LINUXTALKS.CO

Новости - Архив 2022, Июль

Выпущен релиз Czkawka 5.0

Новости — Open Source
Группа Open Source

Czkawka (чикавка (IPA: [ʈ͡ʂkafka]), «икота» на польском языке) – это простое, быстрое и бесплатное приложение для удаления ненужных файлов с вашего компьютера. Утилита написана на языке Rust и использует GTK 4 для отрисовки графического интерфейса.

( читать дальше... )

>>> Подробности

 ,

cocucka ()

Уязвимость в Samba, позволяющая поменять пароль любому пользователю

Новости — Безопасность
Группа Безопасность

Опубликованы корректирующие выпуски пакета Samba 4.16.4, 4.15.9 и 4.14.14 с устранением 5 уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.

Наиболее опасная уязвимость (CVE-2022-32744) позволяет пользователям домена Active Directory изменить пароль любого пользователя, в том числе можно изменить пароль администратора и получить полный контроль над доменом. Проблема вызвана тем, что KDC принимает запросы kpasswd, зашифрованные любым известным ключом.

Злоумышленник, имеющий доступ к домену, может отправить фиктивный запрос установки нового пароля от имени другого пользователя, зашифровав его своим ключом, и KDC обработает его без проверки соответствия ключа учётной записи. В том числе для отправки фиктивных запросов могут использоваться ключи контроллеров домена, работающих только в режиме чтения (RODC), которые не имеют полномочий для смены паролей. В качестве обходного способа защиты можно отключить поддержку протокола kpasswd, добавив в smb.conf строку «kpasswd port = 0».

Другие уязвимости:

  • CVE-2022-32746 - пользователи Active Directory через отправку специально оформленных LDAP-запросов «add» или «modify» могут инициировать обращение к памяти после её освобождения (use-after-free) в серверном процессе. Проблема вызвана тем, что модуль для ведения лога аудита обращается к содержимому LDAP-сообщения после того, как модуль работы с БД освобождает память, отведённую для сообщения. Для совершения атаки необходимо наличие прав на добавление или модификацию некоторых привилегированных атрибутов, таких как userAccountControl.
  • CVE-2022-2031 - пользователи Active Directory могут обойти некоторые ограничения в контроллере домена. KDC и сервис kpasswd имеют возможность расшифровывать тикеты друг друга, так как совместно используют один набор ключей и учётных записей. Соответственно, пользователь, запросивший смену пароля, может использовать полученный тикет для доступа к другим сервисам.
  • CVE-2022-32745 - пользователи Active Directory могут вызвать аварийное завершение серверного процесса через отправку LDAP-запросов «add» или «modify», приводящих к обращению к неинициализированным данным.
  • CVE-2022-32742 - утечка информации о содержимом памяти сервера через манипуляции с протоколом SMB1. Клиент SMB1, имеющий право записи в совместное хранилище, может создать условия для записи отрывков содержимого памяти серверного процесса в файл или отправки на принтер. Атака производится через отправку запроса «write» с указанием некорректного диапазона. Проблема касается только веток Samba до 4.11 (в ветке 4.11 поддержка SMB1 отключена по умолчанию).

>>> Подробности

 , ,

cocucka ()

Профайлеру Valgrind исполнилось 20 лет

Новости — Средства разработки
[bad image] Группа Средства разработки

Valgrind – инструментальное программное обеспечение, предназначенное для отладки использования памяти, обнаружения утечек памяти, а также профилирования. Название valgrind взято из германо-скандинавской мифологии, где является названием главного входа в Вальгаллу.

Один из разработчиков программы, Николас Незеркоут, написал на 20-ю годовщину выпуска Valgrind 1.0:

Это одновременно восхитительно и сюрреалистично видеть, что Valgrind все еще широко используется сегодня. Первоначальной целью Джулиана [Сьюарда] было улучшить качество программ на C и C++. Очевидно, что это принесло огромный успех. Memcheck нашел бесчисленное количество ошибок в бесчисленных программах и является стандартной частью системы тестирования для многих из них.

>>> Подробности

 , , , ,

cocucka ()
Новости: Fedora собирается запретить код с лицензией CC0 (1 комментарий)
Новости: Выпуск пользовательского окружения NsCDE 2.2 (15 комментариев)

Veloren 0.13 Release

Новости — Игры
Группа Игры

Команда разработчиков игры Veloren выпустила новую версию 0.13.

Veloren — это многопользовательская воксельная ролевая игра, написанная на языке Rust. Она вдохновлена такими играми, как Cube World, Legend of Zelda: Breath of the Wild, Dwarf Fortress и Minecraft.

Проект Veloren полностью с открытым исходным кодом и лицензией GPL 3. В игре используется оригинальная графика, музыка и другие ресурсы, созданные сообществом. Будучи ориентированным на контрибьюторов, сообщество разработчиков и сообщество пользователей – это одно и то же: разработчики, игроки, художники и музыканты объединяются для создания игры.

( читать дальше... )

>>> Подробности

 , , ,

cocucka ()
Новости: vSMTP - почтовый сервер на Rust (3 комментария)
Новости: Ubuntu 21.10 больше не поддерживается (10 комментариев)
Новости: Лаборатория Касперского получила патент на фильтрацию DNS-запросов (11 комментариев)
Новости: Выпуск Tor Browser 11.5 (1 комментарий)
Новости: Проект по портированию механизма изоляции pledge для Linux
Новости: nomenus-rex 0.6.2 — утилита для массового переименования файлов
Новости: Выпуск DXVK 1.10.2, реализации Direct3D 9/10/11 поверх API Vulkan
Новости: Retbleed - новая атака на механизм спекулятивного выполнения CPU Intel и AMD (5 комментариев)

Выпуск fheroes2 - 0.9.17

Новости — Игры
Группа Игры

Здравствуйте, дорогие любители героев меча и магии 2!

Предлагаем вашему вниманию новую версию игрового движка fheroes2 - 0.9.17, в которую наша команда вложила огромное количество времени и стараний.

( читать дальше... )

( читать дальше... )

 

crypt ()
Новости: Ядро Windows будет запускаться в гипервизоре (10 комментариев)
Новости: В GCC утверждено включение поддержки языка Rust (6 комментариев)
Новости: Релиз системы управления коллекцией электронных книг Calibre 6.0 (2 комментария)
Новости: Micro$oft пожертвовала Gnome $10000 (1 комментарий)
Новости: Выпуск SeaMonkey 2.53.13 (19 комментариев)

Выпуск музыкального проигрывателя Audacious 4.2

Новости — Open Source
Группа Open Source

Представлен релиз легковесного музыкального проигрывателя Audacious 4.2, ответвившегося в сво время от проекта Beep Media Player (BMP), являющегося форком классического плеера XMMS. Выпуск поставляется с двумя интерфейсами пользователя: на основе GTK и Qt. Сборки подготовлены для различных дистрибутивов Linux и для Windows.

( читать дальше... )

( читать дальше... )

>>> Подробности

 

crypt ()

Новая фича: игнор модераторов

Новости — Наше сообщество
Группа Наше сообщество

По просьбам участников мы сделали форум чуть-чуть более демократичным. Все мы знаем, что модераторы - такие же люди… только хуже… :Е) 😈😈😈 Многие пользователи linux.org.ru с содроганием вспоминают, как произвол устраивали модераторы. Поэтому мы лишили их преимущества, когда вы не могли их игнорить. Теперь игнорить можно! Можно их не читать так же, как и прочих юзеров. Ура!

>>> Подробности

 ,

crypt ()

Сопроцессор Microsoft Pluton может запрещать левые ОС

Новости — Корпорации
Группа Корпорации

Как минимум один такой ноутбук уже продаётся

( читать дальше... )

>>> Подробности

 

crypt ()

Новая фича: выделение веток комментариев в отдельную тему

Новости — Наше сообщество
Группа Наше сообщество

Добавил возможность модераторам выносить оффтопные сообщения с ответами в отдельную тему.

Очень нехватало такого, ибо народ всё время скатывается в оффтоп, а потом концов не найдёшь.

>>> Подробности

 ,

cocucka ()

Новая фича - человеческий перенос строк в Markdown

Новости — Наше сообщество
Группа Наше сообщество

Теперь перенос строки делается одиночным нажатием Enter, как на всех остальных форумах, или, например, Github, где также используется Markdown.

>>> Подробности

 

Kaschenko ()

Новая фича: часовой пояс в профиле.

Новости — Наше сообщество
Группа Наше сообщество

У нас появилась долгожданная фича! На лоре время всегда показывалось для всех одно и то же, независимо от часового пояса. Очевидно, @maxcom все устраивало и так, ведь он из Default city. И вот сегодня @cocucka исправил этот баг 20-летней давности! Ура! Настройку вы можете поменять в своем профиле. Ваши пожелания и предложения пишите, как обычно, в раздел Форум -> Наше сообщество.

А также сегодня были выкачены небольшие улучшения стиля. В том числе реализованы противоположные фичреквесты от хейтеров маркдауна и хейтеров лоркода, которые мы объединили в один запрос: Выпилить маркдаун & выпилить лоркод

>>> Подробности

 

crypt ()

NIST утвердил алгоритмы шифрования, устойчивые к квантовым вычислениям

Новости — Безопасность
Группа Безопасность

Национальный институт стандартов и технологий США (NIST) объявил победителей конкурса криптоалгоритмов, стойких к подбору на квантовом компьютере. Конкурс был организован шесть лет назад и нацелен на выбор алгоритмов постквантовой криптографии, пригодных для выдвижения в качестве стандартов. В процессе проведения конкурса предложенные международными командами исследователей алгоритмы были изучены независимыми экспертами на предмет возможных уязвимостей и слабых мест.

Победителем среди универсальных алгоритмов, которые можно использовать для защиты передачи информации в компьютерных сетях, выбран CRYSTALS-Kyber, сильными сторонами которого являются относительно небольшой размер ключей и высокая скорость работы. CRYSTALS-Kyber рекомендован для перевода в разряд стандартов. Кроме CRYSTALS-Kyber выделены ещё четыре алгоритма общего назначения - BIKE, Classic McEliece, HQC и SIKE, которые требуют доработки. Авторам данных алгоритмов предоставлена возможность до 1 октября обновить спецификации и устранить недочёты в реализациях, после чего они также могут быть включены в число финалистов.

Из алгоритмов, нацеленных на работу с цифровыми подписями, выделены CRYSTALS-Dilithium, FALCON и SPHINCS+. Алгоритмы CRYSTALS-Dilithium и FALCON отличаются высокой эффективностью. В качестве первичного алгоритма для цифровых подписей рекомендован CRYSTALS-Dilithium, а FALCON ориентирован на решения, в которых требуется минимальный размер подписи. SPHINCS+ отстаёт от первых двух алгоритмов по размеру подписей и скорости работы, но он оставлен в числе финалистов в качестве запасного варианта, так как базируется на совершенно иных математических принципах.

В частности, в алгоритмах CRYSTALS-Kyber, CRYSTALS-Dilithium и FALCON используются методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах. Алгоритм SPHINCS+ применяет методы криптографии на основе хеш-функций.

Оставленные для доработки универсальные алгоритмы также основаны на иных принципах - в BIKE и HQC используются элементы теории алгебраического кодирования и линейные коды, также применяемые в схемах коррекции ошибок. NIST намерен дополнительно стандартизировать один из этих алгоритмов для оставления альтернативы уже выбранному алгоритму CRYSTALS-Kyber, основанному на теории решёток. Алгоритм SIKE базируется на использовании суперсингулярной изогении (кружение в суперсингулярном изогенном графе) и также рассматривается в качестве кандидата на стандартизацию, так как отличается наименьшим размером ключа. Алгоритм Classic McEliece включён в число финалистов, но пока не будет стандартизован из-за очень большого размера открытого ключа.

Необходимость разработки и стандартизации новых криптоалгоритмов обусловлена тем, что активно развивающиеся последнее время квантовые компьютеры кардинально быстрее решают задачи разложения натурального числа на простые множители (RSA, DSA) и дискретного логарифмирования точек эллиптической кривой (ECDSA), которые лежат в основе современных асимметричных алгоритмов шифрования по открытым ключам и эффективно не решаемы на классических процессорах. На текущем этапе развития возможностей квантовых компьютеров пока недостаточно для взлома актуальных классических алгоритмов шифрования и цифровых подписей на базе открытых ключей, таких как ECDSA, но предполагается, что ситуация может измениться в течение 10 лет и необходимо подготовить базу для перевода криптосистем на новые стандарты.

( читать дальше... )

>>> Подробности

 

crypt ()
Новости: Выпуск системы глубокого инспектирования пакетов nDPI 4.4
Новости: Выпуск Wayland-Protocols 1.26
Новости: Доступна система резервного копирования Bacula 13.0.0
Новости: Обновление Firefox 102.0.1 (11 комментариев)
Новости: NIST утвердил алгоритмы шифрования, устойчивые к квантовым вычислениям
Новости: Выпуск графического тулкита wxWidgets 3.2.0

наши читатели делятся с нами последними новостями с лора...

Новости — Наше сообщество
Группа Наше сообщество

Уж не знаю, как можно одновременно упрекать в агрессивной компании и при этом сомневаться в массовости, но спешу заверить наших читателей, а также случайных посетителей с лора, что нам вообще в голову не приходит поднимать рейтинг в поисковиках. Никто просто не парится. Мы тут общаемся так, как не можем на лоре. Почему мы должны это скрывать? Насколько я знаю, сосика вообще занимается своими делами и ему не до раскруток. Но как вы видите, админы линуксорга в панике. Опенсорс он такой… опенсорс - опенсорсом, а за аудторию глотку порвем.

p.s.

за материал спасибо @Spoofing.

>>> Подробности

 

crypt ()
Новости: Доступны Oracle Linux 9 и ядро Unbreakable Enterprise Kernel 7
Новости: Facebook опубликовал модель для машинного перевода, поддерживающую 200 языков (3 комментария)
Новости: Закончилась поддержка Debian 9 LTS
Новости: Microsoft собирается запретить продажу СПО в Microsoft Store (10 комментариев)

Леннарт Поттеринг перешёл из Red Hat в Microsoft

Новости — Корпорации
Группа Корпорации

Леннарт Поттеринг (Lennart Poettering), создавший такие проекты, как Avahi (реализация протокола ZeroConf), звуковой сервер PulseAudio и системный менеджер systemd, уволился из компании Red Hat, в которой работал с 2008 года и руководил разработкой systemd. В качестве нового места работы называется компания Microsoft, деятельность Леннарта в которой также будет связана с разработкой systemd.

Помимо Леннарта в Microsoft также трудоустроены такие известные деятели открытого ПО, как Гвидо ван Россум (создатель языка Python), Мигель де Икаса (создатель GNOME и Midnight Commander и Mono), Стив Кост (основатель OpenStreetMap), Стив Френч (мэйнтейнер подсистем CIFS/SMB3 в ядре Linux) и Росс Гардлер (вице-президент Фонда Apache).В этом году из Canonical в Microsoft также перешёл работать Кристиан Браунер (Christian Brauner), лидер проектов LXC и LXD, один из сопровождающих glibc и участник разработки systemd.

( читать дальше... )

>>> Подробности

 ,

ThePlayerZero ()
Новости: Выпуск программы для профессиональной обработки фотографий Darktable 4.0 (2 комментария)
Новости: Доступен Sound Open Firmware 2.2, набор открытых прошивок к DSP-чипам (1 комментарий)

Выпуск системы мониторинга Zabbix 6.2

Новости — Open Source
Группа Open Source

Представлена новая версия свободной системы мониторинга с полностью открытым исходным кодом Zabbix 6.2. Вышедший релиз включает в себя улучшения производительности, гибкой работы с автоматически обнаруженными хостами, детального мониторинга процессов, значительного улучшения мониторинга платформы VMWare, новых средств визуализации и сбора данных, расширенного списка интеграций и шаблонов, и многое другое. Код проекта распространяется под лицензией GPLv2.

( читать дальше... )

( читать дальше... )

>>> Подробности

 

crypt ()

Децентрализованные идентификаторы будут стандартизированы, несмотря на возражения Google и Mozilla

Новости — Корпорации
Группа Корпорации

Тим Бернерс-Ли (Tim Berners-Lee) объявил о решении придать спецификации, определяющей децентрализованные идентификаторы для Web (DID, Decentralized Identifier), статус рекомендованного стандарта. Возражения, заявленные компаниями Google и Mozilla, отклонены.

Спецификация DID вводит в обиход новый тип уникальных глобальных идентификаторов, не привязанных к отдельным централизованным службам и организациям, таким как регистраторы доменов и удостоверяющие центры. Идентификатор может быть ассоциирован с произвольным ресурсом и сгенерирован при помощи систем, которым доверяет владелец ресурса. Для проверки подлинности идентификатора применяется аутентификация с доказательством владения на основе криптографических механизмов, таких как цифровые подписи. Спецификация позволяет использовать различные методы распределённого управления и получения информации об идентификаторах, включая методы на основе блокчейна.

( читать дальше... )

>>> Подробности

 

crypt ()
Новости: Unity 7.6 и 12-летний подросток из Индии. (4 комментария)
Новости: Проект Raspberry Pi представил плату Pico W с поддержкой Wi-Fi (3 комментария)
Новости: Доступен Wayland 1.21 (8 комментариев)
Новости: Выпуск языка программирования Rust 1.62
Новости: Из-за санкций США Китай создаст новую процессорную архитектуру RISC-X и поделится ей с Россией (4 комментария)