Заметил новое в свежей версии #honk: если в посте больше определённого количества тэгов, то хонк рендерит публикацию без них, но добавляет сроку:

(removed X useless tags)

Уязвимости в Samba, допускающие удалённое выполнение кода в редких конфигурациях

• CVE-2026-4408 - уязвимость в реализации сервера SAMR (Security Account Manager) поверх DCE/RPC, применяемого для управления учётными данными и БД c пользователями и группами. Проблема затрагивает файловые серверы и классические контроллеры доменов (не Active Directory), запускающие процесс samba-dcerpcd как системный сервис (по умолчанию не запускается) и использующие скрипт проверки пароля, заданный в smb.conf через настройку "check password script" с использованием символа подстановки "%u" в команде запуска (конфигурации без подстановки "%u" проблеме не подвержены).

  Уязвимость вызвана тем, что RPC-сервисы SamValidatePasswordChange и SamValidatePasswordReset передают логин и пароль в скрипт, заданный через настройку "check password script", без экранирования спецсимволов при подстановке имени пользователя через "%u". Уязвимость позволяет выполнить произвольные shell-команды на сервере при указании специально оформленного имени пользователя. В качестве обходного пути защиты предлагается передавать в скрипт имя пользователя не через подстановку "%u", а через переменную окружения SAMBA_CPS_ACCOUNT_NAME.

• CVE-2026-4480 - уязвимость в сервере вывода на печать, использующем настройку "print command" с символом подстановки "%J". Проблема вызвана тем, что заданное пользователем описание работы вывода печать передаётся через подстановку "%J" без должного экранирования спецсимволов, что позволяет удалённо выполнить свой код при отправке задания на печать, в том числе в доступном по умолчанию гостевом режиме. В качестве обходного пути защиты можно удалить подстановку "%J" из настройки "print command" в smb.conf.

Также в новых выпусках устранено ещё несколько уязвимостей, дающих возможность обойти проверку прав доступа к xattr-атрибуту "reparse point", вторично перезаписать файл при использовании vfs-модуля WORM (Write-Once, Read Many), установить сертификат через HTTP без верификации и вызвать аварийно завершение сервера AD DC WINS через отправку специально оформленного UDP-пакета.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65545

Обновление Wolvic, web-браузера для устройств виртуальной реальности

Навигация в браузерном интерфейсе осуществляется при помощи VR-контроллеров или через отслеживание движения глаз, а для ввода данных в web-формы применяется виртуальная клавиатура или система голосового ввода, дающая возможность заполнять формы и отправлять поисковые запросы с использованием развиваемого системы распознавания речи. Возможен просмотр в браузере пространственных видео, снятых в режиме 360 градусов. В качестве стартовой страницы браузер предоставляет интерфейс для доступа к избранному контенту и навигации по коллекции, адаптированных для 3D-шлемов игр, web-приложений, 3D-моделей и пространственных видео.

Готовые сборки формируются для платформы Android и поддерживают такие 3D-шлемы, как Huawei VR Glass, Huawei Vision Glass, VIVE Focus, Lynx R1, Lenovo A3, Magic Leap 2, Meta Quest 2/3/Pro, Oculus Quest и Pico 4/4E. В режиме тестирования возможен запуск на обычном Android-смартфоне без 3D-шлема. Код Wolvic написан на языках Java и C++, и распространяется под лицензией MPLv2.

Среди изменений в новых выпусках:

• Предоставлена возможность добавления и использования по умолчанию своих поисковых движков.
• Задействован новый движок для распознавания речи, применяемый для голосового поиска и позволяющий выполнять транскрибирование. В движке задействованы модели автоматического распознания речи от проекта Vosk, загружаемые по мере необходимости и занимающие менее 50 МБ. Распознавание производится на устройстве без обращения к внешним сервисам. Поддерживаются английский, испанский, немецкий, итальянский, китайский, французский и русский языки.
• Реализована корректная работа с сервисами, такими как Google Earth, предлагающими установить отдельное приложение. Для подобных программ Wolvic теперь откатывается на использование web-версии.
  
  
  <video><source src="https://wolvic.com/assets/img/posts/1.9-google-earth-meta.mp4"></video>
• Добавлены четыре новых виртуальных окружения, включаемые через диалог "Settings > Environment".
• Обеспечено сохранение состояния браузера после обновления - все открытые до обновления вкладки теперь сохраняются.
• Расширены возможности виджетов для выбора даты и времени.
• Возобновлена поддержка 3D-шлема Lynx-R1.
• Браузерный движок Gecko и компоненты Mozilla для Android обновлены до версии 140, соответствующей Firefox 140 (в прошлых выпусках использовались версии Mozilla Android Components 128 и Gecko 128).


Источник: https://www.opennet.ru/opennews/art.shtml?num=65544

В библиотеку ANGLE, используемую в Chrome и Android, добавлена поддержка Wayland

Fix honk unplug:

$ got diff
diff /home/ar/projects/honk
path + /home/ar/projects/honk
commit - e25c23d62d48023609fda12720639b72b924adce
blob - ab303bda8b263a6c861bd838ebdb0c8a935782d4
file + main.go
--- main.go
+++ main.go
@@ -67,9 +67,11 @@ func unplugserver(hostname string) {
        xid := fmt.Sprintf("https://%s", hostname)
        db.Exec("delete from honkers where xid = ? and flavor = 'dub'", xid)
        db.Exec("delete from doovers where rcpt = ?", xid)
+       db.Exec("delete from doovers where rcpt = ? escape '!'", "!%" + xid)
        xid += "/%"
        db.Exec("delete from honkers where xid like ? and flavor = 'dub'", xid)
        db.Exec("delete from doovers where rcpt like ?", xid)
+       db.Exec("delete from doovers where rcpt like ? escape '!'", "!%" + xid)
 }
 
 func reexecArgs(cmd string) []string {

Applies to version 1.5.2

(#honk #instance)

Выпуск проприетарного драйвера NVIDIA 610.43.02

Основные изменения:

• В модуле ядра nvidia-drm реализована поддержка API для использования аппаратных возможностей преобразования цвета, появившегося в ядре Linux 6.19. Изменение позволяет композитным серверам на базе Wayland вынести на сторону дисплейного контроллера NVIDIA операции преобразования цвета, например, используемые для HDR.
• Добавлена возможность создания логических устройств Vulkan на основе нескольких физических устройств. Для создания групп устройств задействовано Vulkan-расширение VK_KHR_device_group_creation. Включение осуществляется через переменную окружения "__VK_ENABLE_DEVICE_GROUPS=1".
• Реализованы Vulkan-расширения:
  • VK_EXT_shader_long_vector
  • VK_KHR_internally_synchronized_queues
  • VK_NV_push_constant_bank
  • При использовании Wayland добавлена поддержка конфигураций фреймбуфера EGL, использующих 16-разрядные числа с плавающей запятой (FP16) для представления цветовых значений пикселей.
  • Реализована поддержка DRM-модификаторов формата (DRM format modifier) для многоплоскостных форматов YCbCr.
  • Добавлена возможность применения операции mmap к файловым дескрипторам, экспортированным из дискретных GPU NVIDIA.
  • Прекращена поддержка использования X11-драйвера NVIDIA с X-расширением Xinerama.
  • Внесены оптимизации, повысившие производительность игры Starfield.
  • Устранены регрессии в производительности API Vulkan, проявлявшиеся в игре "Doom: The Dark Ages" на системах с драйверами NVIDIA 590.x.
  
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65540
  

Запись сеанса разработки для подтверждения, что изменение подготовлено не через AI

Идея не переведена в разряд обязательных требований и пока находится на стадии обсуждения и экспериментов. На первый взгляд, разработчик, пытающийся обмануть сопровождающего и выдать патч, созданный через AI, за собственноручно написанный код, может воспользоваться AI и для генерации записи сеанса в asciinema. Эксперименты показали, что искусственность подобных записей сразу бросается в глаза, так как не отражает свойственных человеку действий, ошибок и размышлений в ходе работы. Типовые AI-модели обучены на уже готовом коде, но их обучение в полной мере не охватывало сам процесс написания кода людьми.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65539

LibreSSL 4.3.2 released

Read more…

Проект Pavona развивает дистрибутив открытых аппаратных компонентов для создания чипов

В числе основателей проекта выступили 12 компаний и организаций, среди которых Qualcomm Technologies, Meta, Analog Devices, Baochip, SIMPLE Crypto Association, Tenstorrent, Winbond и ZeroRISC. Проект развивается на нейтральной площадке, не зависящей от отдельных производителей, и управляется участниками из образованного вокруг него сообщества.

Pavona предоставляет IP-блоки с ядрами RISC-V (Ibex RV32IMCB и VexII), криптоускорителями с поддержкой классических и постквантовых криптоалгоритмов, контроллерами OTP/flash, SRAM, JTAG, ADC, I2C, GPIO и SPI. Среди реализованных на аппаратном уровне криптоалгоритмов: HMAC, KMAC, AES, EDN, ASCON, ML-KEM, ML-DSA, DSA-SHA2 и SLH-DSA-SHAKE. Предоставляется полная документация и ресурсы для верификации перед производством (Design Verification collateral) и RTL-код. Помимо аппаратных компонентов проектом также предоставляется программное обеспечение, такое как криптографическая библиотека для интеграции с криптоускорителями, прошивки и сопутствующие утилиты.

На базе Pavona подготовлены две эталонные реализации: обособленный чип со встроенными криптографическими возможностями для использования в роли "Root of Trust" и реализация "Root of Trust" для архитектуры чиплетов, опробованные в производстве с использованием техпроцесса TSMC 3nm (N3). Чиплеты позволяют создавать комбинированные гибридные интегральные схемы (многочиповые модули), образованные из независимых полупроводниковых блоков. Отмечается, что Pavona стал первым проектом, предоставляющим готовый к производству встраиваемый в чипы открытый стек с поддержкой постквантовых криптографических алгоритмов (PQC).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65537

Современные небюджетные жэка с одной стороны паразитируют на городе, пользуясь его коммуникациями, а с другой всячески отгораживаются от городской среды, представляя собой внутренний городок для избранных. В таких домах, где не живут в подвалах коты и птицы на чердаках, обычно пытаются добиться стерильной управляемой виделнаюлюдением и службой консьержек структуры, где даже вереницы курьеров, без которых жильцы таких домов, вероятно, вообще не могут существовать, считаются людьми второго сорта и всячески ограничиваются в передвижении, о чём вам расскажут тысячи объявлений и предупреждающих знаков.

#ЛенинградНутряной

Релиз AlmaLinux 9.8 и 10.2

Дистрибутив по возможности бинарно совместим с Red Hat Enterprise Linux и может использоваться в качестве замены RHEL 10.2 и CentOS 10 Stream. Помимо ребрендинга и удаления специфичных для RHEL пакетов в AlmaLinux 10.2 отмечены следующие отличия от RHEL 10.2:

Game of Trees 0.126 released

Тест...

UPD:

• Странно.... как будто #honk не рассылает новые посты другим серверам...
• Откатился к honk-1.5.1: не помогло. Вернул обратно версию 1.5.2
• Посты с других серверов приходят. Но сервер honk упорно не рассылает посты: я, например, не вижу новые посты от https://honk.any-key.press/u/opennet
• Запустил honk в консоли (с аргументом -debug): когда правлю пост никакой отладочной печати о том, что идёт рассылка кому бы то ни было нет. Ошибок тоже нет :(
• Пробовал откатиться до go-1.25.1 -- нет эффекта. Вернул обратно.

Основной репозиторий хонка (https://humungus.tedunangst.com/r/honk) недоступен: у меня нет идей как дальше отлаживать эту проблему.
UPD2: Нашел тарбол исходников хонка в артефактах сборки на французском зеркале OpenBSD: https://ftp.fr.openbsd.org/pub/OpenBSD/distfiles/honk-1.5.2.tgz
Сохранил копию себе (на всякий случай): https://ftp.any-key.press/honk-1.5.2.tgz
Хэш и размер совпадет с указанными в ports/www/honk/distinfo:

$ openssl dgst -sha256 -binary honk-1.5.2.tgz | openssl base64
7dIui+VMHn916yMdhqN6Pk2P/s0vvXzVKFsTZ5wp12A=

Осталось теперь только найти время собрать и по-отлаживать сервер.

UPD3: Кажется нашёл суть проблемы. Встроенный в #golang резолвер имён не работает, например так:

DEBUG failed to post json inbox=https://metalhead.club/inbox err="Post \"https://metalhead.club/inbox\": dial tcp: lookup metalhead.club: no such host"

Что бы заставить программу резолвить сетевые имена стандартными функциями ОС нужно при сборке добавить опцию -tags netcgo:

-       env CGO_ENABLED=1 go build -mod=`ls -d vendor 2> /dev/null` -o honk
+       env CGO_ENABLED=1 go build -tags netcgo -mod=`ls -d vendor 2> /dev/null` -o honk

Что бы не нагружать сеть оставлю работать хонк на ночь. Если я правильно понял, то часов через 9 должна разобраться таблица повторной отправки.

Сообщения от @opennet прокилял, должны приходить только новые.

P.S. В случае необходимости для связи со мной можно использовать почту: continue(собака)to.any-key.press

(#instance)

Стоит ли говорить о революционности воззрений Толстого в современном капиталистическом обществе, где и без того царит культ продуктивности и "достигаторства", ну а в России, на фоне войны, демографической ситуации, санкций и нарастающего пиздеца в экономике законодательно увеличивают лимиты сверхурочной работы, олигархи призывают трудиться 6 дней в неделю (прибавочная стоимость, как говорится, сама себя не прибавит) и появляются скрытые формы принудительного труда (отработка студентов медвузов)? Наша история снова вернулась в то состояние, когда даже 6-часовой рабочий день кажется утопией, не то что посткапиталистическое общество без труда как такового.

Самым сложным в новом восхождении на "Перунову" гору было смотреть под ноги, чтобы не услышать под ботинками хруст улиточьих панцирей. Ну и главная новость в том, что в мокрых низменных смешанных лесах, которыми поросла некогда стоявшая тут усадьба, уже КОМАРЫ!
Стоят ветреные дни - озёра в окнах электрички шли белыми бурунами, облака стремительно неслись на низком небе, но и на вершине духи воздуха были явно в ударе: такого постоянно сильного напора Ветра я не припомню, он буквально вырывал кружки с сакральными напитками из рук.
После нашего последнего визита природа явно взяла своё: изрытая и истерзанная рабочей техникой вершина поросла деревьями: пока крошечными дубками, берёзками, а также рябиной и многочисленными кустами дикой малины, между которыми недавно бродили лоси. Надо будет наведаться сюда осенью, которая наверняка порадует обильным урожаем.
Про это таинственное место нет никаких исторических свидетельств, и ничем оно не примечательно, но зато чувствуется, как всё вокруг живое и яростное, и именно там был недавно получен опыт необъяснимого, а сакральную географию стоунхенджей перешейка ещё предстоить выявить нам, практикам ландшафтного спиритизма.

#ЛенинградНутряной

В субботу вечером во двор с трудом въехал громадный грузовик с поддонами, а потом допоздна что-то усиленно и громко долбали. Что же это было, терялмя я в догадках? Оказывается, будут менять плитку!
Безумие.

Вот идёшь обычно - о, тут была пивнуха, а здесь ларёк стоял. А теперь что там? Какой-то "спортклуб такого-то района", поставили заборчик, все играют в волейбол, забеги устраивают. Ну хрен его знает, ребята. Неужели это потому что родное государство заботится о нашем здоровье? Очевидно же, что эта мысль бредовая, и сразу её от себя гоню.

GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость

Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость

Flipper One - устройство-мультитул для хакеров с AI-движком, Wi-Fi рутером и сетевым анализатором

Демка на 16 байт, которая воспроизводит визуальные (текстовые) и звуковые эффекты. Обожаю такое.

wake up! 16b

In the demoscene, exploring what can be achieved within extreme constraints is a rewarding technical challenge. The following 16 bytes of x86 real-mode DOS assembly code represent a careful exercise in algorithmic density. When executed, it utilizes the computer's video memory as a calculation space to draw an infinite Sierpinski fractal, while simultaneously interpreting that geometry as audio data.

https://www.youtube.com/watch?v=MvycyU-kLjg

P.S. Что бы объяснить 16 байт машинного кода автору понадобилось более 9 тысяч символов текста (и ещё не стоит забывать про иллюстрации):

$ w3m https://hellmood.111mb.de/wake_up_16b_writeup.html -dump | wc -c
9943

(#demoscene)

В кое-каком районе кое-что в деревьях вызвало переполох.
Накануне в медиа рассказали об эвакуации жителей многоквартирного дома.
Фиксируется перекрытие движения. На месте работают оперативные службы.
В пресс-службе администрации района вопреки обыкновению ничего не сообщили о случившемся. В МЧС сказали, что вопрос не по адресу. В Росгвардии дали похожий ответ: случившееся не в их компетенции.

(#новояз)

Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов

Выпуск композитного сервера Wayland Maker 0.8

Релиз полностью свободного Linux-дистрибутива PureOS 11, используемого на смартфонах Librem

Цветёт всё как в последний раз, перед закрытием проекта!

Незаконно подключён к объектам жизнеобеспечения.

(#новояз)

Представлен обновлённый интерфейс Firefox

Релиз OpenBSD 7.9

Выпуск браузера Vivaldi 8.0

А у меня небольшой анонс!

В эту субботу, 23 мая в 17:15, я в поучаствую в ещё одной дискуссии, посвящённой видеоиграм и архитектуре: "Виртуальная архитектура: видеоигры как вызов архитекторам и музейщикам". Поговорим о влиянии игр и видеоигровой архитектуры на наше восприятие повседневности, о том как игры могут помочь сохранять культурное и архитектурное наследие, и как музеям и видеоиграм предстоит сотрудничать без конкуренции, чтобы обмениваться аудиторией и формировать новый взгляд на пространство.

Разговор в Инженерном корпусе Третьяковской галереи, так что если возникали сомнения, что игры - серьёзный медиум, давно проникший во все области, а классические институции формата музеев - слишком консервативны для игр, то эта дискуссия - отличный способ их развеять. В качестве иллюстрации к посту - мой снимок Индики, потому что невозможно говорить о сохранении наследия посредством видеоигр, не упоминая её.

Буду рада всех увидеть и поболтать :blobfoxbongo:
https://intermuseum.culture.ru/tproduct/1-602941092322-virtualnaya-arhitektura-videoigri-kak-vi

Релиз дистрибутива Red Hat Enterprise Linux 10.2

Пакеты RHEL не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, загруженных через клиентский портал, что создаёт юридические риски при использовании этих пакетов для создания производных дистрибутивов. Исходные тексты RHEL остаются доступны в репозитории CentOS Stream, но он не полностью синхронизирован с RHEL и версии пакетов в нём не всегда совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.

Обновлял вчера опёнка (до 7.9) на ноуте: отвалился openvpn до офиса.
В логах была ошибка, что на сервере используется TLS 1.0, а моя обновлённая ОС такое уже не поддерживает. Нашел в описании выпуска LibreSSL 4.3.1 следущее:

- In addition to what was done in LibreSSL 4.0 for the version handling, disable TLSv1.1 and lower also on the method level.

Благо в портах есть openvpn-mbedtls, установка которого решила проблему.

Сегодня попробую попинать людей, отвечающих за серверную инфраструктуру на работе. Ну негоже в 2026-ом TLS 1.0 использовать.

(#openbsd #openvpn #libressl)