Сегодня была обнаружена и успешно исправлена чрезвычайно опасная уязвимость в стандартной библиотеке glibc. Она заключалась в переполнении буфера внутри функции __nss_hostname_digits_dots(), которую, в частности, используют такие известные функции glibc как gethostbyname() и gethostbyname2(). В худшем для пользователя случае на уязвимой системе злоумышленник может добиться выполнения произвольного кода.

Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18, однако многие дистрибутивы еще не успели перейти на эту версию. Сообщается, что самая ранняя уязвимая версия — 2.2 от 10 ноября 2000. В числе прочих уязвимыми оказались дистрибутивы RHEL 5.x, 6.x и 7.x.

Для большей уверенности и проверки своей системы вы можете воспользоваться небольшой утилитой, предложенной самими исследователями, текст которой (на C) можно взять на Github:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

Нашедшие уязвимость хакеры из Qualys уже присвоили ей кодовое имя GHOST. Сейчас они вплотную подошли к написанию боевого модуля к Metasploit.

>>> Подробности

Только на страницах тредов. Пример (во втором скрине внизу).

В Хромиуме то же.

Всем привет, с наступившим! Хочу сделать вам небольшой подарок - оффлайн Луркоморье в виде книжек формата mobi. Не epub, потому что у меня Kindle Keyboard, но, надеюсь, вы найдете, чем это открыть.

Всего сделал пять книг: одна - отдельно шок-контент, остальные четыре - по четвертине нешокирующего Лурка.

Без картинок.

Читайте на здоровье!

PS. Все не проверял, если есть какие-то пустые/сломанные статьи - не обессудьте.

Радостная новость для всех владельцев самодельных домашних медиацентров (i386, x86_64, ARM (Raspberry Pi), Freescale iMX6) - после многочисленных beta и RC наконец вышел стабильный релиз OpenELEC ветки 5.0.

Как владелец Pi, скажу, что это самая шустрая сборка Kodi (и, в свое время, XBMC) из всех, что я пробовал. По сравнению с Raspbmc - просто вторая космическая скорость.

Релиз пилили долго, хотя это объясняется предварительным тестированием на подопытных хомячках в ожидании стабильного билда Kodi, который тоже вышел на днях.

Скачать здесь

Извините, если уже было.

Некая группа, имеющая себя «Админами-ветеранами Unix-ов» раздумывают, стоит ли сейчас им форкать Debian. Всему виной навязываемый systemd, который этим ребятам совсем не нравится, и они предпочитают остаться в sysvinit.

В общем, все написано здесь. Если это не проект кого-то из ЛОРовцев, то у ЛОРовцев есть хотя бы шанс поучаствовать в новом сраче.

Всем привет!

Не далее как сегодня в обед было свободное время - зашел в книжный. На промо-полках какие-то имена, которых я в жизни не слышал бок о бок с Толкиеном и разной прочей классикой. Понятно, что издательства спонсируют, вопрос даже не в этом.

Также на днях где-то на глаза попался список в духе «Топ-50 современных книг по мнению Нью-Йорк Таймс». Понятно, что снова новые имена и фамилии.

Так вот, оба этих события привели к тому, что я пришел на ЛОР с просьбой посоветовать современной литературной годноты. Лично мне более интересны истории, близкие к реальности и драмы с детективным или иным захватывающим сюжетом. Но не обязательно, можно и что-то полегче. Спасибо!

Как сообщают разработчики, это решение принято из-за сходства кодового названия новой версии дистрибутива Isis с названием «Islamic State in Iraq and Syria» («Исламское государство Ирака и Шама»).

elementary не имеет никакого отношения к этой группировке - и мы не думаем, что кому-то это может прийти в голову - но в то же время мы хотим ответить на растующую панику и выбрать менее противоречивое название.

Фрейя - скандинавская богиня любви и красоты. По мере развития дизайна нашей системы эта ассоциация с богиней красоты очень к месту. Да и пробуждать мощные любовные эмоции - это всегда хорошо. Это легкопроизносимое двухсложное слово, которое, к тому же, довольно редко встречается.

Первая бета-версия elementary OS Freya ожидается уже в ближайшее время.

Подробности

Перемещено Shaman007 из opensource

Во-первых ищется книга для школьников с названием вроде «Диссертация профессора <какого-то>», где в развлекательном юмористическом тексте попадаются математические/логические задачки разного вида (мне очень нравились такие: по высказываниями нескольких персонажей сказать сколько кому лет, кто кого выше, у кого что в сумке и т.п. если кто-то их них в ответе лжет и тому подобные). Книгу читал сам в детстве, большого формата, зеленая вроде, и на обложке этот профессор вроде куда-то бежит, держась за шляпу. Нигде найти не могу.

Вообще буду рад, если подскажете, что дать ребенку почитать интересное и с пользой (желательно математика/логика/физика или на ваше усмотрение).

Второй вопрос - уже более праздный - детские книги небольшого объема и формата, по сюжету что-то вроде известного советского мультика «Шпионские страсти», но на свой лад и очень озорное.

Что вы любили читать в детстве и что посоветуете?

Прошел почти год с того момента, когда команды LXDE и Razor-qt решили объединить усилия и работать над общей рабочей средой. Сейчас над проектом трудятся 13 разработчиков и несколько десятков дизайнеров, переводчиков и просто желающих помочь. По причине выбора Qt как технологической основы рабочей среды этот релиз правильнее сравнивать с Razor-qt, нежели чем с LXDE, поэтому список нововведений и улучшений таков:

• Добавлен PCManFM-Qt, форк файлового менеджера PCManFM.
• Переход на модульную, компонентную архитектуру, что позволяет заменять встроенных средства и приложения рабочей среды на сторонние решения (в том числе планируется возможность использования элементов будущего KDE5).
• Дополнительные диалоги настроек: управление экранами, настройки клавиатуры, установка ассоциаций для расширений файлов. Улучшен диалог изменения внешнего вида рабочей среды.
• Улучшена поддержка систем с systemd.
• Работа над полной совместимостью с Qt5. Некоторые компоненты LXQt уже написаны на Qt5.
• Улучшение поддержки Wayland.
• Добавлены утилиты obconf-qt и compton-conf для пользователей Openbox и Compton соответственно.
• Заметное улучшение производительности.
• Экспериментальная поддержка Raspberry Pi и частичная поддержка FreeBSD.

Разработчики отмечают, что будут поддерживать и GTK-версию LXDE, несмотря на работу над параллельным проектом.

Уже доступны пакеты для Arch (AUR), Ubuntu (PPA) и Siduction.

>>> Подробности

Один из разработчиков elementary OS Сергей Давидов (Sergey “Shnatsel” Davidoff) рассказал о планах по интеграции кодовой базы рабочего окружения Pantheon (а именно, шелла, набора инструментов для работы GUI, стандартных приложений и GTK-темы) в Debian Linux. Цель проекта - создать установочные пакеты полноценной рабочей среды для официального репозитория Debian.

Это поможет нам справиться с некоторыми проблемами, возникшими из-за эксклюзивной поддержки лишь дистрибутивов Ubuntu, хотя Pantheon с успехом портирован на Gentoo и частично на Arch.

Разработчик также отмечает, что портировать удастся не все: например, Wingpanel для работы требует наличия зависимостей, существующих лишь для Ubuntu.

Скорее всего, мы начнем работу по портированию вскоре после выхода нового релиза на основе Ubuntu 14.04 (elementary OS «Isis»), но пока не знаем, на что заменим проблемные пакеты.

Проект заявлен на участие в Google Summer of Code 2014, а его участники завляют, что планируют в будущем полностью перенести elementaryOS с Ubuntu LTS на Debian.

>>> Подробности

На этот раз, кажется, тот самый, в отличие от фейка d2.vu .

Ребята перешли на облачные технологии (что бы они под этим не подразумевали) и с радостью приветствуют старых пользователей - вы можете авторизоваться с вашим старым логином и паролем или восстановить. Старые торренты ждут сидов. Надеюсь, продержатся на плаву!

Для жителей СНГ малорелеванто, у них и так его уже давно отобрали, но это конец эпохи радио last.fm. Не смогли они превзойти новых игроков (pandora/spotify/rdio/8tracks и тысячи других).

Само заявление от команды last.fm

Кто просил инвайты - успевайте.

Что такое koding.com? Онлайн-среда разработки, предоставляющая вам вычислительные мощности (т.е. виртуальную машины с Ubuntu) даром. Когда вы логинитесь - виртуалка запускается, когда выходите - отсанавливается. Использовать как VPS на 100% вряд ли удастся, но поработать удаленно и продемонстрировать код/работу проекта koding.com вам поможет.

Кто хочет меня поблагодарить и получить +1Гб - реферальная ссылка. Всем спасибо!

There is no honour amongst hackers any more. There is no real community. There is precious little skill. The entire security game is becoming more and more regulated. This is all a sign of things to come, and a reflection on the sad state of an industry that should never have become an industry.

После 12 лет - закрытие.

Очень жаль, полезный и интересный был ресурс. PayPal Bug Bounty только чего стоил. Печаль.........

Как-то за обедом с начальником бороздили reddit, а поскольку он фанат wot, зашли в соответствующий раздел. Там попалось это видео. На содержание ролика мне плевать, но что там за музыка в фоне? Она великолепна!

Пробовал разное, бороздил музыкальные каталоги и радио по тегам австрийский, швейцарский, альпийский, французский и прочий фолк, ничего подобного найти не смог. Вся надежда на ЛОР, без понятия, где еще спросить. Разве что в /mu/.

Может что-то посоветуете. Достаточно только страны. Как в старом и неуместном анекдоте, «достаточно просто номера дома».

Посоветуйте сервис с API для автоматической загрузки и расшаривания файлов. Файлы - размером от 1 до пары/тройки сотен мегабайт (но обычно до ста). Очень важна возможность удобной загрузки на смартфон или другое мобильное устройство. Или хотя бы прямая ссылка или простой режим загрузки без всяких ограничений и ожиданий.

Может что-то вроде s3, но не очень дорогое. Или, как второй вариант - есть ли возможность залить файл запросившему на дропбокс или аналогичый сервис?

Сейчас работаю с BayFiles, но это не вариант.

Прекрасный новогодний подарок преподнес Matz всем любителям и профессионалам программирования на языке Ruby — релиз Ruby 2.1. В целом новый выпуск языка и среды исполнения написанного на нем кода продолжает эволюционное развитие Ruby и практически не вносит кардинальных или ломающих изменений. Кроме того, что стандартный интерпретатор стал работать быстрее, заявлены следующие отличительные особенности Ruby 2.1:

( читать дальше... )

>>> Подробности

Активисты FSF существуют. И они очень веселые ребята.

Как раз сейчас, когда жители Бостона торопятся приобрести подарки близким на рождество и при этом многие из них заходят в поисках идей в Apple Store, туда решили нагрянуть активисты FSF - девушка и молодой человек в большой мягкой маске, голове антилопы ГНУ. Они раздавали всем желающим информационные брошюры, фотографировались и вообще отлично провели день.

Фотки

Агитационная брошюра (pdf)

Я давно уже не возвращался к арчику, но все еще скучаю по AUR.

Но все-таки - нет ничего хитрого в том, чтобы написать скрипты для сборки deb-ов (убунтовских, дебиановских, любых), rpm-ов и всего прочего. Такие же самые скрипты. И сервис сделать недолго, и скрипты частично готовые.

Нужно ли (мне бы пригодилось самому собирать что-то из bleeding edge для своего Precise, а не ждать лентяя на лаунчпаде), или я чего-то не догоняю?

Спустя почти год с момента предыдущего стабильного релиза наконец-то вышел долгожданный Redis 2.8.0, быстрое и легкое масштабируемое хранилище данных вида ключ:значение с продвинутыми структурами данных (строки, списки, множества, отсортированные множества), методами доступа к ним и внутренним скриптовым движком на Lua.

Основные изменения:

( читать дальше... )

>>> Подробности