HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.
Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.
Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.
Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.
Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.
pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.
Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.
… více »Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)
Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.
V minulém díle jsem popsal jak rozchodit xrdp a guacamole za pomoci několika "aptitude install" a chvilky konfigurace. Dnes si ukážeme jak se to dělá "the hard way".
Motivací ke kompilaci ze zdrojáků mi byla snaha rozchodit zvuk v Xrdp - podpora pro přesměrování zvuku je v Xrdp těžce experimentální a je potřeba sestavovat z gitu.
Nejdříve je potřeba nainstalovat závislosti:
aptitude build-dep xrdp aptitude install git vnc4server pkg-config
A kompilujeme:
git clone https://github.com/FreeRDP/xrdp.git cd xrdp # git checkout d90431a # mnou testovana verza ./bootstrap ./configure --prefix=/opt/xrdp make su make install
A ještě trocha poinstalačního tuningu:
useradd xrdp mkdir /var/run/xrdp chown xrdp:xrdp /var/run/xrdp chown -R xrdp /opt/xrdp/var/
ln -s /opt/xrdp/etc/init.d/xrdp /etc/init.d/ update-rc.d xrdp defaults
cd /opt/xrdp bin/xrdp-keygen xrdp etc/xrdp/rsakeys.ini chown xrdp /opt/xrdp/etc/xrdp/rsakeys.ini
service xrdp start
Teď můžeme otestovat připojení z klienta (např. xfreerdp adresa_serveru; pro přihlášení je potřeba vybrat "sesman-Xvnc" - doporučuji odstranit nepotřebné možnosti smazáním příslušných sekcí z /opt/xrdp/etc/xrdp/xrdp.ini), ale nečekejte že už bude chodit zvuk
.
K rozchození zvuku je ještě potřeba zkompilovat a nainstalovat speciálni sink pro PulseAudio. Pokud vás zajímá návod v originále, tak koukněte sem.
Začneme instalací pulseaudio a build závislostí
aptitude install pulseaudio pavucontrol aptitude build-dep pulseaudio
Nyní je potřeba stáhnout zdrojáky samotného PulseAudio (ne, -dev balíčky opravdu nestačí, protože .h soubory, které budou potřeba nejsou součástí stabilního API).
pulseaudio --version wget http://freedesktop.org/software/pulseaudio/releases/pulseaudio-2.0.tar.gz # 2.0 je verze v Debian Wheezy tar xfz pulseaudio-2.0.tar.gz cd pulseaudio-2.0 ./configure
Nyní můžeme zkompilovat xrdp pulseaudio sink
cd $ZdrojakyXRDP/sesman/chansrv/pulse/
V Makefile je potřeba upravit PULSE_DIR na cestu ke zdrojákům pulseaudio.
make # překopírujeme hotový modul do systemového adresáře s pulseaudio moduly cp module-xrdp-sink.so /usr/lib/pulse-2.0/modules/
A teď už stačí nakonfigurovat PulseAudio aby tento modul používalo.
Do /etc/pulse/default.pa přidáme řádek "load-module module-xrdp-sink" pod ".fail". Ukázkový /etc/pulse/default.pa pak může vypadat napřkílad takto:
.nofail .fail load-module module-augment-properties load-module module-xrdp-sink load-module module-native-protocol-unix
Také upravíme (resp. vytvoříme) /etc/asound.conf:
pcm.pulse {
type pulse
}
ctl.pulse {
type pulse
}
pcm.!default {
type pulse
}
ctl.!default {
type pulse
}
Vyresetujeme pulseaudio a pomocí "pavucontrol", případně "pacmd list-sinks", ověříme že se používá xrdp sink.
pulseaudio --kill pulseaudio --start pacmd list-sinks
Konečně můžeme zkusit Xrdp i s přesměrováním zvuku!
# pro jistotu ještě vyresetujeme xrdp service xrdp force-stop service xrdp start
Je potřeba si dát pozor a ověřit, že klient podporuje přesměrování zvuku (rdpsnd) a je správně nakonfigurován. V případě xfreerdp by mělo fungovat:
xfreerdp --plugin rdpsnd --data alsa -- adresa_serveru
případně
xfreerdp --plugin rdpsnd --data pulse -- adresa_serveru
V nových verzích ale už můžou být parametry jiné, takže rozhodně doporučuji kouknout se do dokumentace.
Guacamole podporuje přesměrování zvuku pro RDP od verze 0.7, takže bychom mohli jednoduše použít balíčky přímo od vývojářů Guacamole, ale když už máme ze zdrojáků Xrdp, tak si zkompilujeme i nejnovější guacamole (resp. guacamole-server (=guacd) ).
Jako vždy začneme instalací build závislostí:
aptitude build-dep libguac3 libguac-client-rdp0 libguac-client-vnc0 aptitude remove libguac3 libguac-dev # abychom zamezili pripadnym konfliktum! aptitude install libssh-dev
Stáhneme nejnovější zdrojáky, zkompilujeme a nainstalujme do /opt/guacamole:
wget http://downloads.sourceforge.net/project/guacamole/current/source/guacamole-server-0.8.2.tar.gz tar xf guacamole-server-0.8.2.tar.gz cd guacamole-server-0.8.2/ ./configure --prefix=/opt/guacamole --with-init-dir=/opt/guacamole/etc/init.d/ make make installVytvoříme symlinky pro freerdp moduly, které guacamole používá pro přesměrování zvuku. Cílový adresář (v mém případě /usr/lib/x86_64-linux-gnu/freerdp/) se bude lišit v závislosti na distribuci/architektuře (na Debianu/Ubuntu pomůže "dpkg -L libfreerdp-plugins-standard")
ln -s /opt/guacamole/lib/freerdp/* /usr/lib/x86_64-linux-gnu/freerdp/
Příjde mi zbytečné, aby guacd bežel pod rootem, takže ještě lehká poinstalační úprava:
useradd guacamole mkdir /opt/guacamole/run chown guacamole:guacamole /opt/guacamole/run
A následná úprava init scriptu:
getpid > /dev/null || $exec -p "$pidfile"na
getpid > /dev/null || sudo -u guacamole -- $exec -p "$pidfile"
Přidáme init skript do /etc/init.d a pustíme guacd:
ln -s /opt/guacamole/etc/init.d/guacd /etc/init.d update-rc.d guacd defaults service guacd startNyní ještě zbývá stáhnout a nakonfigurovat "Guacamole Web Application" (aka guacamole-client), což je jednoduchá webová aplikace napsaná v Javě, která sedí mezi guacd a web browserem. Narozdíl od minulého dílu, nepoužijeme overkill řešení v podobě tomcat, ale minimalistický Winstone (respektivě jeho fork udržovaný vývojáři Jenkins). V tomto případě ani nebudeme kompilovat, ale využijeme přenositelnosti Javy a stáhneme hotový .war soubor.
aptitude install libjenkins-winstone-java openjdk-6-jre mkdir /opt/guacweb cd /opt/guacweb wget http://downloads.sourceforge.net/project/guacamole/current/binary/guacamole-0.8.2.war
Nyní je na řadě samozřejmě konfigurace - výchozí konfiguráky je možné získat například z githubu a nebo z tarballu se zdrojákama (viz ukázka).
wget http://sourceforge.net/projects/guacamole/files/current/source/guacamole-client-0.8.2.tar.gz tar xfz guacamole-client-0.8.2.tar.gz mkdir etc cp guacamole-client-0.8.2/guacamole/doc/example/* etc/ rm -rf guacamole-client-0.8.2 guacamole-client-0.8.2.tar.gz
V guacamole.properties změníme hodnotu basic-user-mapping na /opt/guacweb/etc/user-mapping.xml.
Samotný user-mapping.xml upravíme podle potřeby - to XML je celkem jednoduché a jednoznačné (dokumentace v originále). Například:
<user-mapping>
<authorize username="luv" password="abclinuxu">
<protocol>rdp</protocol>
<param name="hostname">localhost</param>
<param name="port">3389</param>
</authorize>
</user-mapping>
Teď už stačí pustit winstone (opět, je zbytečné aby bežel jako root). Osobně jsem se tady neobtěžoval s init skriptem, ale prostě přidal ten druhý řádek do /etc/rc.local.
useradd guacweb nohup sudo -u guacweb GUACAMOLE_HOME="/opt/guacweb/etc/" -- java -jar /usr/share/java/jenkins-winstone.jar --warfile=/opt/guacweb/guacamole-0.8.2.war --httpPort=8080 --ajp13Port=-1 &
Nyní už konečně můžeme vítězoslavně v prohlížeči otevřít "http://adresa_serveru:8080" a doufat, že bude fungovat i zvuk
. Mě zvuk fungoval správně bohužel pouze v Chromium (resp Chrome).
Závěrem bych ještě velice doporučil přidat před winstone reverzní proxy (lighttpd funguje skvěle) a povolil připojení pouze přes HTTPS a také změnil heslo v user-mapping.xml na md5 hash - obojí jsem popsal na konci minulého dílu (winstone bude poslouchat pouze na localhostu pokud mu dáte parametr --httpListenAddress=127.0.0.1).
Tiskni
Sdílej:
. Vzponinam si ze jsem cetl ze se rad aktivne podilis na vyvoji open-source, celkem by me zajimalo na cem ted delas.