Уязвимость в GNU screen, позволяющая выполнить код с правами root Уязвимость CVE-2025-23395 проявляется только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux, NetBSD, OpenBSD и Alpine. В Debian, Ubuntu, RHEL (EPEL 9), Gentoo, FreeBSD, SUSE/openSUSE и OpenWrt продолжает поставляться ветка screen 4.x. Эксплуатация уязвимости возможна в системах, устанавливающих исполняемый файл screen с флагом setuid root, например, в Arch Linux и NetBSD. В Fedora утилита ставится с флагом setgid для получения прав группы screen, позволяющем размещать сокеты в системном каталоге /run/screen, что ограничивает возможности атаки отказом в обслуживании.
Уязвимость вызвана тем, что при запуске с правами root функция logfile_reopen() выполняется до сброса привилегий, но обрабатывает данные в контексте каталогов текущего непривилегированного пользователя, запустившего screen. Примечательно, что начальное открытие лога производится с корректным сбросом привилегий, но при повторном открытии файла с логом сброс привилегий не производится.
Через манипуляции с включением режима журналирования содержимого сеанса пользователь может добиться записи данных в файл с правами root, при том, что сам файл может быть сохранён в домашнем каталоге пользователя. Атака сводится к удалению созданного файла с логом и его замене на символическую ссылку, указывающую на любой файл в системе. Если файл уже существует в него без изменения владельца будут добавлены данные с содержимым экрана в сеансе screen. Если файл не существует - он будет создан с правами 0644, владельцем root и группой как у текущего пользователя.
Алгоритм атаки, создающей файл /etc/profile.d/exploit.sh с командой "chown $USER /root":
Менее опасные уязвимости в screen:
Уязвимости выявлены в ходе аудита кодовой базы GNU screen, проведённого командой, отвечающей за безопасность дистрибутива SUSE Linux. Разработчикам screen сведения об уязвимости были отправлены 7 февраля, но за отведённые 90 дней они так и не смогли подготовить исправления для всех уязвимостей и сотрудникам SUSE пришлось подготовить некоторые патчи самостоятельно. По мнению проводивших аудит исследователей, нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта и не способны полностью разобраться в выявленных проблемах безопасности.
$ screen -Logfile $HOME/screen.log
$ rm $HOME/screen.log; ln -s /etc/profile.d/exploit.sh $HOME/screen.log
$ echo -e "\nchown $USER /root;"
$ ls -lhd /root
drwxr-x--- 5 user root 4.0K Dec 30 2020 .
Источник: https://www.opennet.ru/opennews/art.shtml?num=63226
Things happen.
continue
honked back 12 May 2025 21:17 +0200
in reply to: https://mastodon.ml/users/green_light/statuses/114496210928983874
Проект Guix переходит на Git-хостинг Codeberg Все git-репозитории проекта будут переведены на использование Codeberg до 7 июня. Основной репозиторий Guix будет перенесён 25 мая, после чего в течение года старый репозиторий git.savannah.gnu.org/git/guix.git останется доступен в форме зеркала. Пользователям Guix потребуется заменить в файлах конфигурации channels.scm упоминание "git.savannah.gnu.org" на "https://codeberg.org/guix/guix.git", о чём будет выведена соответствующая подсказка при выполнении команды "guix pull".
После завершения миграции появится возможность отправки сообщений об ошибках через web-интерфейс Codeberg Issues и использования для передачи патчей механизма pull-запросов. Поддержка старого метода приёма отчётов об ошибках и патчей, основанного на email, будет сохранена до 31 декабря 2025 года. В качестве причины миграции упоминается желание упростить участие в работе над проектом и избавиться от проблем, свойственных устаревшей инфраструктуре, которая излишне
усложнена, требует высокого порога вхождения, ненаглядна, ненадёжна, трудозатратна и затрудняет автоматизацию проверок контроля качества.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63225
erspan(4): ERSPAN Type II collection
An early version of the code, but possibly close to being ready for further development in-tree was
presented
by David Gwynne (
erspan(4)
.
dlg@
) in a
message to tech@
:
List: openbsd-tech
Subject: erspan(4): ERSPAN Type II collection
From: David Gwynne <david () gwynne ! id ! au>
Date: 2025-05-12 1:27:59
we were exploring how to better let us see what's happening on access
networks or specific ports on a switch at work. our switches are
pretty much all cisco, which has ERSPAN.
ERSPAN in it's various forms ships Ethernet packets over GRE for
collection and analysis on another system. There's 3 types of ERSPAN
encapsulation, but Type II seems broadly implemented.
continue
bonked 12 May 2025 12:57 +0200
original: contrinitiator@metalhead.club
В настоящее время проект занимается разработками и изготовлением самодельных аналоговых инструментов и исследованиями в области их звучания.
https://dronemoub.bandcamp.com/album/--11
#drone #nowplaying #ambient
continue
bonked 12 May 2025 12:17 +0200
original: diana_irk@kolektiva.social
В Забайкалье продолжает гореть лес. Площадь пожаров достигла 371 тысячу гектар Волонтёры, который участвуют в тушении пожаров сообщают о том, что натыкаются на свеже-спиленные ветки и точечные очаги, причиной которых может быть умышленный поджог. Практически во всех лесных пожарах виновен человек. Халатность, невнимательность и преступный умысел -- одни из основных причин возгораний. А рубят леса и скрывают «улики» не дяди в пиджаках, хотя именно на них весит большая часть ответственности, а обычные работяги, такие как мы с вами. Почему у них поднимается на это рука? Ответить точно мы не сможем. Но можем предположить, что это способ заработать деньги. Кому-то из них может быть совестливо впоследствии. Кого-то могут обманом втянуть в это. И человек, в целом, воспринимает себя как властителя мира. Что вся остальная природа должна ему служить. Мы считаем, что это не правильный подход. Но вот кому оправданий нет, так это пиджакам, которые заправляют лесопилками. Нет оправдания самой системе, в которой людям приходится идти на такое, чтобы выжить.
Уязвимость в Dropbear SSH, допускающая подстановку команд в dbclient
Источник: https://www.opennet.ru/opennews/art.shtml?num=63223
Проект Planka переходит на несвободную лицензию Автор проекта считает дискуссию о смене лицензии закрытой. Разработчики уверяют, что "для большинства пользователей community-версии продукта ничего не изменится", умалчивая о том, что новая лицензия не одобрена организацией OSI и Фондом СПО, так как не соответствует определению Open Source и критериям Свободного ПО.
Лицензия Fair Use License допускает использование и модификацию исходного кода только при персональном использовании, в процессе обучения или для обеспечения работы внутренних процессов в компании.
Использование кодовой базы для создания платных продуктов или для запуска сервисов, предлагаемых третьим лицам (например, предоставление доступа других юридических лиц к развёрнутому экземпляру Planka), запрещено без покупки отдельной коммерческой лицензии.
Тем временем, более двух лет (с момента перехода проекта Planka на лицензию AGLPv3) активно разрабатывается форк 4gaBoards, продолжающий использовать лицензию Expat/MIT. В форке реализован ряд новых функции, отсутствующих в Planka, среди которых: расширенные возможности кастомизации интерфейса (сворачивание колонок, отображение в виде списка); средства для интеграции с внешними сервисами (включая способы авторизации и синхронизацию); боковая панель для навигации между проектами и досками; шаблоны досок.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63220
contrinitiator
honked 12 May 2025 08:36 +0200
Можна заключыць, што волаты моцна зьвязаны зь Вялесам і этымалёгія словаў аднакаранёвая. Як гэты бог, так і волат мелі дачыненні да замагільнага свету. 3 іншага боку ix яднала таксама функцыя забеспячэння урадлівасьці. У прыватнасьці, сувязь ураджайных тэрмінау кораня «волат» зь Вялесам засьведчыў земляробскі абрад пакідаць «Валотку на бародку», г. зн. пакідаць некалькі каласкоў («волацяў») на полі нязжатымі. Гэтыя каласы лічыліся «Воласавай барадой». На Львоўшчыне гэтых веліканаў называлі "велети".
Выпуск видеоредактора Shotcut 25.05 Среди изменений в новом выпуске:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63221
Выпуск консольного RSS-агрегатора Newsraft 0.30 Целью проекта является предоставление наиболее востребованной функциональности полноценного фидридера при как можно меньшем количестве строк исходного кода (для сравнения, Newsboat содержит около 44 тысяч строк исходного кода, тогда как Newsraft - около 9 тысяч). Код проекта написан на языке программирования C (C99) и распространяется под лицензией ISC. Пакеты для установки Newsraft 0.30 доступны в репозиториях: Alpine Linux, Arch User Repository, Chimera Linux, FreeBSD Ports, Homebrew, Nixpkgs, OpenBSD Ports.
Основные возможности Newsraft:
Нововведения в Newsraft 0.30:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63219
continue
bonked 11 May 2025 22:10 +0200
original: eproc@mastodon.bsd.cafe
The story of the color of BSD Daemon seems so fun to read. It's really short!
continue
bonked 11 May 2025 18:22 +0200
original: 4ertograd1919@pixelfed.social
Improved ACPI WMI support (may be) incoming
tech@
, Ted Unangst (tedu@
) is
airing
a patch to introduce better support ACPI WMI,
looking for tests and comments:
List: openbsd-tech
Subject: acpi wmi asus driver
From: "Ted Unangst" <tedu () tedunangst ! com>
Date: 2025-05-11 1:57:07
My newish ASUS laptop needs WMI to handle hotkeys like backlight toggle.
More importantly, for me, it's needed to handle the Fn-F hotkey to switch
fan/performance profiles. The system is far more pleasant to use in whisper
mode. I also notice a substantial improvement in battery life, without much
performance difference. It affects the power limits, but more long term I
think.
Доступен OpenSearch 3.0, форк платформы Elasticsearch Форк был создан в 2021 году в ответ на перевод проекта Elasticsearch на несвободную лицензию SSPL (Server Side Public License) и прекращение публикации изменений под старой лицензией Apache 2.0. Несмотря на возвращение Elasticsearch на использование свободной лицензии, проект OpenSearch не потерял актуальность, так как в нём продолжено использование пермиссивной лицензии Apache 2.0 вместо лицензии AGPLv3, на которую перешёл Elasticsearch, а также развивается ряд специфичных надстроек, ранее поставлявшихся компанией Amazon в отдельном дистрибутиве Open Distro for Elasticsearch и заменяющих платные компоненты Elasticsearch.
OpenSearch включает движок хранения и поиска OpenSearch, web-интерфейс и среду визуализации данных OpenSearch Dashboards, а также набор дополнений для машинного обучения, поддержки SQL, генерации уведомлений, диагностики производительности кластера, шифрования трафика, разграничения доступа на основе ролей (RBAC), аутентификации через Active Directory, Kerberos, SAML и OpenID, реализации единой точки входа (SSO) и ведения детального лога для аудита.
Среди изменений в OpenSearch 3.0:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63218
Релиз макропроцессора GNU M4 1.4.20 В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63217
contrinitiator
honked 10 May 2025 22:30 +0200
"Война не закончится, пока не выгорели ее причины, пока не сломлена воля одной из сторон, пока воюющие народы не начало тошнить от крови".
contrinitiator
honked back 10 May 2025 22:30 +0200
in reply to: https://mastodon.ml/users/chronoblade/statuses/114482292939563297
Назначен новый директор GNOME Foundation. В GNOME 49 видеопроигрыватель Totem заменят на Showtime До июля 2024 года пост исполнительного директора занимала Холли Миллион (Holly Million), обратившая на себя внимание разноплановым спектром интересов - от продюсирования документальных фильмов и написания картин до основания института шаманских искусств и занятий фитотерапией. После ухода Холли до избрания нового руководителя функции исполнительного директора временно взял на себя Ричард Литтауэр (Richard Littauer), активист сообщества SustainOSS, один из лидеров организации CURIOSS, менеджер по взаимодействию с сообществом организации Open Source Collective, участник разработки проектов Node.js и IPFS.
Дополнительно объявлено о решении включить в состав выпуска GNOME 49 видеопроигрыватель Showtime, который станет поставляться под именем GNOME Video Player и будет задействован по умолчанию вместо видеопроигрывателя Totem (GNOME Videos). Для желающих протестировать Showtime не дожидаясь осеннего релиза GNOME 49 подготовлен пакет в формате flatpak. Программа отличается минималистичным интерфейсом, отображаемым поверх содержимого и скрываемым во время просмотра. Поддерживаются типовые элементы управления, полноэкранный режим, изменение скорости воспроизведения, показ субтитров и создание скриншотов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63215
В KDE переработаны диалоги создания новых файлов и устранены крахи KWin Среди недавних изменений в KDE Frameworks 6.16:
Улучшения в KDE Plasma 6.4:
В KWin устранено зависание при воспроизведении видео с YouTube в Firefox в полноэкранном режиме. Исправлены аварийные завершения, возникавшие при отключении dock-станций с интерфейсом Thunderbolt или при попытке отрисовки недекорированных окон. Улучшено взаимодействие с приложениями, используя стилус на графическом планшете.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63213
contrinitiator
honked back 10 May 2025 09:04 +0200
in reply to: https://honk.any-key.press/u/contrinitiator/h/bKndY11WLhq9CZN5GS
Долгое отключение электричества превращает комфортную городскую квартиру в место похуже пещеры, где даже костёр не разведёшь.
contrinitiator
bonked 10 May 2025 09:01 +0200
original: djamilaknopf@mastodon.art
I painted a Japanese yōkai called 予言の鳥 (Yogen no tori). medium: Nicker poster colour on Arches watercolour paper #Yokai #JapaneseFolklore #JapaneseMythology #Art #Illustration
continue
bonked 10 May 2025 08:34 +0200
original: djamilaknopf@mastodon.art
I painted a Japanese yōkai called 予言の鳥 (Yogen no tori). medium: Nicker poster colour on Arches watercolour paper #Yokai #JapaneseFolklore #JapaneseMythology #Art #Illustration
continue
bonked 10 May 2025 08:33 +0200
original: contrinitiator@metalhead.club
Не уверен, когда именно появилось это "священное дерево", но в к*вид на него уже вешали ленточки.
А когда началось известно что, стали вешать ленточки с пожеланиями мужьям понятно чего. Почти все ленточки за это время выцвели и разобрать надписи нельзя, но я помню.
#psychogeography #urbanexploration
continue
bonked 10 May 2025 08:32 +0200
original: 4ertograd1919@pixelfed.social
continue
bonked 10 May 2025 08:32 +0200
original: e11adoga@mastodon.ml
«Стань самим собой», Арсений Тарковский Когда тебе придется туго, Ты вывернешься наизнанку, И все и всех найдешь в порядке. В чужом костюме ходит Гамлет Из миллиона вероятий Загородил полнеба гений, Найдешь и у пророка слово, 1957 год
Найдешь и сто рублей и друга.
Себя найти куда трудней,
Чем друга или сто рублей.
Себя обшаришь спозаранку,
В одно смешаешь явь и сны,
Увидишь мир со стороны.
А ты — как ряженый на святки —
Играешь в прятки сам с собой,
С твоим искусством и судьбой.
И кое-что про что-то мямлит,
Он хочет Моиси играть,
А не врагов отца карать.
Тебе одно придется кстати,
Но не дается, как назло
Твое заветное число.
Не по тебе его ступени,
Но даже под его стопой
Ты должен стать самим собой.
Но слово лучше у немого,
И ярче краска у слепца,
Когда отыскан угол зренья
И ты при вспышке озаренья
Собой угадан до конца.
contrinitiator
honked 09 May 2025 16:07 +0200
Электричество, транспорт и связь могут стать приметами ушедшего в прошлое мирного времени.
Новая версия дистрибутива Raspberry Pi OS Ключевые изменения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63211
Выпуск дистрибутива OmniOS CE r151054, построенного на технологиях OpenSolaris
Источник: https://www.opennet.ru/opennews/art.shtml?num=63210
contrinitiator
honked 09 May 2025 09:06 +0200
Все это ни на секунду не останавливается, тут слышно пение, там квасят, потоки растягиваются в длину, кровоточат, снова кто-то квасит, скулит, вопит, в воздухе ощущается запах гнили, начинает моросить дождь и наконец появляются первые всходы пшеницы, а тем временем новую партию придурков подвозят на корабле, который нетерпеливо гудит, спешит всех высадить, лавирует на воде, как огромный дельфин, поворачивается кормой, великолепный корабль в окружении бурлящих водоворотов, и вот уже он, рассекая разлетающиеся на мириады брызг волны, устремляется забирать других…
Выпуск Lazarus 4.0, среды разработки для FreePascal Среди изменений в новом выпуске:
<
Источник: https://www.opennet.ru/opennews/art.shtml?num=63209
Выпуск дистрибутива Clonezilla Live 3.2.1 Дистрибутив основан на Debian GNU/Linux и в своей работе использует код таких проектов, как DRBL, Partition Image, ntfsclone, partclone, udpcast. Возможна загрузка с CD/DVD, USB Flash и по сети (PXE). Поддерживаются LVM2 и ФС ext2, ext3, ext4, reiserfs, reiser4, xfs, jfs, btrfs, f2fs, nilfs2, FAT12, FAT16, FAT32, NTFS, HFS+, UFS, minix, VMFS3 и VMFS5 (VMWare ESX). Имеется режим массового клонирования по сети, в том числе с передачей трафика в multicast-режиме, позволяющем единовременно провести клонирование исходного диска на большое число клиентских машин. Возможно как клонирование с одного диска на другой, так и создание резервных копий через сохранение дискового образа в файл. Возможно клонирование на уровне целых дисков или отдельных разделов.
В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63208
Выпуск композитного сервера Hyprland 0.49 Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Для повышения производительности игр доступна возможность отключения вертикальной синхронизации (VSync) с кадровым гасящим импульсом, применяемая для защиты от появления разрывов при выводе (tearing). Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.
В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63207
Optimisation of parallel TCP input Alexander Bluhm (
bluhm@
) has
committed
changes which eliminate contention
by caching the socket lock in TCP input:
CVSROOT: /cvs
Module name: src
Changes by: bluhm@cvs.openbsd.org 2025/05/07 08:10:19
Modified files:
sys/net : if.c if_var.h
sys/netinet : tcp_input.c tcp_var.h
Log message:
Cache socket lock during TCP input.
Parallel TCP input is running for a few days now and looks quite
stable. Final step is to implement caching of the socket lock.
Without large receive offloading (LRO) in the driver layer, it is
very likely that consecutive TCP segments are in the input queue.
This leads to contention of the socket lock between TCP input and
socket receive syscall from userland.
openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM Пакет осуществлял вывод диалога для подтверждения пользователем согласия с условиями лицензии. В условиях было сказано, что ряд компонентов, необходимых для корректной работы Deepin, не включены в официальный репозиторий из-за сомнений в их безопасности у разработчиков openSUSE. Если пользователь выразил готовность пойти на снижение безопасности и согласился с лицензией, осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D-Bus и политик Polkit из tar-архивов, включённых в состав пакетов deepin-daemon-dbus и deepin-daemon-polkit. Операция выполнялась в обход штатных механизмов установки системных компонентов, предоставляемых пакетным менеджером RPM.
В диалоге принятия лицензионного соглашения также приводилась инструкция, предлагающая пользователю вручную установить пакеты depin-file-manager-dbus и deepin-file-manager-polkit, после чего запустить скрипт для загрузки дополнительных файлов конфигурации, необходимых для работы сервиса Deepin File Manager D-Bus.
Правила openSUSE предписывают сопровождающим устанавливать файлы конфигурации сервисов D-Bus и политики Polkit только после проверки их безопасности участниками SUSE Security Team и помещения в белый список допустимых компонентов. Часть подобных компонентов Deepin прошла проверку и была включена в штатные пакеты, но некоторые компоненты были возвращены на доработку из-за выявленных проблем с безопасностью. Проблемы не были устранены должным образом и желаемые компоненты не получили одобрение на включение. Вместо устранения замечаний сопровождающий Deepin продвинул проблемные компоненты обходным путём.
Команда SUSE Security Team не рекомендует использовать Deepin в настоящее время из-за нерешённых проблем с безопасностью и общей низкой культурой проекта в отношении безопасности. Все пакеты Deepin будут удалены из репозитория openSUSE Tumbleweed и не войдут в состав будущего релиза openSUSE Leap 16.0. В openSUSE Leap 15.6 решено удалить только проблемный пакет "deepin-feature-enable". Пользователям, желающим установить или продолжить использование Deepin в openSUSE, оставлена возможность установки пакетов из отдельных репозиториев Deepin Factory для openSUSE Tumbleweed и Deepin Leap для openSUSE_Leap.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63205
Выпуск дистрибутива puZZle 2502 Особенности сборки:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63203
Релиз Mesa 25.1, свободной реализации OpenGL и Vulkan В Mesa 25.1 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, Asahi для GPU Apple, Turnip для GPU Qualcomm, в программном растеризаторе lavapipe (lvp) и
в режиме эмулятора (vn). В драйвере PanVK для GPU ARM Mali - Vulkan 1.2, а в драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) - Vulkan 1.0.
В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.
Основные новшества:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63202
contrinitiator
honked back 08 May 2025 07:16 +0200
in reply to: https://honk.any-key.press/u/contrinitiator/h/F3B3khks2683n5Gn21
Сюрреалистически заливаются птицы под снегопадом.
contrinitiator
honked 07 May 2025 23:04 +0200
За городом мокро и холодно, но в городе невыносимо. Хорошо хоть электрички ещё ходят пока!
В iVentoy выявлена подстановка корневого сертификата при запуске Windows Подобная активность была воспринята как потенциальная попытка продвижения бэкдора и подняла вопрос доверия к открытому проекту Ventoy. Ситуацию усугубляло, то что в прошлом году после инцидента с бэкдором в проекте XZ сообщество уже обращало внимание на поставку подозрительных блобов в дереве исходных текстов Ventoy.
Разработчики NixOS
предложили заменить Ventoy в репозитории nixpkgs на форк fnr1r (как альтернатива также может рассматриваться glim). Проекты Ventoy и iVentoy развиваются одним автором и имеют похожее назначение. Отличия в том, что Ventoy полностью открыт и нацелен на загрузку операционных систем с USB-носителей, а iVentoy является лишь частично открытым и предназначен для загрузки по сети с использованием технологии PXE.
К обсуждению проблемы подключился автор проектов Ventoy и iVentoy, который пояснил, что код драйвера httpdisk.sys является открытым, а сам драйвер предназначен для монтирования в Windows дисковых образов по сети поверх протокола HTTP, что используется в iVentoy для получения с сервера установочных данных Windows. Подстановка драйверов и скриптов в систему после загрузки является документированным поведением.
Собственный сертификат, при помощи которого был подписан данный драйвер, был добавлен в хранилище корневых сертификатов для того, чтобы обеспечить загрузку драйвера в обход применяемой в Windows системы верификации программ по цифровой подписи. Сертификат подставлялся только в одноразовое окружение WinPE (Windows Preinstallation Environment), создаваемое в оперативной памяти. В размещаемые на диске стационарные установки Windows изменения не вносились. Заявлено, что в следующем выпуске iVentoy подстановка своего сертификата будет прекращена, так как для обеспечения загрузки драйвера будет использован запуск WinPE в тестовом режиме.
По поводу поставки блобов (1, 2, 3) в Ventoy разработчик заявил, что эти бинарные файлы напрямую получены из других открытых проектов и
Ventoy использует их без внесения изменений. Готовые исполняемые файлы применяются в процессе настройки запускаемых систем. В качестве альтернативного варианта предлагается не брать готовые сборки, а собирать их для релизов Ventoy самостоятельно при помощи GitHub CI.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63199
contrinitiator
honked back 07 May 2025 22:17 +0200
in reply to: https://misskey.vikingkong.xyz/notes/a7hpqbdw4toe03sc
contrinitiator
honked back 07 May 2025 19:13 +0200
in reply to: https://friends.deko.cloud/objects/d0446be5-1368-1b87-65e0-db6223343584
contrinitiator
honked back 07 May 2025 17:38 +0200
in reply to: https://honk.any-key.press/u/contrinitiator/h/T9rx3bk62cZgLNP384
Что движет миллионами человек, занятыми в обеспечении этого безумия и неужели, им самим не смешно и не стыдно в таком участвовать? Эту бы энергию в мирных целях, что называется.
continue
bonked 07 May 2025 14:15 +0200
original: bagder@mastodon.social
bpflogd(8) imported into -current Following its recent introduction on
tech@
[See earlier article],
David Gwynne (dlg@
)
has
committed
bpflogd(8)
to the tree:
CVSROOT: /cvs
Module name: src
Changes by: dlg@cvs.openbsd.org 2025/05/06 19:41:59
Added files:
usr.sbin/bpflogd: Makefile bpflogd.8 bpflogd.c log.c log.h
Log message:
bpflogd(8): capture packets from BPF and write them to a log file
this is like pflogd(8), but different. the main differences are:
contrinitiator
honked back 07 May 2025 13:57 +0200
in reply to: https://craba.cab/users/acelatte/statuses/114466316677722074
contrinitiator
honked 07 May 2025 19:11 +0200
contrinitiator
honked 07 May 2025 13:26 +0200
А чем плохо на телеге? Я если поехал, так знаю: худо-бедно - доеду. А ты навернесся с этого свово ираплана - костей не соберут!
continue
bonked 07 May 2025 12:39 +0200
original: kitsuneliska@mastodon.ml
Пришли акрил и акриловые маркеры, которые я давно хотела попробовать. Утром сделала выкраску и решила порисовать. Для себя поняла, что надо брать формат скетчбука поменьше, а то маркер на большом фоне начинает полосить 😭
Но в целом так прикольно! Миллион лет не рисовала живыми материалами и сначала мозг затроило, когда пальцами пыталась приблизить лягушку, чтобы красить удобнее было 😅
Потом разошлась и побаловалась рисованием из пятна без наброска
contrinitiator
honked 07 May 2025 11:57 +0200
Как от проказницы Зимы,
Запремся также от Чумы!
Зажжем огни, нальем бокалы,
Утопим весело умы
И, заварив пиры да балы,
Восславим царствие Чумы.
continue
bonked 07 May 2025 11:00 +0200
original: cstrotm@mastodon.social
#VolksForth booted today on the #Sorbus Computer (made by SvOlli -> https://xayax.net/sorbus/) #Forth #retrocomputing #6502CPU
Выпуск сканера сетевой безопасности Nmap 7.96 Основные изменения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63198
contrinitiator
honked back 07 May 2025 09:52 +0200
in reply to: https://friends.deko.cloud/objects/d0446be5-9368-1af9-46c7-08a761551323
В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust В sudo-rs по возможности обеспечена совместимость с классическими утилитами sudo и su, позволяющая использовать sudo-rs в качестве прозрачной замены sudo в большинстве сценариев использования. Для пользователей, не желающих переходить на uutils и sudo-rs, в Ubuntu 25.10 будет предоставлена опция для отката на классические варианты
системных утилит coreutils и sudo.
Протестировать использование sudo-rs не дожидаясь выпуска Ubuntu 25.10 можно при помощи инструментария oxidizr. В настоящее время в oxidizr доступны эксперименты для перехода по умолчанию на использование пакетов uutils coreutils, uutils findutils, uutils diffutils и sudo-rs. Например, для замены в своей системе sudo достаточно выполнить команду
"sudo oxidizr enable --experiments sudo-rs", а для возвращения в исходное состояние можно использовать команду "oxidizr disable".
Замена системных компонентов производится в рамках инициативы по повышения качества системного окружения через поставку программ, изначально разрабатываемых с оглядкой на безопасность, надёжность и корректность. Поставка утилит, написанных на языке Rust, даст возможность снизить риск появления ошибок при работе с памятью, таких как обращение к области памяти после её освобождения и выход за границы буфера. Если эксперимент будет признан удачным, то утилиты на Rust будут задействованы по умолчанию в LTS-ветке Ubuntu 26.04.
В анонсе также упоминается поддержка компанией Canonical работы по расширению возможностей sudo-rs и uutils. Среди задач, которые планируют реализовать в sudo-rs до выпуска Ubuntu 25.10: реализация режима NOEXEC, добавление поддержки профилей AppArmor, создание утилиты sudoedit и обеспечение поддержки старых ядер Linux (старше выпуска 5.9). Режим NOEXEC позволит через фильтрацию системных вызовов execve и execveat блокировать запуск дочерних процессов для запущенных через sudo приложений. Из проспонсированных Canonical доработок в uutils упоминается реализация поддержки SELinux в типовых утилитах, таких как mv, ls и cp, а также добавление поддержки интернационализации в утилиты (например, в утилите sort не полностью поддерживаются параметры локали).
Источник: https://www.opennet.ru/opennews/art.shtml?num=63197
Опубликованы официальные сборки Fedora, AlmaLinux и Arch Linux для WSL Сборки с Fedora, AlmaLinux и Arch Linux включены в распространяемый через репозиторий WSL перечень Linux-дистрибутивов, предлагаемых для быстрой установки в WSL. Из других дистрибутивов в перечень WSL входят Debian GNU/Linux, Ubuntu, openSUSE Leap, openSUSE Tumbleweed, SUSE Linux Enterprise, Kali Linux и Oracle Linux. Для установки сборок достаточно выполнить в Windows команду "wsl --install дистрибутив", например, "wsl --install FedoraLinux-42", "wsl --install archlinux" или "wsl --install AlmaLinux-9".
Сборки сформированы в новом формате, позволяющем распространять дистрибутив со своих серверов без загрузки в каталог Microsoft Store, без упаковки в формате appx и без размещения в сборке кода, специфичного для Windows. Новый метод сводится к размещению tar-архива с системным окружением дистрибутива и файлом /etc/wsl-distribution.conffile, содержащим метаданные, такие как название, пиктограмма, идентификатор пользователя по умолчанию и скрипты для настройки окружения, выполняемые при первом запуске.
WSL предоставляет виртуальную машину с полноценным ядром Linux (на базе веток 6.6 или 5.15), в которой могут запускаться специально адаптированные для WSL дистрибутивы Linux. Ядро включает специфичные для WSL изменения, такие как оптимизации для сокращения времени запуска и уменьшения потребления памяти, возможность возвращения Windows освобождённой Linux-процессами памяти и настройки для исключения лишних драйверов и подсистем. Система устанавливается в отдельный дисковый образ (VHD) c файловой системой ext4 и виртуальным сетевым адаптером.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63195
LLDP daemon and tool committed to -current Following its recent introduction on
tech@
[See earlier article],
David Gwynne (dlg@
)
has
committed
lldpd(8)
to the tree:
CVSROOT: /cvs
Module name: src
Changes by: dlg@cvs.openbsd.org 2025/05/02 00:12:53
Added files:
usr.sbin/lldpd : Makefile lldpctl.h lldpd.8 lldpd.c log.c log.h
pdu.c pdu.h
Log message:
lldpd(8): a daemon that acts as an LLDP agent on Ethernet interfaces.
lldpd uses the recently added AF_FRAME Ethernet sockets to listen
for LLDP packets on all Ethernet interfaces in the system, and
stores them so a lldp(8) client connecting to the control socket
can fetch and display the packets.
DSA signature support removed from OpenSSH Damien Miller ( The editors would like to encourage our readers to arrange a proper wake
for this one.
djm@
) has
completed
the planned
[See previous
articles]
removal of DSA signature support from OpenSSH:
CVSROOT: /cvs
Module name: src
Changes by: djm@cvs.openbsd.org 2025/05/05 23:40:56
Modified files:
usr.bin/ssh : sshkey.h sshkey.c sshd.c sshd-session.c
sshd-auth.c sshconnect.c ssh_config ssh.c
ssh-keysign.c ssh-keyscan.c ssh-keygen.c
ssh-add.c readconf.c pathnames.h hostfile.c
dns.c authfile.c authfd.c PROTOCOL
Removed files:
usr.bin/ssh : ssh-dss.c
Log message:
finally remove DSA signature support from OpenSSH.
feedback/ok tb@, ok deraadt@
Please keep going until we can be quadruply sure it's all gone.
Опубликована платформа Node.js 24.0.0 Основные улучшения:
Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.
Для обеспечения обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).
Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8 (дополнительно Microsoft развивает вариант Node.js с движком Chakra-Core). По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python Twisted и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63194
contrinitiator
honked back 06 May 2025 15:35 +0200
in reply to: https://honk.any-key.press/u/continue/h/Dlm7l73RG5672mv14v
На прошлой неделе нашёл время посмотреть режиссёрскую версию Ларса фон Триера фильма Нимфоманка (2013). Это почти 6 часов, разбитые на два тома, каждый в свою очередь разбит на несколько глав. Можно, наверное, смотреть как мини-сериал, но я смотрел всё за один день-вечер. Откровенных сцен много. Но не перебор, а вроде как всё на своих местах. В итоге мне понравилось. Рекомендую.
continue
bonked 06 May 2025 13:11 +0200
original: closeuprussia@mastodon.social
Мурманск, Мурманская область | Murmansk, Murmansk region, 2017. #closeuprussia #alexandradenisova #rf #photography #photo
(c) Alexandra Denisova
В GNOME SDK добавлена поддержка языка построения интерфейсов Blueprint Blueprint упрощает создание интерфейса с использованием библиотеки GTK4 и отличается задействованием простого декларативного синтаксиса, повторяющего модель виджетов GTK, поддерживающего типовые шаблоны, типы и обработчики. В отличие от формата ui-файлов GTK в Blueprint не применяется разметка XML, которая воспринимается как перегруженная и неудобная для редактирования вручную.
Для интеграции с интегрированными средами разработки и редакторами кода предоставляется LSP-сервер (Language Server Protocol), который можно использовать для подсветки, анализа ошибок, вывода подсказок и автодополнения кода. Поддержка Blueprint уже встроена в GNOME Builder и доступна в форме плагинов для Vim, GNU Emacs и Visual Studio Code.
Имеется утилита для упрощения портирования определений интерфейса из XML в Blueprint.
Благодаря читаемому синтаксису формат Blueprint позволяет обойтись без применения специализированных визуальных редакторов интерфейса. При этом Blueprint не требует внесения изменений в GTK и позиционируется как надстройка, компилирующая разметку в штатный для GtkBuilder формат XML. Функциональные возможности Blueprint полностью соответствуют GtkBuilder, отличается лишь метод представления информации. Код инструментария написан на языке Python и распространяется под лицензией LGPLv3.
using Gtk 4.0;
template $MyAppWindow: ApplicationWindow {
default-width: 600;
default-height: 300;
title: _("Hello, Blueprint!");
[titlebar]
HeaderBar {}
Label {
label: bind template.main_text;
}
}
Источник: https://www.opennet.ru/opennews/art.shtml?num=63190
continue
bonked 06 May 2025 10:56 +0200
original: opennet@honk.any-key.press
Проект CoMaps начал развитие форка приложения Organic Maps Созданный форк будет развиваться в соответствии с принципами открытости, прозрачности и совместной работы. За принятие решений будет отвечать управляющий совет, избираемый из представителей сообщества. Для проекта зарегистрирован домен comaps.app, но сайт ещё не запущен.
Структура проекта CoMaps подразумевает ведение только некоммерческой деятельности и подотчётность сообществу. Основной целью форка называется работа для удовлетворения интересов сообщества, а не с целью получения прибыли. Все ресурсы, кодовая база и интеллектуальная собственность будет принадлежать сообществу и будут распространяться только под открытой лицензией.
В плане функциональности приложения заявлены следующие принципы:
Проект Organic Maps развивает бесплатные мобильные приложения (Android, iOS, альфа поддержка Linux) для оффлайн навигации, использующие картографические данные из OpenStreetMap. Код проекта распространяется под лицензией Apache 2.0. В приложении делается упор на простоту использования и конфиденциальность (не отслеживает местоположение пользователя и не собирает личные данные). Organic Maps основан как форк приложения MAPS.ME, созданный в том числе его изначальными авторами после продажи MAPS.ME компанией Mail.ru компании Daegu Limited, которая перевела проект на проприетарную модель разработки.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63188
continue
bonked 06 May 2025 10:49 +0200
original: fossjobs@floss.social
Hi! We're #newHere on floss.social. Thank you for harboring us on your ship! Follow us for jobs *at* open source projects. And please submit any that you come across!
Open WebUI перешёл на ограничивающую лицензию, запрещающую удаление бренда При установке или распространении копий Open WebUI пользователь теперь обязан сохранять изначальные элементы бренда, название и логотип. Исключение сделано только для разработчиков, отправлявших изменения до смены лицензии, обладателей коммерческой лицензии и установок, с которыми взаимодействует менее 50 пользователей в месяц. Подобные условия не соответствуют критериям открытых лицензией OSI, поэтому проект теперь можно рассматривать как проприетарный, несмотря на слово "Open" в его названии. Код, выпущенный до версии 0.6.6, остаётся под лицензией BSD.
При этом разработчики Open WebUI не считают, что изменение сделало проект проприератным. Требование по сохранению бренда преподносится как копилефт-подобная защита, нацеленная на борьбу со злоупотреблениями и нечестными поставщиками, выдающими чужую работу за свой продукт. В остальном проект сохраняет все права, предоставляемые лицензией BSD, такие как возможность распространения, модификации и создания форков. При создании форка или собственной редакции, основанных на кодовой базе после версии 0.6.6, требуется сохранить элементы бренда и указать, что продукт является неофициальным ответвлением. Упоминание Open WebUI должно быть явным и видимым. Запрещены заявления о том, что сторонняя редакция развивается с одобрения проекта Open WebUI или при его участии.
Отмечается, что причиной изменения лицензии стали злоупотребления со стороны некоторых потребителей, которые просто удаляли упоминания связи кода с проектом Open WebUI, выдавали результат за новую разработку и пытались продавать как собственный продукт. Также вокруг проекта образовались паразитирующие на проекте посредники, которые вводили пользователей в заблуждение и продвигали свои сборки как официальные редакции Open WebUI, сопровождаемые разработчиками оригинального проекта. В случае проблем создатели подобных модификаций перекладывали работу по поддержке на основной проект, не внося при этом вклада в общее дело и не участвуя в разработке.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63189
Проект CoMaps начал развитие форка приложения Organic Maps Созданный форк будет развиваться в соответствии с принципами открытости, прозрачности и совместной работы. За принятие решений будет отвечать управляющий совет, избираемый из представителей сообщества. Для проекта зарегистрирован домен comaps.app, но сайт ещё не запущен.
Структура проекта CoMaps подразумевает ведение только некоммерческой деятельности и подотчётность сообществу. Основной целью форка называется работа для удовлетворения интересов сообщества, а не с целью получения прибыли. Все ресурсы, кодовая база и интеллектуальная собственность будет принадлежать сообществу и будут распространяться только под открытой лицензией.
В плане функциональности приложения заявлены следующие принципы:
Проект Organic Maps развивает бесплатные мобильные приложения (Android, iOS, альфа поддержка Linux) для оффлайн навигации, использующие картографические данные из OpenStreetMap. Код проекта распространяется под лицензией Apache 2.0. В приложении делается упор на простоту использования и конфиденциальность (не отслеживает местоположение пользователя и не собирает личные данные). Organic Maps основан как форк приложения MAPS.ME, созданный в том числе его изначальными авторами после продажи MAPS.ME компанией Mail.ru компании Daegu Limited, которая перевела проект на проприетарную модель разработки.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63188
Call for testing: Last bits of DSA to be removed from OpenSSH
followed by the diff that implements the change.
(An earlier Undeadly
article provides some background
on DSA removal.)
Note that Damien asks for testing help here -- if you are able to help testing this change before it goes in for real, please do!
tech@
with the subject
"die DSA die", Damien Miller (djm@
) presents a diff that will remove the last bits of DSA support from OpenSSH:
List: openbsd-tech
Subject: die DSA die
From: Damien Miller <djm () mindrot ! org>
Date: 2025-05-05 6:34:15
This finally removes all the remaining bits of DSA support from
OpenSSH and fixes up the regress tests that I could run.
I'm not set up to run the ssh.com interop tests so it's possible
they are broken by this.
ok?
Index: usr.bin/ssh/authfd.c
[ … ]
ssh: listener sockets relocated from /tmp to ~/.ssh/agent A long
discussion
on
tech@
(initiated by a
suggestion/patch from Jesper Wallin)
has culminated in Damien Miller (djm@
)
committing
changes which increase security by taking advantage of the use of
unveil(2)
elsewhere in the OpenBSD ecosystem:
CVSROOT: /cvs
Module name: src
Changes by: djm@cvs.openbsd.org 2025/05/04 20:48:07
Modified files:
usr.bin/ssh/sshd-session: Makefile
usr.bin/ssh/sshd-auth: Makefile
usr.bin/ssh/ssh-agent: Makefile
usr.bin/ssh : ssh-agent.c ssh-agent.1 session.c pathnames.h
misc.h misc.c hostfile.c
Log message:
Move agent listener sockets from /tmp to under ~/.ssh/agent for both
ssh-agent(1) and forwarded sockets in sshd(8).
This ensures processes (such as Firefox) that have restricted
filesystem access that includes /tmp (via unveil(3)) do not have the
ability to use keys in an agent.
The installer now prefers disks over 1GB Klemens Nanni (
kn@
) has
committed
the his proposed change
[See
previous article]
such that the
OpenBSD installer now prefers disks over 1GB
when prompting for the root disk.
The commit message explains the change:
CVSROOT: /cvs
Module name: src
Changes by: kn@cvs.openbsd.org 2025/05/04 06:32:41
Modified files:
distrib/miniroot: install.sub
Log message:
Prefer disks bigger than 1G as default root disk on install
-current picks the alphanumerically first disk as default, which isn't the
beset choice if install media, softraid(4) key disks or small external media
attaches before the disk one intends to use.