использовать ntlm_auth от проекта Samba.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🌚2🕊1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔21🙏1
Релиз эмулятора FEX 2508 для запуска x86 софта на ARM-чипах
Эмулятор разработан проектом Asahi для запуска на системах с SoC Apple Silicon игр из каталога Steam, собранных для x86_64 (включая поддержку AVX2), однако поддерживается большинство ARMv8.0+ гаджетов. Код проекта написан на языке С++ с ассемблером. Библиотеки, необходимые для запуска x86-приложений в ARM64-окружении, подключаются в форме overlay-прослойки с образом корневой ФС (rootfs), поставляемой в формате SquashFS.
Для проброса звука и 3D-графики в rootfs помещаются thunk-библиотеки, доступны libEGL, libGL, libSDL2, libX11, libVDSO, libasound, libdrm, libfex_malloc, libvulkan, libwayland-client и libxshmfence.
В релизе FEX 2508 проведена значительная оптимизация JIT-компилятора, которая позволила повысить FPS в играх на 5-35%. Реализована поддержка NX-бита, а также проведены оптимизации под некоторые игры, такие как Peggle Deluxe и Crysis 2.
Linux / Линукс🥸
Эмулятор разработан проектом Asahi для запуска на системах с SoC Apple Silicon игр из каталога Steam, собранных для x86_64 (включая поддержку AVX2), однако поддерживается большинство ARMv8.0+ гаджетов. Код проекта написан на языке С++ с ассемблером. Библиотеки, необходимые для запуска x86-приложений в ARM64-окружении, подключаются в форме overlay-прослойки с образом корневой ФС (rootfs), поставляемой в формате SquashFS.
Для проброса звука и 3D-графики в rootfs помещаются thunk-библиотеки, доступны libEGL, libGL, libSDL2, libX11, libVDSO, libasound, libdrm, libfex_malloc, libvulkan, libwayland-client и libxshmfence.
В релизе FEX 2508 проведена значительная оптимизация JIT-компилятора, которая позволила повысить FPS в играх на 5-35%. Реализована поддержка NX-бита, а также проведены оптимизации под некоторые игры, такие как Peggle Deluxe и Crysis 2.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤1🤬1🌚1
Проект KDE выкатил первую публичную пре-альфа-версию своего нового дистрибутива — KDE Linux (ранее известного как "Project Banana"). Важно не путать его с KDE Neon. Если Neon по сути, свежий KDE поверх Ubuntu LTS для демонстрации новых фич, то KDE Linux совершенно другой проект.
В его основе лежит иммутабельная (immutable) архитектура, явно вдохновленная SteamOS 3. Это означает, что корневой раздел Btrfs находится в режиме только чтение, а обновления системы происходят атомарно, путем замены всего образа ОС, как на смартфонах. Для откатов используются снепшоты Btrfs, а сама система имеет два корневых раздела (A/B), которые обновляются поочередно. Это должно сделать систему пуленепробиваемой и защищенной от сбоев при обновлении.
Дистриб построен на базе Arch Linux, но это не совсем Arch. Из-за иммутабельности здесь нет пакетного менеджера, и пользователь не может устанавливать нативные пакеты, включая проприетарные драйверы Nvidia (поддерживаются только GPU с открытыми драйверами). Приложения устанавливаются в виде изолированных пакетов Flatpak (возможно, добавят и Snap) через магазин KDE Discover.
Пока что проект на очень ранней стадии. Текущая сборка весит более 5 ГБ, обновления - это скачивание полного нового образа (инкрементальные апдейты пока не поддерживаются), нет поддержки Secure Boot, а работает все это только на Wayland. При попытке запустить его в QEMU, рабочий стол падает сразу после логина😁
Linux / Линукс🥸
В его основе лежит иммутабельная (immutable) архитектура, явно вдохновленная SteamOS 3. Это означает, что корневой раздел Btrfs находится в режиме только чтение, а обновления системы происходят атомарно, путем замены всего образа ОС, как на смартфонах. Для откатов используются снепшоты Btrfs, а сама система имеет два корневых раздела (A/B), которые обновляются поочередно. Это должно сделать систему пуленепробиваемой и защищенной от сбоев при обновлении.
Дистриб построен на базе Arch Linux, но это не совсем Arch. Из-за иммутабельности здесь нет пакетного менеджера, и пользователь не может устанавливать нативные пакеты, включая проприетарные драйверы Nvidia (поддерживаются только GPU с открытыми драйверами). Приложения устанавливаются в виде изолированных пакетов Flatpak (возможно, добавят и Snap) через магазин KDE Discover.
Пока что проект на очень ранней стадии. Текущая сборка весит более 5 ГБ, обновления - это скачивание полного нового образа (инкрементальные апдейты пока не поддерживаются), нет поддержки Secure Boot, а работает все это только на Wayland. При попытке запустить его в QEMU, рабочий стол падает сразу после логина
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😁23👍6🌚4🫡4😎2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁20🌚9💔1