Совет для поиска всех файлов, которые были изменены за последние 5 минут: find . -type f -mmin -5

Инженеры Сollabora опубликовали отчёт о реализации проекта по обеспечению сборки системной библиотеки GNU C Library (glibc) с использованием инструментария LLVM (Clang, LLD, compiler-rt) вместо GCC.

Сложности адаптации Glibc для сборки при помощи LLVM вызваны как различиями в поведении GCC и Clang при обработке некоторых конструкций, так и необходимостью замены runtime с libgcc на compiler-rt.

Для обеспечения сборки Glibc при помощи LLVM подготовлено около 150 патчей для окружения Gentoo и 160 для окружения на базе ChromiumOS. В текущем виде сборка в ChromiumOS уже успешно проходит тестовый набор, но пока не включена по умолчанию. Следующим шагом станет передача подготовленных изменений в основной состав Glibc и LLVM, продолжение тестирования и исправление всплывающих нетипичных проблем. Некоторые из патчей уже приняты в ветку Glibc 2.37.

I use Arch btw

В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2023-22809), позволяющая локальному пользователю отредактировать любой файл в системе, что, в свою очередь, позволяет добиться получения прав root через изменение /etc/shadow или системных скриптов. Для эксплуатации уязвимости требуется, чтобы в файле sudoers пользователю было предоставлено право запускать утилиту sudoedit или "sudo" с флагом "-e".

Уязвимость вызвана отсутствием должной обработки символов "--" при разборе переменных окружения, определяющих программу, вызываемую для редактирования файла. В sudo последовательность "--" используется для отделения редактора и аргументов от списка редактируемых файлов. Атакующий может добавить в переменные окружения SUDO_EDITOR, VISUAL или EDITOR последовательность "— файл" после пути к редактору, что приведёт к инициированию редактирования указанного файла с повышенными привилегиями без проверки правил доступа пользователя к файлам.

Уязвимость проявляется начиная с ветки 1.8.0 и устранена в корректирующем обновлении sudo 1.9.12p2. В качестве обходного пути защиты можно отключить обработку переменных окружения SUDO_EDITOR, VISUAL и EDITOR, указав в sudoers:

Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"

Опубликован отчёт о составе окружений пользователей GNOME, подготовленный на основе данных, полученных в результате сбора телеметрии у 2560 пользователей, добровольно воспользовавшихся инструментом gnome-info-collect для отправки информации о своих системах.

Используемые дистрибутивы:
Fedora 54.69%
Arch 18.64%
Ubuntu 10.61%
Manjaro 5.56%

Наличие поддержки Flatpak:
Flatpak установлен 93.13%
Flatpak не установленн 6.87%

Браузер по умолчанию:
Firefox 73.14%
Chrome 11.64%
Brave 4.76%
GNOME Web 1.99%
Vivaldi 1.91%
LibreWolf 1.79%
Chromium 1.71%
Junction 1.55%
Microsoft Edge 1.51%

Производитель оборудования:
Lenovo 23.54%
Dell 15.01%
ASUS 11.91%
HP 10.17%
MSI 9.72%
Gigabyte 9.63%
Acer 3.92%

Активные функции удалённого доступа:
SSH 20.95%
Удалённый доступ к рабочему столу 9.85%
Обмен файлами 6.36%
Обмен мультимедийными данными 4.29%

Установленные приложения:
GIMP 58.48%
VLC 53.71%
Steam 53.40%
htop 46.25%
Dconf Editor 43.28%
Extension Manager 38.44%
Inkscape 37.19%
Flatseal 36.80%
Discord 36.64%
Chrome 35.12%
GNOME Web 35.08%
Chromium 34.02%
Thunderbird 32.19%
GParted 31.05%
Wine 30.16%
OBS Studio 30.08%
Visual Studio Code 28.36%
Transmission 28.09%
Telegram 27.85%
Geary 26.25%

Новый метод атаки основывается на особенности обработки состояний "oops", в результате которых можно добиться увеличения значения счётчика ссылок (refcount). Это в свою очередь может привести к переполнению счётчика и освобождению памяти, связанной с refcount. В этом случае эксплуатация сводится к манипуляциям, типичным для атак use-after-free (возникает ситуация, когда у объекта счётчик ссылок становится равен нулю, память освобождается, но фактически остаются рабочие ссылки, указывающие на освобождённую память).

Разыменование указателя NULL в данном случае используется как способ управляемой генерации состояния "oops". Проблема состоит в том, что для достижения переполнения 32-разрядного refcount требуется примерно 232 вызовов состояния "oops". С практической стороны для проведения атаки при помощи предложенного эксплоита требуется около 8 дней непрерывной генерации состояний "oops". В случае успеха эксплоит позволяет добиться выполнения своего кода на уровне ядра.

Используемое в эксплоите разыменование указателя NULL устранено в октябре, но так как выявление похожих проблем не является редкостью и они ранее трактовались как ошибки, а не уязвимости, разработчики добавят в ядро Linux общую защиту для предотвращения атак, манипулирующих генерацией состояний "oops". В частности, в состав ядра 6.2 приняты изменения, ограничивающие максимальное число "oops". После достижения лимита, который по умолчанию выставлен в 10 тысяч oops (при желании можно изменить через параметр oops_limit), ядро будет инициировать переход в состояние "panic" с последующей перезагрузкой. Ограничение также планируют перенести в ранее выпущенные, но ещё поддерживаемые, ветки ядра, а также в пакеты с ядром популярных дистрибутивов.

Какая ваша любимая версия Linux на сегодняшний день?

Тестирование рабочего стола KDE Plasma 5.27

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.27. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Релиз ожидается 14 февраля.

Ключевые улучшения:
- Предложено вводное приложение Plasma Welcome, знакомящие пользователей с основными возможностями рабочего стола и позволяющего выполнить базовую настройку основных параметров, таких как привязка к online-сервисам.
- В конфигуратор добавлен новый модуль для настройки полномочий Flatpak-пакетов.
- Переработан виджет настройки раскладки экранов в многомониторных конфигурациях. Значительно улучшены средства для управления подключением трех и более мониторов.
- В оконном менеджере KWin расширены возможности мозаичной компоновки окон. В дополнение к ранее доступным возможностям прикрепления окон справа или слева предоставлено полное управление мозаичным размещением окон через интерфейс, вызываемый при нажатии Meta+T. При перемещении окна с нажатой клавишей Shift окно теперь автоматически размещается с учётом мозаичной раскладки.

Linux Foundation создаст платформу метавселенной с открытым исходным кодом

Некоммерческая организация Linux Foundation создаёт Open Metaverse Foundation (OMF), чтобы предоставить всем желающим платформу метавселенной с открытым исходным кодом.

Как заявили в организации, её проект обеспечит пространство для совместной разработки программного обеспечения с открытым исходным кодом и стандартов для инклюзивной, глобальный, независимой и масштабируемой метавселенной.

К разработке уже присоединились ChainHub Foundation, Cloud Native Computing Foundation, Futurewei, GenXP, Гуандунский научно-исследовательский институт цифровой промышленности, Hyperledger Foundation, LF Edge, LF Networking, OpenSDV, Open Voice Network и Veriken. Участники будут использовать свой опыт в реализации инициатив, охватывающих искусственный интеллект, облачные и граничные вычисления, цифровые активы, транзакции, идентификацию, сети, моделирование, безопасность и другие.

Фонд Open Metaverse организован в группы по интересам (FIG), которые принимают решения по ключевым темам. В рамках этих групп заработали ресурсы и форумы, которые привлекают участников из конкретных областей. Всего их восемь:
- пользователи,
- транзакции,
- цифровые активы,
- моделирование и виртуальные миры,
- искусственный интеллект,
- нетворкинг,
- безопасность и конфиденциальность,
- законодательство и политика.

Уже работают сайт Open Metaverse Foundation и сообщество в Discord. 10–12 мая в Ванкувере пройдёт мероприятие Open Source Summit North America, где участники также будут делиться своими идеями по поводу проекта.

Google объявила о массовых сокращениях персонала, в результате которого под увольнение подпадает около 12 тысяч сотрудников, что составляет примерно 6% от всего персонала. Среди прочего, появились сведения, что под сокращение попадают около 400 работников, занимавшихся проектом Fuchsia, что соответствует примерно 16% от общего числа сотрудников, вовлечённых в работу над данной ОС.

Выпуск BSD-системы helloSystem 0.8, развиваемой автором AppImage

Создатель формата самодостаточных пакетов AppImage опубликовал выпуск дистрибутива helloSystem 0.8, основанного на FreeBSD 13. Система лишена усложнений, свойственных современным Linux-дистрибутивам, находится под полным контролем пользователя и позволяет чувствовать себя комфортно бывшим пользователям macOS. Для ознакомления с дистрибутивом cформирован загрузочный образ, размером 941 МБ (torrent).

Проектом развивается серия собственных приложений, таких как конфигуратор, инсталлятор, утилита mountarchive для монтирования архивов в дерево ФС, утилита для восстановления данных с ZFS и т.д.

Новшества helloSystem 0.8:
- Осуществлён переход на кодовую базу FreeBSD 13.1.
- Команда launch, применяемая для запуска приложений в самодостаточных пакетах, переведена на использование БД установленных приложений (launch.db). Добавлена начальная поддержка запуска файлов AppImage командой launch (для работы требуется установка Debian runtime).
- В состав включены и активированы дополнения VirtualBox для гостевых систем, позволяющие при запуске helloSystem в VirtualBox использовать буфер обмена и управлять размером экрана.
- Реализована поддержка подключения MIDI-контроллеров.
И другие изменения.

Для включения в состав ядра Linux предложены изменения, расширяющие возможности стандартной Си-библиотеки nolibc, входящей в состав исходных текстов ядра Linux (tools/include/nolibc). В случае принятия изменений библиотека будет расширена средствами для обработки сигналов, включающими функции sigaction() и signal().

Проект nolibc входит в состав ядра начиная с выпуска 5.1 и нацелен на предоставление обвязки над базовыми системными вызовами, оформленной в виде минимальной стандартной Си-библиотеки, которую можно использовать для организации работы небольших и низкоуровневых приложений без установки полноценных внешних стандартных Си-библиотек (приложение можно статически скомпоновать с nolibc без привлечения внешних зависимостей). Библиотека очень компактная, например, статически собранный с nolibc процесс init занимает 36 КБ, а с Glibc - 755 КБ.