Опубликованы подробности уязвимости CVE-2014-6271 в bash, которая позволяет злоумышленнику произвести удалённое выполнение кода.

Уязвимость возможна благодаря одной из особенностей bash - использования переменных окружения для экспорта функций (если в переменной содержится "() {", то её содержимое будет интерпретировано как функция). Проблема заключается в том, что обработка продолжается даже после символа «}», поэтому, если добавить любую команду — она будет выполнена. Атаке подвержены sshd, Git и Subversion (при определённых обстоятельствах), Apache с mod_cgi или mod_cgid (если скрипты CGI написаны на bash или вызывают bash-скрипты), клиенты DHCP (если они вызывают скрипты для настройки системы), CUPS и вообще любые приложения, которые запускают bash (или bash-скрипты) и могут устанавливать переменные окружения на основе данных, полученных извне.

Для проверки наличия уязвимости в системе можно выполнить команду

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Обновление с исправлением уязвимости уже выпущено для некоторых популярных дистрибутивов.

Кроме того, объявлено об исправлении множественных уязвимостей в пакетном менеджере APT. Уязвимости CVE-2014-0487, CVE-2014-0490, CVE-2014-0488 и CVE-2014-0489 позволяют обойти проверку цифровых подписей пакетов и репозиториев, а уязвимость CVE-2014-6273 - выполнение произвольного кода, отправленного злоумышленником, вмешавшимся в трафик.

знаю есть возможность использовать макросы с переменным числом аргументов, типа:

#define msg( format, ... ) printf( format, args )

можно ли во время препроцессинга узнать количество указанных аргументов ?

Вот так, нарушаем заветы священных писаний о лютом грехе - работе в субботний день :). Зато можно полностью погрузиться и наконец-таки допилить одну хитрую штуку.

Два монитора дают +10 к комфорту в разработке. Механическая клава дополняет еще +5. Тишина и отсутствие внешних раздражителей - over 9000, т.е. бесценно. В остальном - работа как работа.

На скрине саблайм в трехпанельном режиме ибо удобно. На втором скрине - пара терминалов для компиляции и запуска того говнокода, который слева.

ЗЫ фоткал на мобилу, так что сори за качество :)

LyX — WYSIWYM-текстовый редактор, использующий разметку TeX/LaTeX.

Неполный список изменений:

• Добавлено 18 дополнительных шрифтов.
• Добавлен встроенный интерфейс для вставки символов международного фонетического алфавита.
• Категории классов документов систематизированы и сгруппированы.
• Полностью переписан интерфейс LaTeX Options, улучшена поддержка опций LaTeX.
• Добавлена поддержка новых команд LaTeX, таких как \fbox, \mbox, \textvisiblespace, \negmedspace, \negthickspace, \caption*, \utilde, \smash, \sideset.
• Улучшена поддержка таблиц. Добавлена функция вращения всей таблицы и содержимого отдельных ячеек под произвольным углом.
• Улучшен макет Beamer.

>>> Подробности

Посоветуйте толковую книгу по TCP/IP стеку.

Youtube-dlG — это кроссплатформенный графический интерфейс для популярного консольного инструмента для загрузки видео `youtube-dl`. Этот интерфейс позволяет вам одновременно загружать несколько видео, автоматически конвертировать загруженные видео в аудио, позволяет вам выбрать необходимое качество видео и многое другое.

Youtube-dl — консольный загрузчик видео, который, несмотря на свое имя, позволяет загружать видео с сотен веб-сайтов, может автоматически извлекать аудио, поддерживает загрузку плейлистов, а также загрузку и встраивание субтитров в видео и многое другое.

Возможности Youtube-dlG:

• загрузка видео со всех веб-сайтов, которые поддерживаются утилитой youtube-dl;
• поддержка одновременной загрузки нескольких видео;
• возможность автоматической конвертации загруженного видео в аудио (с опциями выбора формата и качества);
• поддержка видео Youtube DASH (он автоматически загружает и изображение, и аудио, и совмещает их; по желанию, можно загрузить или аудио, или видео);
• субтитры: вы можете загрузить все доступные субтитры, записать их в видео, а также выбрать нужный вам язык для субтитров;
• поддержка установки User-Agent, реферрера, поддержка входа для загрузки видео, поддержка прокси-серверов;
• поддержка консольных аргументов, которые отправляются в youtube-dl.

P.S. Важно заметить, что если вы выбираете наивысшее доступное качество «highest available» в настройках Youtube-dl-gui, приложение будет загружать самое качественное доступное видео не в DASH, что обычно означает качество 720p. Если вы хотите загружать видео с Youtube в качестве 1080p, выберите «mp4 1080p(DASH)» и также выберите «DASH m4a audio 128k» в «Dash audio».

Youtube-dl

>>> Подробности на английском o Youtube-dlG

Добрый день.

Какой используете плагин автодополнения для Vim?

• OmniComplete
  
• neocomplcache+neosnippet
  
• SuperTab
  
• AutoComplPop
  
• как диды C-x в insert mode?
  
• Tag List
  
• Exuberant Ctags integration
  
• clang_complete
  

другой какой?

В свете «A code-completion engine for Vim» YouCompleteMe от гугловца Вола Марковича, остальные, имхо, сливают конкретно и полностью.

Как говорится 'Life Changing' автокомплит. Демонстрация и подробная информация по ссылке.

Если вкратце, то заменяет все вышеперечисленные плагины, не требует никаких хоткеев (настраиваемый автоматический pop-up ), интеграция с Syntastic и другое.

Благодаря Clang-based engine идеально подходит для семейства Си: C / C++ / Objective-C / Objective-C++;
а также Jedi-based completion engine для таких языков как Python, Ruby, PHP и др.

Вообще заявлена поддержка всех ЯП.

Кто уже использует, какие впечатления?

Платформонезависимая библиотека MathGL предназначена для построения широкого спектра графиков (кривых, поверхностей, поверхностей уровня и т.д.). Есть возможности экспорта графики в растровые (PNG, JPEG) или векторные (EPS, SVG, TeX, OBJ, PDF) форматы и рисование в консольном режиме.

В новой версии существенно увеличена скорость рисования, добавлены новые типы графиков и расширены стили рисования существующих, добавлена маска при выводе в растровое изображение, добавлены новые функции обработки данных, а также сделано множество других улучшений.

>>> Подробности

Скачать

( Changes )

решил настроить отправку sms через календарь google http://habrahabr.ru/post/147583/ Все сделал как там. Все файлы лежат в

/opt/etc/calendarSMS

sendsms

/opt/etc/calendarSMS
./sendsms -inet -sync Привет Мир!

calendarSMS: Не установлен ntpclient время не будет синхронезировано
./sendsms: 1: ./sendsms: /opt/etc/calendarSMS/calendarSMS.py: Permission denied
calendarSMS: 

-inet

./sendsms: 1: ./sendsms: /opt/etc/calendarSMS/calendarSMS.py: Permission denied
calendarSMS: 

-rwxrwxrwx 1 root root  194 Окт 20 23:12 calendarSMS.config
-rwxrwxrwx 1 root root 8701 Май 22  2012 calendarSMS.py
-rwxrwxrwx 1 root root 2268 Дек  1  2010 sendsms

./sendsms -inet -sync hello

calendarSMS: Не установлен ntpclient время не будет синхронезировано
./sendsms: 1: ./sendsms: /opt/etc/calendarSMS/calendarSMS.py: not found
calendarSMS: 

calendarSMS.config

[sendsms]
user: vassio@gmail.com
pw: *******
starttime: 120
endtime: 180
remindertime: 1
calendar: fafgttkq8ed2idfgfhdfidn6eok@group.calendar.google. com
attempt:11
delay:5

Для синхронизации времени перед каждой отправкой в примере используется ntpclient. Он используется только в предыдущем пункте. В Убунте я исправил его на ntpdate и все заработало.

Но я не знаю как изменить на ntpdate корректно, ntpclient был замечен в файле

sendsms

;;
  
  -sync)
   logger "calendarSMS:  Synchronizing time"
   if (! ntpclient -s -h pool.ntp.org >/dev/null  2>&1) then
    echo "calendarSMS: Не установлен ntpclient время не будет синхронезировано"
    logger "calendarSMS: Не установлен ntpclient время не будет синхронезировано"
   else
   logger "calendarSMS:  Synchronizing time"
   fi
  ;;

Помогите настроить.

Знаю, что вопрос избитый, но все же хочется просуммировать и кое-что прояснить. Имеется флэшка на 4 Гб (реально могу записать около 3,3 Гб). На флэшку делаю ежедневные инкрементальные бэкапы через rsync. Рабочая папка на данный момент занимает 3,2 Гб. Сейчас флэшка отформатирована в ext4. Поддержка Windows не нужна. Слышал, что лучше использовать нежурналируемые ФС, такие как ext2, но мне при этом важна сохранность данных. Поэтому возникают следующие вопросы.
1) Какие существуют риски использования нежурналируемой ФС на флэшке с точки зрения сохранности данных?
2) Увеличится ли свободное место на флэшке, если отключить журнал или использовать ext2? У меня ext4 сама по себе занимает больше места, чем, например, NTFS.
3) Какие ФС, поддерживающие сжатие, можно использовать на флэшке и насколько это сжатие эффективно?

John MacFarlane представил широкой публике новую версию Pandoc — универсального конвертера текстов, написанного на Haskell и работающего со следующими форматами:

( читать дальше... )

В этом релизе:

• Улучшенная система метаданных. Отныне они не ограничиваются названием, датой и авторством и позволяют добавить любые поля, которые вам необходимы.
• Новый способ создания фильтров — опция --filter.
• Python-библиотека pandocfilters, упрощающая создание фильтров.
• Добавлена поддержка OPML (Outline Processor Markup Language) в качестве как входного, так и выходного формата.
• Добавлена поддержка Haddock в качестве входного формата.
• И прочее.

>>> Подробности

Из нововведений стоит отметить:

• Увеличенный размер словаря вплоть до 1 ГБ.
• Улучшенная, многопоточная распаковка.
• Дата сохраняется во всемирном координированном времени (UTC), а не в локальном времени.
• Кодировка UTF-8 по умолчанию для комментариев и имён файлов.
• Новая схема коррекции ошибок на кодах Рида-Соломона, а также современный хеш BLAKE2sp длиной 256 бит позволят обнаруживать какие бы то ни было ошибки и восстанавливать даже сильно повреждённые архивы.
• Алгоритм шифрования изменён с AES-128 на AES-256 в режиме CBC. Функция деривации ключа основана на PBKDF2 с использованием HMAC-SHA256 и другие улучшения безопасности.
• Поддерживается определение символьных ссылок, жёстких ссылок и дубликатов файлов.
• Понимание формата сжатия XZ и многое-многое другое.
  
  
  

  ( читать дальше... )

>>> Подробности

ЧЯДНТ?

$ echo $LANG
en_US.UTF-8

$ gcc --version
gcc (Ubuntu/Linaro 4.6.3-1ubuntu5) 4.6.3

$ cat src.c 
#include <stdio.h>
#include <wchar.h>
int main ()
{
   wchar_t word[] = L"Дробь";
   wprintf(L"%s\n", word);
   return 0;
}

$ gcc src.c
$

$./a.out
<тут-какойто-непонятный-символ>

HElib — библиотека, предоставляющая функции гомоморфного шифрования. На данный момент она включает реализацию криптосистемы Brakerski-Gentry-Vaikuntanathan (BGV), оптимизированной по быстродействию, в том числе за счёт эффективного использования техники упаковки зашифрованного текста Smart-Vercauteren и оптимизаций Gentry-Halevi-Smart.

Над библиотекой работают сотрудники IBM Watson Research Center Виктор Шоуп (Victor Shoup) и Шаи Халеви (Shai Halevi).

Гомоморфное шифрование позволяет производить операции с данными (такие, как, например, сложение и умножение чисел) без их расшифровки. Идея создания таких систем была впервые высказана во второй половине XX века одним из создателей RSA, Рональдом Ривестом, но была ошибочно оценена как нереализуемая. Первая гомоморфная система, позволяющая одновременно выполнять операции и сложения и умножения, была изобретена сотрудником IBM Крейгом Гентри (Craig Gentry) в 2009 году.

HElib написана на C++ с использованием математической библиотеки NTL. Исходный код распространяется согласно GPL.

>>> Подробности

В рамках проекта DarkJPEG разработан стеганографический веб-сервис нового поколения, позволяющий скрывать конфиденциальную информацию в виде незаметного шума в JPEG-изображениях, при этом выделить данную информацию можно только зная заданный при кодировании секретный ключ-пароль.

Проект разработан с целью реализации свободы информации людьми в тех странах, которые нарушают права человека, вводя цензуру средств информации или законодательно запрещая использование криптографии.

Сервис использует стойкие методы стеганографии для сокрытия самого факта сокрытия информации вместе со стойкими методами криптографии для защиты данных, передаваемых по открытым каналам, от компрометации (факта доступа посторонних лиц). Исходные тексты проекта распространяются в рамках лицензии MIT.

Основные особенности:

• Использование SHA3 для генерации ключей;
  
• Симметричное шифрование AES-256;
  
• JPEG (DCT LSB) стеганография;
  
• Поддержка RarJPEG и двойного сокрытия;
  
• Подбор случайного контейнера;
  
• Вычисления без участия сервера;
  
• Гарантия полной конфиденциальности.

>>> Главная страница сервиса

Представлена первая альфа-версия новой концепции эмулятора терминала для GNU/Linux (и, в частности, для среды GNOME) — Final Term.

Final Term реализует так называемые семантические текстовые (контекстные) меню. Это означает, что терминал понимает вывод стандартных команд UNIX и привязывает к каждому текстовому сниппету его индивидуальное значение. Проще говоря, он узнает в выводе URL, PID процессов, имена каталогов и файлов и тому подобное и позволяет для каждого такого элемента вызвать контекстное меню с характерным набором связанных с ним команд.

Кроме этого Final Term может похвастаться умным дополнением командной строки при вводе и графическими элементами управления (например, скрытие/раскрытие stdout команды как в продвинутых текстовых редакторах или отображение прогресса). Также Final Term позволяет назначить на любые клавишные комбинации собственные команды командной оболочки или даже глобальные действия, что можно описать в текстовом файле настроек. В дополнение к этому Final Term наконец-то при изменении размеров окна автоматически перерисовывает текст для наилучшего заполнения и предлагает пользователю настроить внешний вид и подсветку текста в командной оболочке.

Команда также представила видео, демонстрирующее текущую функциональность приложения.

Проект лицензирован под GPLv3, а на Github-странице проекта можно узнать о способах установки под конкретную ОС.

>>> Подробности