V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).
Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.
Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.
Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.
Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.
Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.
Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.
Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.
Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.
Programming stuff. And stuff.
# Pull base image.
FROM ubuntu
# Setup user with the same UID/GID as on your host system to make X session work over socket
RUN export uid=1000 gid=1000 && \
mkdir -p /home/developer && \
echo "developer:x:${uid}:${gid}:Developer,,,:/home/developer:/bin/bash" >> /etc/passwd && \
echo "developer:x:${uid}:" >> /etc/group && \
echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer && \
chmod 0440 /etc/sudoers.d/developer && \
chown ${uid}:${gid} -R /home/developer
# Install Chrome
RUN \
apt-get install -y wget && \
wget -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | apt-key add - && \
echo "deb http://dl.google.com/linux/chrome/deb/ stable main" > /etc/apt/sources.list.d/google.list && \
apt-get update && \
apt-get install -y google-chrome-stable
# Define working directory.
WORKDIR /home/developer
# Define default command.
CMD ["bash"]
Na vytvoření image pustíme: docker build chrome-browser. Až se všechno dotahá a nainstaluje, musíme zjistit, jaký socket používá pulseaudio, asi nejlépe přes lsof -p $(pidof pulseaudio) | grep 'unix.*/native'. Nevím, zda existuje lepší způsob. Výsledek bude vypadat následovně:
% lsof -p $(pidof pulseaudio) | grep /native
pulseaudi 28453 user 9u unix 0xffff8800b3edf740 0t0 716743 /home/user/.pulse/0123456789abcdef0123456789abcdef-runtime/native
pulseaudi 28453 user 31u unix 0xffff88022fca2740 0t0 717186 /home/user/.pulse/0123456789abcdef0123456789abcdef-runtime/native
pulseaudi 28453 user 33u unix 0xffff88017181dc00 0t0 716749 /home/user/.pulse/0123456789abcdef0123456789abcdef-runtime/native
pulseaudi 28453 user 34u unix 0xffff8802335cc840 0t0 797769 /home/user/.pulse/0123456789abcdef0123456789abcdef-runtime/native
Pojmenujeme si image jako "chrome-browser". Nejprve spustíme výpis kontejnerů přes docker images a tagneme ho jako "chrome-browser".
# docker images
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
none none 3a7eba31e1d4 3 minutes ago 536.5 MB
# docker tag 3a7eba31e1d4 chrome-browser:latest
Chrome browser uvnitř dockeru spustíme následovním skriptem, který se postará o komunikaci X serveru a pulseaudio přes unix socket:
#!/bin/bash
docker run -ti --rm \
-u developer \
-e DISPLAY=$DISPLAY \
-v /tmp/.X11-unix:/tmp/.X11-unix \
-e PULSE_SERVER=unix:/home/developer/pulse \
-v /home/user/.pulse/0123456789abcdef0123456789abcdef-runtime/native:/home/developer/pulse \
-w /home/developer \
chrome-browser \
google-chrome
Poznámka: pokud změníte systém uvnitř docker image, musíte ho commitnout přes docker commit z host systému. Až bude všechno hotové, můžete si v docker kontejneru odstranit /etc/sudoers.d/developer, který umožňuje uvnitř kontejneru sudo na "lokálního roota" bez hesla.
Funguje celá funkcionalita Chrome browseru, U2F má mouchy - pod rootem funguje bez problémů, pod obyčejným uživatelským účtem má pár omezení. Chtělo to docela dlouhé debugování přes strace a další nástroje, ale funguje. Token musí být vložen do USB před spuštením kontejneru a musíte znát jeho hidraw device, např. /dev/hidraw4 (jinak docker vytvoří na host systému adresář stejného jména). Udev pravidla umí symlinky, ale symlink nestačí, chtělo by to hardlink. Takže skript bude vypadat (pozor na to, že --privileged dává přístup snad ke všem zařízením host systému, jenže bez něj k hidraw nepřistoupíte jako běžný user v dockeru):
#!/bin/bash
docker run -ti --rm \
-u developer \
-e DISPLAY=$DISPLAY \
-v /tmp/.X11-unix:/tmp/.X11-unix \
-e PULSE_SERVER=unix:/home/developer/pulse \
-v /home/user/.pulse/0123456789abcdef0123456789abcdef-runtime/native:/home/developer/pulse \
-w /home/developer \
-v /dev/bus/usb:/dev/bus/usb \
-v /sys/bus/usb/:/sys/bus/usb/ \
-v /sys/devices/:/sys/devices/ \
-v /dev/hidraw4:/dev/hidraw4 \
--privileged \
chrome-browser \
google-chrome
Mimochodem, alsa mi nefungovala křížem přes host/kontejner hranici s libovolnou kombinací device a cgroup flagů, v strace se vždy výsledek otevření zvukové karty byl buď odmítnut přístup (EPERM) nebo dočasně nepřístupné (EAGAIN). Myslím, že je to stejně s tím pulseaudiem lepší.
Tiskni
Sdílej:
echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer
-v /dev/bus/usb:/dev/bus/usb \
-v /sys/bus/usb/:/sys/bus/usb/ \
-v /sys/devices:/sys/devices/ \
--privileged \