По крайней мере, они не торопятся с обновлением. Цифра занижена, если что.

У кого-то ещё есть вопросы на тему «откуда столько спама»?

UPD: небезопасной версией считают версию, не поддерживаемую ни апстримом, ни дебианом, ни убунтой, ни центосью. Если версия поддерживается хоть одним из дистрибутивов — она считается безопасной, поскольку автор не проверял, действительно ли применены все дистроспецифичные патчи. Отсюда и занижение.

Сабж.

http://www.phoronix.com/scan.php?page=news_item&px=MTgwNzQ

Для Ъ: уже в systemd 217 появится юзерспейсный виртуальный терминал (замена CONFIG_VT). Пока что только один терминал на сессию, обещают больше в последующих релизах. Умеет xkb и рендеринг через DRM. Пока что фича экспериментальна.

Типичная скорость патчей в опенсорсе. Ждём ебилдов.

При попытке добавить комментарий с текстом http://pastebin.com/eHMEsRwP (скопировать всё→вставить с RAW-версии, похоже, переводы строк важны) ЛОР выкидывает

502

В настоящий момент linux.org.ru не доступен. Попробуйте перезагрузить страницу.

Linux.org.ru is not available now. Try to reload.

В ЛОР добавили детектор толстоты или парсер лоркода багнут?

Добавление по частям (редактированием) работает.

Всплыл в этой теме.

http://pastebin.com/q5Ri10K9 — POST-запрос с порезанными кукизами, если что.

EDIT: 502 вылетает и в предпросмотре.

Сабж. Подробнее. Немного болтовни от RH, включает векторы атаки Предлагаемый патч (RH)

Current bash versions use an environment variable named by the function name, and a function definition starting with “() {” in the variable value to propagate function definitions through the environment. The vulnerability occurs because bash does not stop after processing the function definition; it continues to parse and execute shell commands following the function definition. For example, an environment variable setting of

VAR=() { ignored; }; /bin/id

will execute /bin/id when the environment is imported into the bash process. (The process is in a slightly undefined state at this point. The PATH variable may not have been set up yet, and bash could crash after executing /bin/id, but the damage has already happened at this point.)

The major attack vectors that have been identified in this case are HTTP requests and CGI scripts. Here is a sample

If you have a username in your authorization header this could also be an attack vector.

Another attack surface is OpenSSH through the use of AcceptEnv variables. As well through TERM and SSH_ORIGINAL_COMMAND. An environmental variable with an arbitrary name can carry a nefarious function which can enable network exploitation. This is fire bad.

Это, мягко говоря, СЕРЬЁЗНО.

Сабж

The scheme we propose is built around the variety of concepts of btrfs and Linux file system name-spacing. btrfs at this point already has a large number of features that fit neatly in our concept, and the maintainers are busy working on a couple of others we want to eventually make use of.

[…]

app:<vendorid>:<runtime>:<architecture>:<version> — This encapsulates an application bundle. It contains a tree that at runtime is mounted to /opt/<vendorid>, and contains all the application's resources. The <vendorid> could be a string like org.libreoffice.LibreOffice, the <runtime> refers to one the vendor id of one specific runtime the application is built for, for example org.gnome.GNOME3_20:3.20.1. The <architecture> and <version> refer to the architecture the application is built for, and of course its version. Example: app:org.libreoffice.LibreOffice:GNOME3_20:x86_64:133

[…]

• We want a unified scheme, how we can install and update OS images, user apps, runtimes and frameworks.
• We want a unified scheme how you can relatively freely mix OS images, apps, runtimes and frameworks on the same system.
• We want a fully trusted system, where cryptographic verification of all executed code can be done, all the way to the firmware, as standard feature of the system.
• We want to allow app vendors to write their programs against very specific frameworks, under the knowledge that they will end up being executed with the exact same set of libraries chosen.
• We want to allow parallel installation of multiple OSes and versions of them, multiple runtimes in multiple versions, as well as multiple frameworks in multiple versions. And of course, multiple apps in multiple versions.
• We want everything double buffered (or actually n-fold buffered), to ensure we can reliably update/rollback versions, in particular to safely do automatic updates.
• We want a system where updating a runtime, OS, framework, or OS container is as simple as adding in a new snapshot and restarting the runtime/OS/framework/OS container.
• We want a system where we can easily instantiate a number of OS instances from a single vendor tree, with zero difference for doing this on order to be able to boot it on bare metal/VM or as a container.
• We want to enable Linux to have an open scheme that people can use to build app markets and similar schemes, not restricted to a specific vendor.

  […]

The future is going to be awesome!

Сабж. Где срач?

UPD: intelfx пообещал площадку для срача. Ждём ебилда.

Сабж.

Для Ъ:

Apple, CREDO Mobile, Dropbox, Facebook, Google, Microsoft, Sonic, Twitter, and Yahoo Top Chart, Receive 6 Stars Each.

We saw two companies make enormous improvements in the last year: Apple and Yahoo.

In 2013, Apple earned only one star in our Who Has Your Back report. This year, Apple earns 6 out of 6 stars, making remarkable progress in every category.

Similarly, Yahoo jumped to earning credit in all 6 categories this year. Yahoo deserves special recognition because it fought a many-year battle with the Foreign Intelligence Surveillance Court, defending user privacy in a secret court battle that it was forbidden from discussing publicly until July of 2013, but it also made great strides in other areas.

Microsoft also jumped to 6 stars, promising to give notice and in protecting a user in the courts.

Facebook has also made notable improvements over the years, moving from one star in 2011, to 1.5 stars in 2012, to 3 stars in 2013, and finally to 6 stars in this year’s report.

Сабж. Теперь можно переписывать coreutils на питон.

Определённые личности на кикстартере обещают карманный near-IR спектроскоп за смешные деньги. hackernews не до конца сходится в мнениях, но многие считают, что в карманном размере такого быть не может.

Хочется услышать от местных специалистов по всему, насколько физически возможно сделать подобную игрушку и как она вообще может работать. Ну или (вероятнее) ликбез на тему «почему спектроскопы не могут быть такими маленькими».

Линукс тут при том, что на данный момент конечным пользователям не собираются давать ни исходников софта, ни raw-данных от спектроскопа (если он будет работать) и хотят привязать всё к своему облаку.

Сабж. Неплохая демонстрация возможностей нынешних LD_PRELOAD-руткитов в области скрытия присутствия. Дисклеймер: использование на чужих машинах описано в соответствующих разделах УКРФ.

Для тех, кто хотел закончить читать на LD_PRELOAD: сюда и ниже по треду

https://github.com/saelo/cve-2014-0038

Локал рут, требует CONFIG_X86_X32=y. Изкоробочно для убунты, но кроссдистрибутивно (зависит от ядра, 3.4+). https://github.com/seletskiy/cve-2014-0038/commit/d8daf0ff41dfad72a0d59dcac4a... — пример патча для ядра 3.8.

http://seclists.org/oss-sec/2014/q1/187 — подробнее об уязвимости.

Кому не лень — оформит новость.

При чём тут убунта: https://bugzilla.redhat.com/show_bug.cgi?id=854317 — реквест включить X32 в федоре rejected из-за бесполезности и возможности проблем с безопасностью.

Если не работает: не забывать, что там захардкожены некоторые адреса. Смотреть в /proc/kallsyms (читабелен рутом, собственно, с самосборными ядрами не так страшно). По ссылке захардкожен вариант для дефолта убунты, но никто не мешает сделать по версии на дефолты арча и зузи.

Сабж. Кто хочет — переведёт.

Сабж. Интересно, кто-то удивится?

http://www.cs.tau.ac.il/~tromer/acoustic/

Для Ъ: там вытаскивают ключ из GnuPG микрофоном мобильника в 30см от ПК.

Странно, что до сих пор не вброшено. http://mirror.linux.org.au/linux.conf.au/2013/ogv/The_real_story_behind_Wayla...

Текстом: http://www.h-online.com/open/news/item/LCA-2013-videos-X-org-s-shortcomings-a... http://www.phoronix.com/scan.php?page=news_item&px=MTI5NTI

Ъ хватит и заголовка.

Обычно на сайтах, умеющих http и https одновременно все ссылки на внутренние страницы приводятся к одному виду: если зашёл по http, то всё видишь по http и наоборот. Делается достаточно просто.

Ну и (не слишком) связанный фичреквест: переводить ссылки на #комментарий к нормальному виду (с учётом разницы в страницах). Это проще, чем объяснять каждому, откуда нужно копировать ссылку.

Вышел. Четвёртый зажали =( Запилите новость кто-нибудь. Летает. //пишу с thunderbird 7.0

Кто-нибудь может объяснить, зачем мозилле эта гонка цифр? Аддоны лишний раз отлетели.