https://blog.pixelexperience.org/2024/04/everything-has-to-come-to-an-end-sometime/
Это была Android-прошивка, воспроизводившая на телефонах сторонних производителей набор программ и функциональность, которые Google встраивал в «родную» прошивку семейства телефонов Google Pixel.
С 10 апреля организация на GitHub переместила себя в публичный архив.
Docker на сегодняшний день является одним из наиболее популярных движков для запуска контейнеров. Запущенные контейнеры получают частные IP-адреса, на которые Docker автоматически перенаправляет входящие соединения по настроенным портам.
Однако, есть один плохо документированный пробел в безопасности: проброшенные в контейнеры порты необходимо защищать брандмауэром не так, как порты, прослушиваемые приложениями, запущенными непосредственно на хостовой системе. Как следствие, оболочки над iptables, такие как ufw и firewalld, оказываются неэффективными и пропускают входящие соединения, которые они вроде бы настроены блокировать.
Этот пробел был заявлен как баг в Docker по меньшей мере 10 раз. Поскольку проблема возникает на стыке двух подсистем, однозначно классифицировать ее как баг в Docker было бы априори несправедливо, и есть пользователи, которые по этому поводу отправляли отчеты об ошибке не разработчикам Docker, а разработчикам firewalld и других аналогичных программ для организации сетевого экрана.
Корень проблемы в том, что пакеты, перенаправляемые средствами iptables в контейнер через DNAT, проходят через цепочку FORWARD, а не INPUT, как того ожидают наивные пользователи, ufw и firewalld.
Разработчики Docker признали проблему своей и сейчас обсуждают отказ от использования iptables-цели DNAT для проброса портов в контейнеры. В качестве альтернативы предлагается IPVS, поскольку обрабатываемые им пакеты проходят через цепочку INPUT так, как они проходили бы для запущенных непосредственно на хосте приложений. Тем самым, ufw и firewalld станут работоспособны на системах с контейнерами.
Параллельно обсуждается небезопасное поведение по умолчанию, когда порт, проброшенный через -p 1234:1234, оказывается доступным извне, тогда как в большинстве случаев пользователи имели в виду доступ только с локальной машины. Ситуацию усугубляет то, что в различных руководствах для портов, которые должны быть доступны только с локальной машины, используется небезопасный синтаксис -p 1234:1234 вместо безопасного -p 127.0.0.1:1234:1234.
Поскольку изменение является потенциально ломающим совместимость, новое поведение будет доступно в одной из следующих версий Docker, но настройки по умолчанию будут изменены еще через несколько релизов.
Перемещено hobbit из security
На фоне новостей, что в Weston завезли поддержку цветокоррекции и (в виде незавершенного эксперимента) расширенного динамического диапазона, решил это проверить. Итог - да, Weston может вывести через DisplayPort какой-то сигнал, который воспринимается монитором (Gigabyte Aorus FV43U) как HDR, и даже в двух вариантах: HLG и SMPTE ST 2084. Вот только значения пикселей перевести из SDR в HDR они пока не могут.
А еще я нашел вот этот форк mpv (pull request). Он при запуске из консоли может проигрывать HDR-видео именно как HDR, без tone mapping’а. И картинка получается такая, как задумано.
Еще хочу отметить, что это проверено на старом компьютере с Intel Haswell (CPU: Intel Core i7 4770S, GPU: встроенный, Intel(R) HD Graphics 4600 (HSW GT2). Работает! Виндузятникам такое и не снилось.
Более сорока лет назад, а именно, в сентябре 1981 года, был утвержден RFC 793, Transmission Control Protocol. Этот протокол (в то время - стандарт Министерства Обороны США) отвечает за надежную доставку потоков байт между хостами в сетях с коммутацией пакетов. В Интернете, он работает поверх протокола IP как протокол транспортного уровня. Поверх него уже работают протоколы уровня приложений, такие, как HTTP/1.1.
За время существования стандарта TCP в нем были обнаружены различные неоднозначности и недоработки (например, «синдром бестолкового окна»), для исправления которых были приняты новые RFC (например, RFC 1122), уточняющие или частично изменяющие RFC 793. И, конечно же, принимались RFC с изменениями и улучшениями, не ломающие совместимость - например, RFC 1323 (ныне замененный на RFC 7323), описывающий новые опции для повышения производительности TCP на быстрых каналах с большой задержкой.
В итоге для разработчиков, реализующих стеки протоколов TCP/IP (например, для встраиваемых систем), сложилась неприятная ситуация, когда приходится сверяться не с одним документом, а с десятками. В октябре 2013 года была начата работа по переписыванию стандарта TCP со всеми исправлениями в виде одного документа без изменения его смысла. После 35 промежуточных ревизий, 18 августа 2022 года в итоге этой работы был опубликован окончательный документ, RFC 9293, определяющий минимальный набор современных спецификаций для протокола TCP. Необязательные расширения по-прежнему определяются отдельными RFC.
>>> Подробности
Demi Marie Obenour из Invisible Things Lab обнаружила уязвимость в GnuPG. Злоумышленник может вызвать отказ в обслуживании (продолжительное зависание), отправляя на проверку открепленные GPG-подписи или сертификаты, содержащие один сжатый пакет с повторенной много раз цифровой подписью. Исследователю удалось израсходовать более минуты процессорного времени на проверку входных данных размером менее 5 килобайт.
( читать дальше... )
>>> Подробности
В связи с недавними событиями, у меня не прошла оплата за Azure с карточки. Попытка договориться с техподдержкой об оплате через SWIFT тоже ни к чему не привела - санкции.
7 марта я переехал на Филиппины. Банковского счета на Филиппинах у меня нет, prepaid-карты (без счета) тоже.
Есть ли у кого-нибудь тут опыт выхода из-под санкций - т.е. как доказать Microsoft’у, что санкции на меня больше не распространяются?
P.S. ничего важного на Azure у меня нет, но совсем терять доступ не хочу, так как иностранные работодатели спрашивают про опыт.
Задача: квартира (не моя, а знакомого) переводится с аналоговой телефонии и ADSL Ростелекома на другого провайдера и VoIP, поскольку кабель Ростелекома, похоже, погрызли крысы. Постоянно треск в телефоне и обрывы связи ADSL. Но, поскольку для этого человека наличие городского номера очень важно, даже при пропаданиях электричества, надо зарезервировать питание нового маршрутизатора и VoIP-телефона хотя бы на 5-6 часов.
Когда я с аналогичной задачей сталкивался при поездке на Филиппины, то отлично сработал внешний аккумулятор Rombica Neo Pro 280. Но отдавать еще раз 8000 рублей не хочется, поэтому прошу совета, как сэкономить.
Уже пробовал купить powerbank Olmio QS-10 (первый попавшийся с поддержкой QC3.0) и кабель USB -> 12V dc 5.5x2.1mm, т.е. с триггером QC3.0 на 12V. Итог: кабель рабочий, запитать маршрутизатор от powerbank’а удалось. Однако, при попытке зарядить сам powerbank при подключенном маршрутизаторе, либо маршрутизатор перестает работать (если зарядное устройство работает не по QC3.0), либо powerbank питает маршрутизатор, но сам не заряжается (если зарядное устройство поддерживает QC3.0). Во втором случае при включении/выключении зарядного устройства питание маршрутизатора кратковременно пропадает. Т.е. функция сквозной зарядки реализована недостаточно хорошо - не бесперебойная и несовместима с быстрой зарядкой QC3.0, которая нужна, чтобы работал «умный» кабель питания маршрутизатора.
Вопрос: кто-либо еще успешно применял какой-либо дешевый powerbank как UPS для маршрутизатора? Поделитесь названием.
Linux тут при том, что на маршрутизаторе OpenWRT.
Upd: Пока основной вариант, который будет обсуждаться завтра - это переход на другого провайдера без резервирования маршрутизатора по питанию и без VoIP, плюс заказ городского номера у сотового оператора.
Upd2: Созвонились, вариант с городским номером на второй симке человека устраивает, т.е вопрос потерял актуальность. Тем не менее, если у кого-то получилось бюджетное «коробочное» решение для резервирования питания маршрутизатора, буду рад узнать.
Upd3: Техподдержка нового провайдера ответила, что свитчи, к которым подключены клиенты, не запитаны от UPS, поэтому затея изначально не имела смысл.
18 ноября 2021 года Matthew Vernon отправил в систему отслеживания ошибок Debian сообщение о недоработке в пакете phast. Недоработка заключается в том, что пакет зависит от устаревшей ветки библиотеки pcre.
Баг получил номер 1000000, и его оперативно закрыли, портировав phast на pcre2.
Баг с номером 900000 был отправлен 24 мая 2018 года.
>>> Подробности
В ЦОД OVH в Страсбурге был пожар. Полностью сгорел ЦОД SBG-2, частично SBG-1. В других ЦОД из соображений безопасности было отключено электроснабжение. Пожарные продолжают ожлаждать здания, перезапуск сегодня не планируется. Жертв нет, данные пропали.
Фото: https://twitter.com/xgarreau/status/1369559995491172354
Более чем два года назад в Gnome GitLab был открыт багрепорт о том, что скроллинг в GTK-приложениях с помощью тачпада получился слишком быстрым или слишком чувствительным. В дискуссии участвовали 43 человека.
Мейнтейнер GTK+, Маттиас Класен, изначально утверждал, что не видит проблему. Комментарии были в основном на тему «как оно работает», «как оно работает в других ОС», «как это объективно измерить», «нужны ли настройки» и «что можно поменять». Однако их накопилось слишком много, настолько много, что багрепорт, по мнению мейнтейнера, потерял свое назначение как отчет об имеющейся ошибке и превратился в форум для дискуссии. В связи с этим, багрепорт был закрыт без каких-либо изменений в коде.
>>> Подробности
https://www.quantamagazine.org/physicists-discover-first-room-temperature-superconductor-20201014/
Использовано соединение углерода, водорода и серы. Сверхпроводимость наблюдается до 287.7 ± 1.2 K (около 15°C) при давлении 267 ± 10 ГПа. Для подтверждения, что это именно сверхпроводимость, а не просто резкое уменьшение сопротивления, использовалось прямое измерение сопротивления, магнитной восприимчивости, а также зависимости температуры перехода от индукции внешнего магнитного поля.
Собираюсь брать USB WiFi адаптер, для софтовой (hostapd) точки доступа. Поискал на Яндекс.Маркете, чтобы именно USB3 и 802.11ac (эфир чистый, в USB2 точно упрется). В итоге вижу, что ни одного устройства, соответствующего этим критериям и имеющего поддержку в ядре Linux из коробки, нет. Зато много чего на чипсетах, поддерживаемых тут: https://github.com/aircrack-ng/rtl8812au
Кто-нибудь что-нибудь из списка ниже заводил именно в режиме точки доступа?
Инвайты в еще один инстанс Mastodon: lor.sh
Автор Deleted, последнее сообщение давным-давно, может надо убрать это с самого верха?
Обращаюсь на ЛОР, поскольку врачи сейчас принимают только по неотложным случаям.
Вчера решил откликнуться на очередную вакансию DevOps’а на удаленке, поскольку текущая работа устраивает не на 100%. Как оказалось, надо среди прочего пройти задание по кодингу на Python. Т.е. дают задачу, дают час на ее решение, и у них есть автотесты, которые это решение проверяют.
Если кто хочет сам порешать, вот что мне попалось: «функция принимает в качестве аргументов два набора по 5 карт, в формате типа [‘2S’, ‘4C’, ‘AH’, ‘5D’, ‘AC’], должна решить, какой из этих наборов сильнее по правилам покера, и должна вернуть 0 (ничья), 1 (первый набор сильнее) или 2 (второй набор сильнее)». Т.е. никаких хитрых алгоритмов, ничего принципиально сложного, именно много кодинга (проверок на наличие предусмотренных правилами покера комбинаций) и поджимает время.
С задачей я вроде справился (результат пока не сказали). Успел и код написать, и потестировать вручную перед отправкой. На все ушло 53 минуты из разрешенного часа - т.е. почти впритык. НО: после того, как я отправил решение, заметил, что сердце стучит слишком часто (не измерял, но точно больше 100 ударов в минуту). Восстановилось само.
Раньше от чисто умственной работы у меня такого никогда не было. Но и тупых объемных заданий с таким жестким дедлайном тоже давно не было (из ближайшего - контрольная по методам математической физики, но это было ~20 лет назад). Собственно, вопрос здешним врачам - это нормально, когда организм так реагирует?
Собираюсь брать новый 13" ноутбук на замену морально устаревшему Lenovo Yoga 2 Pro. Рассматриваю несколько вариантов, но в приоритете пока HP EliteBook 735 G6 (7KP88EA, т.е. максимальная из продаваемых в России комплектаций). Жирная конфигурация берется, так как по работе иногда приходится запускать сразу по несколько виртуальных машин.
До того с ноутбуками на AMD дела не имел. Если есть владельцы - поделитесь впечатлениями.
Завершилось голосование по поправке SC27v3 к Базовым Требованиям, согласно которым удостоверяющие центры выдают SSL-сертификаты. В итоге поправка, разрешающая при определенных условиях выписывать DV- или OV-сертификаты на доменные имена .onion для скрытых сервисов Tor, принята.
Ранее допускалась только выдача EV-сертификатов из-за недостаточной криптографической стойкости алгоритмов, связанных с доменными именами скрытых сервисов. После вступления поправки в силу, станет допустимым метод валидации, когда владелец скрытого сервиса, доступного по протоколу HTTP, делает на сайте запрошенное удостоверяющим центром изменение, например, размещение файла с заданным содержимым по заданному адресу.
В качестве альтернативного метода, доступного только для скрытых сервисов, использующих onion-адреса версии 3, также предлагается допустить подпись запроса на сертификат тем же ключом, который используется скрытым сервисом для Tor-маршрутизации. Для защиты от злоупотреблений в этом запросе на сертификат необходимо наличие двух специальных записей, содержащих случайные числа, сгенерированные удостоверяющим центром и владельцем сервиса.
За поправку проголосовали 9 из 15 представителей удостоверяющих центров и 4 из 4 представителей компаний, разрабатывающих веб-браузеры. Голосов против не было.
>>> Подробности
Wireguard – это простой и безопасный VPN-протокол, основным разработчиком которого является Jason A. Donenfeld. Долгое время модуль ядра, реализующий этот протокол, не принимали в основную ветку ядра Linux, так как использовалась своя реализация криптографических примитивов (Zinc) вместо стандартного crypto API. Недавно это препятствие было устранено, в том числе за счет доработок, принятых в crypto API.
Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.
Wireguard выгодно отличается от других протоколов VPN отсутствием необходимости согласовывать используемые криптографические алгоритмы, радикальным упрощением процесса обмена ключами, и, как следствие, малым размером кодовой базы.
>>> Подробности
Сформированы сборки нового значительного релиза OpenWRT — открытого дистрибутива Linux для домашних сетевых маршрутизаторов. Основные нововведения, видимые пользователю:
>>> Подробности
7 декабря 2019 года в проекте Debian перед разработчиками был поставлен на голосование вопрос о статусе систем инициализации, отличных от systemd. Варианты, из которых проекту предстояло сделать выбор:
Полный текст каждой опции можно прочитать в официальном письме секретаря Debian.
Срок голосования истек в полночь по UTC 28 декабря 2019 г.
Debian использует достаточно сложную систему голосования - метод Шульце. При голосовании каждый участник ранжирует все опции в порядке личных предпочтений.
Метод Шульце удовлетворяет критерию Кондорсе: если одна из опций победила бы при попарном сравнении каждую другую, то она и объявляется выигравшей. В данном голосовании такой опцией оказалась опция B («Systemd, но мы поддерживаем исследование альтернативных решений»). Соответственно, она и стала обязательной для исполнения.
На практике это означает, что отсутствие init-скрипта в пакете с демоном более не является багом.
>>> Подробности
Специалисты из Qualys Labs обнаружили несколько проблем безопасности, связанных с возможностью обмануть программы, отвечающие за применяемые в BSD механизмы проверки паролей (аналог PAM). Обман заключается в передаче имени пользователя «-schallenge» или «-schallenge:passwd», которое затем интерпретируется не как имя пользователя, а как опция. После этого система принимает любой пароль. Уязвимы, т.е. разрешают в итоге несанкционированный доступ, сервисы smtpd, ldapd, radiusd. Сервис sshd проэксплуатировать не удается, так как дальше sshd замечает, что пользователь «-schallenge» на самом деле не существует. Программа su при попытке эксплуатации в лоб падает, так как тоже пытается выяснить uid несуществующего пользователя.
Также были обнародованы разнородные уязвимости в xlock, в авторизации через S/Key и Yubikey, а также в su, не связанные с указанием пользователя «-schallenge». Уязвимость в xlock позволяет обычному пользователю повысить привилегии до группы auth. Через неверную работу механизмов авторизации через S/Key и Yubikey можно повысить привилегии от группы auth до пользователя root, но в конфигурации OpenBSD по умолчанию это не работает, поскольку авторизация через S/Key и Yubikey выключена. Наконец, уязвимость в su позволяет пользователю повысить лимиты на системные ресурсы, такие как количество открытых файловых дескрипторов.
На данный момент уязвимости устранены, обновления безопасности доступны через штатный механизм syspatch(8).
>>> Подробности
| следующие → |