Linus Torvalds na YouTube kanálu Linus Tech Tips staví dokonalý linuxový počítač.
Po 9 týdnech vývoje od vydání Linuxu 6.17 oznámil Linus Torvalds vydání Linuxu 6.18. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a Linux Kernel Newbies. Vypíchnout lze například podporu protokolu PSP (PSP Security Protocol, PSP encryption of TCP connections).
Byla vydána nová stabilní verze 25.11 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Xantusia. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.
Richard Hughes na Mastodonu oznámil, že se společnost Framework Computer stala sponzorem služby LVFS (Linux Vendor Firmware Service) umožňující aktualizovat firmware zařízení na počítačích s Linuxem.
Jak na webu co nejšíleněji zadávat datum? Jak to uživatelům co nejvíce znepříjemnit? V Bad UX World Cup 2025 (YouTube) se vybíraly ty nejšílenější UX návrhy. Vítězným návrhem se stal Perfect Date.
Společnost Collabora vydala (YouTube) na LibreOffice založený desktopový kancelářský balík Collabora Office. Pro Windows, macOS a Linux. Se stejným uživatelským rozhraním jako Collabora Online. Svůj desktopový kancelářský balík s rozhraním LibreOffice pojmenovala Collabora Office Classic.
Glen MacArthur vydal AV Linux (AVL) a MX Moksha (MXM) 25. S linuxovým jádrem Liquorix. AV Linux (Wikipedie) je linuxová distribuce optimalizována pro tvůrce audio a video obsahu. Nejnovější AV Linux vychází z MX Linuxu 25 a Debianu 13 Trixie. AV Linux přichází s desktopovým prostředím Enlightenment 0.27.1 a MX Moksha s prostředím Moksha 0.4.1 (fork Enlightenmentu).
Ubuntu pro testování nových verzí vydává měsíční snapshoty. Dnes vyšel 1. snapshot Ubuntu 26.04 LTS (Resolute Raccoon).
Zástupci členských států EU se včera shodli na návrhu, který má bojovat proti šíření materiálů na internetu zobrazujících sexuální zneužívání dětí. Nařízení známé pod zkratkou CSAM a přezdívané chat control mělo množství kritiků a dlouho nebyla pro jeho schválení dostatečná podpora. Pro schválení byla potřeba kvalifikovaná většina a dánské předsednictví v Radě EU se snažilo dosáhnout kompromisu. Návrh nakonec po dlouhých týdnech
… více »Britské herní studio Facepunch stojící za počítačovými hrami Garry's Mod a Rust uvolnilo svůj herní engine s&box (Wikipedie) jako open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT. Herní engine s&box je postavený nad proprietárním herním enginem Source 2 od společnosti Valve.
Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].
Tiskni
Sdílej:
On to Andrej Konovalov v jednom z těch mailů píše:
Anyway, my bet was that DCCP is poorly tested and maintained and I decided to try fuzzing it specifically with syzkaller. I found a few bugs, one of them is an exploitable double free.
Pokud vím, DCCP se opravdu v praxi moc nepoužívá. SCTP někde ano, ale zaslechl jsem nějaké zmínky, že tam, kde se používá ve větším měřítku, často nepoužívají implementaci z linuxového jádra, ale nějakou jinou. Někde se ale určitě používá i ta linuxová implementace, protože už jsem na to měl nareportované nějaké bugy.
V případě téhle chyby je ale situace horší, protože ke zneužití lokálním uživatelem stačí to, že je modul nainstalovaný (naloaduje se automaticky, pokud někdo zkusí vytvořit DCCP socket).
Což není zase až tak překvapivé, pokud víte něco o tom, jak ten proces funguje. Jestli o to tak moc stojíte, ten patch se IIRC aplikuje naprosto hladce na cokoli přinejmenším od 3.0 (IIRC i na 2.6.32) a i na 2.6.16 byla potřeba minimální úprava, ke které není ani potřeba rozumět tomu kódu.
Pokud DCCP nepoužíváte - a to téměř jisté nepoužíváte - stačí ten modul smazat a je po problému (případně odloadovat, pokud by náhodou byl už naloadovaný).
Len ma prekvapuje že dochádza k zbytočnému oneskoreniu schválenia bezpečnostnej záplaty priamo v prípade vanilla jadra.
Tam k žádnému zpoždění nedošlo. Patch byl poslán do netdev listu 16.2., 19.2. už byl v mainline a téhož dne vyšla 4.10 i s ním. (Mimochodem, embargo na detailní informace o té chybě oficiálně skončilo až ve středu 22.2.)
Co se týká stable updatů, viz první větu mého minulého příspěvku. Proces přípravy a vydávání stable updatů není optimalizován na to, aby opravy vážnějších bezpečnostních chyb byly ve vydaném updatu v minimálním možném čase. Pokud chcete tohle, používejte distribuční jádro.
Tak ještě jeden zoufalý pokus. Proces vydávání stable updatů funguje svým víceméně pravidelným tempem a nebere ohled na to, že se v některé jeho fázi (v tomto případě den před vydáním) nějaká bezpečnostní chyba stala mediální hvězdou. (Občas vyjde mimořádný opravný update jen s jedním fixem, ale to se stává spíš v případech, že se bezprostředně po vydání updatu přijde na to, že přináší regresi, která je buď hodně kritická nebo se týká hodně uživatelů.) Pokud tomu chcete dál říkat "plánované zdržení", tak si to užijte, to je váš problém.
Nezbývá mi než zopakovat: pokud chcete mít kritické security fixy ASAP, nepoužívejte Gregova jádra, od toho jsou tady distribuce.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz