Android 15 передаватиме геолокацію смартфона навіть коли він вимкнений
В Android 15 з'явиться нова функція Powered Off Finding API, яка дасть змогу знаходити пристрої, навіть коли вони вимкнені.
Power Off Finding буде постійно використовувати контролер Bluetooth.
Інші найближчі пристрої Android, які входять у мережу Find My Device і перебувають у зоні дії пристрою, що транслює, прийматимуть сигнал маячка.
Потім вони передаватимуть його геолокацію на сервер Google.
В Android 15 з'явиться нова функція Powered Off Finding API, яка дасть змогу знаходити пристрої, навіть коли вони вимкнені.
Power Off Finding буде постійно використовувати контролер Bluetooth.
Інші найближчі пристрої Android, які входять у мережу Find My Device і перебувають у зоні дії пристрою, що транслює, прийматимуть сигнал маячка.
Потім вони передаватимуть його геолокацію на сервер Google.
🥰7👎3🗿2
Ілон Маск 17 березня опублікував вихідний код ШІ Grok
Опублікована модель Grok-1 являє собою неадаптований базовий набір даних зі стадії попереднього навчання, що завершилася в жовтні 2023 року.
xAI забезпечує доступ до моделі під ліцензією Apache 2.0
Чат-бота складно назвати "вбивцею всіх ШІ", але у нього є одна особливість - відсутність цензури.
Опублікована модель Grok-1 являє собою неадаптований базовий набір даних зі стадії попереднього навчання, що завершилася в жовтні 2023 року.
xAI забезпечує доступ до моделі під ліцензією Apache 2.0
Чат-бота складно назвати "вбивцею всіх ШІ", але у нього є одна особливість - відсутність цензури.
🥱5🤓3😱1
У Snap Store виявлено шкідливі програми для роботи з криптогаманцями (яка несподіванка)
У каталозі Snap Store виявлено 10 застосунків, стилізованих під офіційні клієнти популярних криптовалютних гаманців, але насправді таких, які не мають відношення до розробників цих проєктів, і які створені лише для скаму.
Ба більше, в каталозі ці додатки позначені міткою "Safe", яка створює ілюзію того, що застосунок перевірено і він є "безпечним".
Застосунки опубліковано користувачем digisafe00000 під іменами, подібними до "exodus-build-96567", але в списку застосунків мають вигляд звичайних криптовалютних застосунків: Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche та Trust Wallet.
Наразі зазначені додатки вже видалено з каталогу Snap Store, але майже одразу після їхнього видалення їх було розміщено заново під новим користувачем.
У каталозі Snap Store виявлено 10 застосунків, стилізованих під офіційні клієнти популярних криптовалютних гаманців, але насправді таких, які не мають відношення до розробників цих проєктів, і які створені лише для скаму.
Ба більше, в каталозі ці додатки позначені міткою "Safe", яка створює ілюзію того, що застосунок перевірено і він є "безпечним".
Застосунки опубліковано користувачем digisafe00000 під іменами, подібними до "exodus-build-96567", але в списку застосунків мають вигляд звичайних криптовалютних застосунків: Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche та Trust Wallet.
Наразі зазначені додатки вже видалено з каталогу Snap Store, але майже одразу після їхнього видалення їх було розміщено заново під новим користувачем.
🤯5😐1🗿1
Playtron - новий Linux дистрибутив для ігор
Компанія Playtron вийшла на ринок геймінгу, анонсувавши дистрибутив PlaytronOS з ядром Linux і портативний комп'ютер Playtron.
Дистрибутив працює на всіх сучасних ігрових портативних комп'ютерах, тому ви можете встановити її на Steam Deck, Asus ROG Ally, GPD Win 4 або Lenovo Legion Go.
Він підтримує ігри для Windows, які не прив'язані до Steam, а також підтримує ігри з Epic Games Store.
Також, проєкт планує підтримувати архітектури ПК на базі ARM та x86.
Playtron сподівається запустити загальнодоступну альфа-версію своєї операційної системи в найближчі 60 днів, щоб ком'юніті могло пропонувати ідеї для проєкту та контриб'ютити в проєкт.
Компанія Playtron вийшла на ринок геймінгу, анонсувавши дистрибутив PlaytronOS з ядром Linux і портативний комп'ютер Playtron.
Дистрибутив працює на всіх сучасних ігрових портативних комп'ютерах, тому ви можете встановити її на Steam Deck, Asus ROG Ally, GPD Win 4 або Lenovo Legion Go.
Він підтримує ігри для Windows, які не прив'язані до Steam, а також підтримує ігри з Epic Games Store.
Також, проєкт планує підтримувати архітектури ПК на базі ARM та x86.
Playtron сподівається запустити загальнодоступну альфа-версію своєї операційної системи в найближчі 60 днів, щоб ком'юніті могло пропонувати ідеї для проєкту та контриб'ютити в проєкт.
😎4❤1🔥1
У драйвері NVIDIA 550.67 випущено виправлення для VKD3D (Proton), Wayland(під питанням), тощо
19 березня NVIDIA випустила свіжий стабільний драйвер з виправленими помилками версії 550.67 для Linux. Ось всі зміни, які ви знайдете в ньому.
З коментаря до випуску:
- Виправлено помилку, яка могла призвести до зависання драйвера GPU під час запуску деяких ігор Vkd3d, таких як F1 2021.
- Виправлено ваду, що призводила до зависання wgpu-програм на Wayland.
- Оновлено панель керування nvidia-settings, щоб забезпечити можливість використання усієї сторінки налаштувань дисплея, коли показано вікно Layout.
- Оновлено панель керування nvidia-settings, щоб дозволити встановити основний дисплей на будь-якому графічному процесорі у системі з декількома графічними процесорами.
- Виправлено помилку Xid під час гри Alan Wake 2 з увімкненим RTX.
Але користувачі пишуть, що оновлення не виправило мерехтіння у Wayland (це чекає на явні виправлення синхронізації), захоплення вікон Wayland для Discord або Steam Link, або загальні збої (це може бути на стороні KDE).
19 березня NVIDIA випустила свіжий стабільний драйвер з виправленими помилками версії 550.67 для Linux. Ось всі зміни, які ви знайдете в ньому.
З коментаря до випуску:
- Виправлено помилку, яка могла призвести до зависання драйвера GPU під час запуску деяких ігор Vkd3d, таких як F1 2021.
- Виправлено ваду, що призводила до зависання wgpu-програм на Wayland.
- Оновлено панель керування nvidia-settings, щоб забезпечити можливість використання усієї сторінки налаштувань дисплея, коли показано вікно Layout.
- Оновлено панель керування nvidia-settings, щоб дозволити встановити основний дисплей на будь-якому графічному процесорі у системі з декількома графічними процесорами.
- Виправлено помилку Xid під час гри Alan Wake 2 з увімкненим RTX.
Але користувачі пишуть, що оновлення не виправило мерехтіння у Wayland (це чекає на явні виправлення синхронізації), захоплення вікон Wayland для Discord або Steam Link, або загальні збої (це може бути на стороні KDE).
😭1
GitLab видалила Suyu, форк емулятора Yuzu
Сьогодні GitLab закрив доступ до емулятора Suyu і заблокував акаунти його розробників після того, як, швидше за все, головний розробник отримав лист у вигляді запиту на видалення згідно з вимогами DMCA.
Хто надіслав запит на видалення, намагається використати те, що Yuzu нібито порушив DMCA 1201 , обійшовши заходи технічного захисту Nintendo. Й, можливо, також тонко погрожує GitLab незаконною торгівлею (що також є частиною DMCA 1201).
Крім того, Suyu стверджує, що він не містить таких заходів для обходу, як Yuzu.
Але є і хороша новина: Suyu перенесли всі свої репозиторії на свій децентралізований Git-сервер (форк Gitea), і весь проєкт буде в повному порядку.
Схоже, Nintendo не потрібно судитися з емуляторами, щоб вбити їх.
1984
Сьогодні GitLab закрив доступ до емулятора Suyu і заблокував акаунти його розробників після того, як, швидше за все, головний розробник отримав лист у вигляді запиту на видалення згідно з вимогами DMCA.
Хто надіслав запит на видалення, намагається використати те, що Yuzu нібито порушив DMCA 1201 , обійшовши заходи технічного захисту Nintendo. Й, можливо, також тонко погрожує GitLab незаконною торгівлею (що також є частиною DMCA 1201).
Крім того, Suyu стверджує, що він не містить таких заходів для обходу, як Yuzu.
Але є і хороша новина: Suyu перенесли всі свої репозиторії на свій децентралізований Git-сервер (форк Gitea), і весь проєкт буде в повному порядку.
Схоже, Nintendo не потрібно судитися з емуляторами, щоб вбити їх.
1984
😢6
Інцидент із темою оформлення KDE, що видаляє користувацькі файли
Проєкт KDE рекомендував утриматися від встановлення неофіційних глобальних тем оформлення і віджетів в KDE. Пов'язано це з інцидентом із видаленням усіх особистих файлів у користувача, який встановив тему оформлення Grey Layout з каталогу KDE Store(вона налічує 4000 завантажень).
Передбачається, що інцидент спричинений не злим умислом, а помилкою, пов'язаною з небезпечним використанням команди rm -rf.
Розробники KDE мають намір провести аудит сторонніх тем оформлення, розміщених у каталозі KDE Store. Додатково обговорюється питання введення попередньої перевірки проєктів, що розміщуються в KDE Store.
Проєкт KDE рекомендував утриматися від встановлення неофіційних глобальних тем оформлення і віджетів в KDE. Пов'язано це з інцидентом із видаленням усіх особистих файлів у користувача, який встановив тему оформлення Grey Layout з каталогу KDE Store(вона налічує 4000 завантажень).
Передбачається, що інцидент спричинений не злим умислом, а помилкою, пов'язаною з небезпечним використанням команди rm -rf.
Розробники KDE мають намір провести аудит сторонніх тем оформлення, розміщених у каталозі KDE Store. Додатково обговорюється питання введення попередньої перевірки проєктів, що розміщуються в KDE Store.
😁4🔥2👍1
Вчора 22 березня NetBSD виповнився 31 рік 🎉
31 рік та 1 день тому Кріс Деметріу здійснив перший коміт, який відзначив створення репозиторію проєкту і відгалуження від кодової бази 386BSD 0.1.
Перший реліз вийшов через кілька тижнів - 19 квітня.
Серед мотивів створення нової ОС згадувалася розбіжність поглядів із розробниками 386BSD, що виразилося в бажанні:
1. Перейти до відкритішої моделі розроблення
2. Об'єднати в працюючому продукті зовнішні патчі, які накопичилися в комʼюніті
3. Інтегрувати в систему колекцію мережевих застосувань, яка окремо розвивається.
Згодом цілі проєкту NetBSD сконцентрувалися на забезпеченні високої стабільності та переносимості коду.
31 рік та 1 день тому Кріс Деметріу здійснив перший коміт, який відзначив створення репозиторію проєкту і відгалуження від кодової бази 386BSD 0.1.
Перший реліз вийшов через кілька тижнів - 19 квітня.
Серед мотивів створення нової ОС згадувалася розбіжність поглядів із розробниками 386BSD, що виразилося в бажанні:
1. Перейти до відкритішої моделі розроблення
2. Об'єднати в працюючому продукті зовнішні патчі, які накопичилися в комʼюніті
3. Інтегрувати в систему колекцію мережевих застосувань, яка окремо розвивається.
Згодом цілі проєкту NetBSD сконцентрувалися на забезпеченні високої стабільності та переносимості коду.
🎉4
Випущено GE-Proton 9-2 та ULWGL перейменовано на umu
Томас Крайдер АКА "GloriousEggroll" випустив нову версію GE-Proton 9-2 з купою оновлень, а також перейменував ULWGL (Unified Linux Wine Game Launcher).
Якщо з Proton-ом все зрозуміло, що він із себе представляє, то що таке ULWGL? - По суті, це копія Steam Linux Runtime/Steam Runtime Tools, яку Valve використовує для Proton, з деякими змінами, зробленими для того, щоб її можна було використовувати поза Steam. Отже, це не лаунчер у сенсі Heroic або Lutris, а інструмент, який використовується іншими лаунчерами для правильного запуску Proton поза Steam.
У GE-Proton 9-2 та ULWGL відбулися такі зміни:
- wine оновлено до останньої версії bleeding edge.
- dxvk оновлено до останньої версії.
- vkd3d-proton оновлено до останньої версії.
- dxvk-nvapi оновлено до останньої версії.
- додано зміни у висхідному потоці proton.
- додано зміни у висхідному steamclient.
- ULWGL-протонфікси перейменовано на umu-протонфікси для кожного upstream-проєкту.
- попередні зауваження щодо проблему з відтворенням wmv виправлено - знову працює з кінцевою версією Marvel vs. Capcom
Томас Крайдер АКА "GloriousEggroll" випустив нову версію GE-Proton 9-2 з купою оновлень, а також перейменував ULWGL (Unified Linux Wine Game Launcher).
Якщо з Proton-ом все зрозуміло, що він із себе представляє, то що таке ULWGL? - По суті, це копія Steam Linux Runtime/Steam Runtime Tools, яку Valve використовує для Proton, з деякими змінами, зробленими для того, щоб її можна було використовувати поза Steam. Отже, це не лаунчер у сенсі Heroic або Lutris, а інструмент, який використовується іншими лаунчерами для правильного запуску Proton поза Steam.
У GE-Proton 9-2 та ULWGL відбулися такі зміни:
- wine оновлено до останньої версії bleeding edge.
- dxvk оновлено до останньої версії.
- vkd3d-proton оновлено до останньої версії.
- dxvk-nvapi оновлено до останньої версії.
- додано зміни у висхідному потоці proton.
- додано зміни у висхідному steamclient.
- ULWGL-протонфікси перейменовано на umu-протонфікси для кожного upstream-проєкту.
- попередні зауваження щодо проблему з відтворенням wmv виправлено - знову працює з кінцевою версією Marvel vs. Capcom
Сьогодні особливий день - на каналі ювілей! 100 підписників!
Дуже радий, що на каналі зібралася така чудова аудиторія, та я став євангелістом Unix-подібних систем в Україні, але без вас цього всього не було б! Тож насамперед я вдячний Вам!
Також, вдячний цим каналам і чатам, та їхнім адмінам: Техноблядство, коннект із реальністю, ASCII-Nova, IT Двіж, Цифрова долина, чат нетакусиків
Вдячний усім, хто репостить пости, ставить реакції, пише коментарі та спілкується в нашому чатику! Завдяки вам просувається філософія вільного ПЗ та Unix-подібні системи в Україні!
Дуже радий, що на каналі зібралася така чудова аудиторія, та я став євангелістом Unix-подібних систем в Україні, але без вас цього всього не було б! Тож насамперед я вдячний Вам!
Також, вдячний цим каналам і чатам, та їхнім адмінам: Техноблядство, коннект із реальністю, ASCII-Nova, IT Двіж, Цифрова долина, чат нетакусиків
Вдячний усім, хто репостить пости, ставить реакції, пише коментарі та спілкується в нашому чатику! Завдяки вам просувається філософія вільного ПЗ та Unix-подібні системи в Україні!
🔥10👍4❤3
Випуск текстового редактора GNU Emacs 29.3 з усуненням вразливостей
GNU Emacs 29.3 подається як позаплановий екстрений випуск з усуненням вразливостей. За попередніми даними вразливості дають змогу домогтися виконання коду під час відкриття певного контенту або перегляду в Gnus листів зі спеціально оформленими вкладеннями.
Безпосередньо вразливості в списку змін поки не деталізуються, є інформація тільки про додані методи захисту:
- Для блокування підстановки зовнішнього шкідливого коду заборонено виконувати довільний Lisp-код під час увімкнення режиму Org.
- Додано нову змінну untrusted-content, яку можна використовувати для позначки розміщення в локальному буфері контенту, що "не заслуговує на довіру", до якого Lisp-програмам слід ставитися з особливою обережністю.
- У Gnus вміст вбудованих (inline) MIME-блоків тепер обробляється як такий, що "не заслуговує на довіру".
- За замовчуванням вимкнено попередній перегляд вмісту поштових вкладень у форматі LaTeX. Для повернення старої поведінки додано параметр org--latex-preview-when-risky.
- У режимі Org вміст зовнішніх файлів, що викликаються через file-remote-p, обробляється як такий, що "не заслуговує на довіру".
GNU Emacs 29.3 подається як позаплановий екстрений випуск з усуненням вразливостей. За попередніми даними вразливості дають змогу домогтися виконання коду під час відкриття певного контенту або перегляду в Gnus листів зі спеціально оформленими вкладеннями.
Безпосередньо вразливості в списку змін поки не деталізуються, є інформація тільки про додані методи захисту:
- Для блокування підстановки зовнішнього шкідливого коду заборонено виконувати довільний Lisp-код під час увімкнення режиму Org.
- Додано нову змінну untrusted-content, яку можна використовувати для позначки розміщення в локальному буфері контенту, що "не заслуговує на довіру", до якого Lisp-програмам слід ставитися з особливою обережністю.
- У Gnus вміст вбудованих (inline) MIME-блоків тепер обробляється як такий, що "не заслуговує на довіру".
- За замовчуванням вимкнено попередній перегляд вмісту поштових вкладень у форматі LaTeX. Для повернення старої поведінки додано параметр org--latex-preview-when-risky.
- У режимі Org вміст зовнішніх файлів, що викликаються через file-remote-p, обробляється як такий, що "не заслуговує на довіру".
👍3❤1🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
Днями знайшов прекрасну утиліту для створення легких і мінімалістичних презентацій від команди suckless. Її назва - sent.
sent не потребує Латексу, LibreOffice чи будь-якого іншого формату файлів, він використовує текстові файли для опису слайдів, а також може відображати зображення. Кожен абзац являє собою слайд презентації. Ви можете створити презентацію за методом Такахасі, це дуже зручно і дозволяє записати презентацію для швидкого та блискавичного виступу протягом декількох хвилин.
Презентація відображається у простому вікні X11. Вміст кожного слайда автоматично масштабується відповідно до розміру вікна.
Скрипт може скаржитися, що не може відкрити nyan.png, тож будьте пильними (просто видаліть у example рядок зі згадкою цієї фотки)
Якщо ви хочете змінити колір заднього фону та/або тексту, або змінити шрифт, то відредагуйте під свої потреби config.h і скомпілюйте програму ще раз.
*для відображення фото треба встановити farbfeld
sent не потребує Латексу, LibreOffice чи будь-якого іншого формату файлів, він використовує текстові файли для опису слайдів, а також може відображати зображення. Кожен абзац являє собою слайд презентації. Ви можете створити презентацію за методом Такахасі, це дуже зручно і дозволяє записати презентацію для швидкого та блискавичного виступу протягом декількох хвилин.
Презентація відображається у простому вікні X11. Вміст кожного слайда автоматично масштабується відповідно до розміру вікна.
git clone https://git.suckless.org/sent
cd sent
make
./sent exampleСкрипт може скаржитися, що не може відкрити nyan.png, тож будьте пильними (просто видаліть у example рядок зі згадкою цієї фотки)
Якщо ви хочете змінити колір заднього фону та/або тексту, або змінити шрифт, то відредагуйте під свої потреби config.h і скомпілюйте програму ще раз.
*для відображення фото треба встановити farbfeld
🔥6
This media is not supported in your browser
VIEW IN TELEGRAM
Двері номерів 13 000 готелів у 131 країні світу можна розкрити через вразливість Unsaflok
Дослідники зі США вперше публічно розкрили техніку злому кількох моделей замків з RFID-ключами марки Saflok, що випускається швейцарським виробником Dormakaba.
Група вразливостей під назвою Unsaflok дає змогу під час зчитування оригінальної ключ-карти визначати необхідні дані для відкриття замка і підробляти робочий майстер-ключ, що складається з двох карток.
Для створення підробки підійде будь-який RFID-дублікатор, включно з Proxmark3 або Flipper Zero, і навіть Android-смартфон з NFC.
Під час експлуатації вразливості перша картка перезаписує дані замка, а друга відкриває його.
Дослідники зі США вперше публічно розкрили техніку злому кількох моделей замків з RFID-ключами марки Saflok, що випускається швейцарським виробником Dormakaba.
Група вразливостей під назвою Unsaflok дає змогу під час зчитування оригінальної ключ-карти визначати необхідні дані для відкриття замка і підробляти робочий майстер-ключ, що складається з двох карток.
Для створення підробки підійде будь-який RFID-дублікатор, включно з Proxmark3 або Flipper Zero, і навіть Android-смартфон з NFC.
Під час експлуатації вразливості перша картка перезаписує дані замка, а друга відкриває його.
❤2
Починаючи з Ubuntu 14.04 час підтримки LTS-релізів буде збільшено до 12 років
Компанія Canonical оголосила про введення 12 річного терміну формування оновлень для LTS-випусків Ubuntu. Продовження торкнеться всіх актуальних LTS-випусків, починаючи з Ubuntu 14.04, підтримка якого повинна була закінчитися у квітні цього року, але тепер продовжена до квітня 2026 року.
Оновлення для Ubuntu 24.04 формуватимуться до 2036 року, Ubuntu 22.04 - 2034, Ubuntu 20.04 - 2032, тощо. Оновлення, як і раніше, будуть загальнодоступні протягом 5 років після релізу, а решта 7 років надаватимуться тільки користувачам сервісу Ubuntu Pro.
Що стосується інших дистрибутивів:
- 14 років буде підтримуватися дистрибутив Red Hat Enterprise Linux (10 років + 4 роки додаткового платного сервісу)
- 13 років підтримується SUSE Linux (10 General + 3 LTSS)
- 7 років підтримується Debian GNU/Linux (5 років LTS + 2 роки Extended LTS)
- 18 місяців підтримується openSUSE
- 13 місяців підтримується Fedora Linux.
Компанія Canonical оголосила про введення 12 річного терміну формування оновлень для LTS-випусків Ubuntu. Продовження торкнеться всіх актуальних LTS-випусків, починаючи з Ubuntu 14.04, підтримка якого повинна була закінчитися у квітні цього року, але тепер продовжена до квітня 2026 року.
Оновлення для Ubuntu 24.04 формуватимуться до 2036 року, Ubuntu 22.04 - 2034, Ubuntu 20.04 - 2032, тощо. Оновлення, як і раніше, будуть загальнодоступні протягом 5 років після релізу, а решта 7 років надаватимуться тільки користувачам сервісу Ubuntu Pro.
Що стосується інших дистрибутивів:
- 14 років буде підтримуватися дистрибутив Red Hat Enterprise Linux (10 років + 4 роки додаткового платного сервісу)
- 13 років підтримується SUSE Linux (10 General + 3 LTSS)
- 7 років підтримується Debian GNU/Linux (5 років LTS + 2 роки Extended LTS)
- 18 місяців підтримується openSUSE
- 13 місяців підтримується Fedora Linux.
👍1🐳1
Випуск дистрибутива Tails 6.1, призначеного для анонімного виходу в мережу.
У новій версії:
- Оновлено Tor Browser до версії 13.0.13 та Thunderbird до версії 115.9
- Додано нову версію мікрокоду для CPU Intel зі змінами, необхідними для блокування вразливості RFDS.
- У конфігураторі постійного сховища забезпечено відображення всіх увімкнених додаткових можливостей.
Для завантаження підготовлено iso-образ, здатний працювати в Live-режимі, розміром 1 ГБ
У новій версії:
- Оновлено Tor Browser до версії 13.0.13 та Thunderbird до версії 115.9
- Додано нову версію мікрокоду для CPU Intel зі змінами, необхідними для блокування вразливості RFDS.
- У конфігураторі постійного сховища забезпечено відображення всіх увімкнених додаткових можливостей.
Для завантаження підготовлено iso-образ, здатний працювати в Live-режимі, розміром 1 ГБ
❤🔥3❤1🔥1🥱1
Вразливості в Linux, що дають змогу підняти свої привілеї через nf_tables і ksmbd
У Netfilter виявлено уразливість CVE-2024-1086, що дає змогу користувачеві виконати код на рівні ядра і підняти свої привілеї. Проблема викликана подвійним звільненням пам'яті у модулі nf_tables, що забезпечує роботу пакетного фільтра nftables. Уже опубліковано робочий прототип експлоїта.
Вразливість проявляється починаючи з версії Linux 3.15, але експлоїт працює з ядрами починаючи з версії 5.14. Виправлення вразливості запропоновано у випуску Linux 6.8-rc1 і наприкінці лютого перенесено до стабільних гілок 5.15.149, 6.1.76 і 6.6.15.
Додатково можна відзначити серію вразливостей у модулі ksmbd: уразливості CVE-2024-26592 і CVE-2023-52440 дають змогу віддалено, без проходження автентифікації, домогтися виконання свого коду з правами ядра на системах з активованим ksmbd.
Вразливості CVE-2024-26594 і CVE-2024-26592 усунуто в ядрі 6.8 і коригувальних оновленнях минулих стабільних гілок 6.1.75, 6.6.14, 6.7.2.
У Netfilter виявлено уразливість CVE-2024-1086, що дає змогу користувачеві виконати код на рівні ядра і підняти свої привілеї. Проблема викликана подвійним звільненням пам'яті у модулі nf_tables, що забезпечує роботу пакетного фільтра nftables. Уже опубліковано робочий прототип експлоїта.
Вразливість проявляється починаючи з версії Linux 3.15, але експлоїт працює з ядрами починаючи з версії 5.14. Виправлення вразливості запропоновано у випуску Linux 6.8-rc1 і наприкінці лютого перенесено до стабільних гілок 5.15.149, 6.1.76 і 6.6.15.
Додатково можна відзначити серію вразливостей у модулі ksmbd: уразливості CVE-2024-26592 і CVE-2023-52440 дають змогу віддалено, без проходження автентифікації, домогтися виконання свого коду з правами ядра на системах з активованим ksmbd.
Вразливості CVE-2024-26594 і CVE-2024-26592 усунуто в ядрі 6.8 і коригувальних оновленнях минулих стабільних гілок 6.1.75, 6.6.14, 6.7.2.
❤1
У бібліотеці xz/liblzma виявлено бекдор, що організовує вхід через ssh
У пакеті XZ Utils, що містить бібліотеку liblzma й утиліти для роботи зі стиснутими даними у форматі .xz, виявлено бекдор CVE-2024-3094. Він дає змогу перехоплювати і модифікувати дані, оброблювані додатками, пов'язаними з бібліотекою liblzma.
Зв'язування ssh із вразливою бібліотекою дає змогу зловмисникам отримати доступ до SSH-сервера без аутентифікації.
Бекдор був присутній в офіційних випусках xz 5.6.0 і 5.6.1, опублікованих 24 лютого і 9 березня, які встигли потрапити до складу деяких дистрибутивів і репозиторіїв.
Основною метою бекдора є сервер OpenSSH, у деяких дистрибутивах пов'язаний із бібліотекою libsystemd, яка, в свою чергу, використовує liblzma.
Усім користувачам випусків xz 5.6.0 і 5.6.1 рекомендується терміново відкотитися щонайменше на версію 5.4.6, але бажано на 5.4.1, як останній випуск, опублікований минулим супроводжувальником.
У пакеті XZ Utils, що містить бібліотеку liblzma й утиліти для роботи зі стиснутими даними у форматі .xz, виявлено бекдор CVE-2024-3094. Він дає змогу перехоплювати і модифікувати дані, оброблювані додатками, пов'язаними з бібліотекою liblzma.
Зв'язування ssh із вразливою бібліотекою дає змогу зловмисникам отримати доступ до SSH-сервера без аутентифікації.
Бекдор був присутній в офіційних випусках xz 5.6.0 і 5.6.1, опублікованих 24 лютого і 9 березня, які встигли потрапити до складу деяких дистрибутивів і репозиторіїв.
Основною метою бекдора є сервер OpenSSH, у деяких дистрибутивах пов'язаний із бібліотекою libsystemd, яка, в свою чергу, використовує liblzma.
Усім користувачам випусків xz 5.6.0 і 5.6.1 рекомендується терміново відкотитися щонайменше на версію 5.4.6, але бажано на 5.4.1, як останній випуск, опублікований минулим супроводжувальником.
❤1
Каталог Snap Store переходить на ручне рецензування нових імен пакетів (і року не минуло)
Після кількох повторюваних інцидентів із розміщенням у каталозі Snap Store шкідливих застосунків, що видають себе за офіційні клієнти відомих криптовалютних гаманців, компанія Canonical ухвалила рішення перейти на ручне рецензування всіх нових імен пакетів, які вперше розміщуються в Snap Store.
Під час реєстрації нового імені пакета буде виводитися анкета, що містить запитання про призначення і джерело збірки.
Обліковий запис буде активуватися тільки після ручного рецензування заявки, проведеного для відсіювання підозрілих імен. Перевірка займатиме до двох робочих днів. Під заборону потраплять імена, що мають відношення до криптовалют і деяких критичних видів додатків.
Для реєстрації імен подібних програм застосовуватиметься окрема процедура, правила проходження якої обіцяють опублікувати найближчими днями.
Після кількох повторюваних інцидентів із розміщенням у каталозі Snap Store шкідливих застосунків, що видають себе за офіційні клієнти відомих криптовалютних гаманців, компанія Canonical ухвалила рішення перейти на ручне рецензування всіх нових імен пакетів, які вперше розміщуються в Snap Store.
Під час реєстрації нового імені пакета буде виводитися анкета, що містить запитання про призначення і джерело збірки.
Обліковий запис буде активуватися тільки після ручного рецензування заявки, проведеного для відсіювання підозрілих імен. Перевірка займатиме до двох робочих днів. Під заборону потраплять імена, що мають відношення до криптовалют і деяких критичних видів додатків.
Для реєстрації імен подібних програм застосовуватиметься окрема процедура, правила проходження якої обіцяють опублікувати найближчими днями.
👍2