Nevidomý uživatel Linuxu v blogu upozornil na tristní stav přístupnosti na linuxovém desktopu (část první, druhá, závěr), přičemž stížnosti jsou podobné jako v roce 2022. Vyvolal bouřlivou odezvu. Následně např. Georges Stavracas shrnul situaci v GNOME. Debata o jiném aspektu přístupnosti, emulaci vstupu pod Waylandem, také proběhla na Redditu.
DevConf.CZ 2025, tj. open source komunitní konference sponzorovaná společností Red Hat, proběhne od 12. do 14. června v Brně na FIT VUT. Publikován byl program a spuštěna byla registrace.
Byla vydána nová major verze 28.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.
Český telekomunikační úřad zveřejnil Výroční zprávu za rok 2024 (pdf), kde shrnuje své aktivity v loňském roce a přináší i základní popis situace na trhu. Celkový objem přenesených mobilních dat za rok 2024 dosáhl dle odhadu hodnoty přibližně 1,73 tis. PB a jeho meziroční nárůst činí zhruba 30 %. Průměrná měsíční spotřeba dat na datovou SIM kartu odhadem dosáhla 12,5 GB – v předchozím roce šlo o 9,8 GB.
Z novinek představených na Google I/O 2025: Přehledy od AI (AI Overviews) se rozšiřují do dalších zemí. Užitečné, syntetizované přehledy od generativní AI jsou nově k dispozici i českým uživatelům Vyhledávače.
Šestice firem označovaných jako „MAMAAN“ – tedy Meta (Facebook, Instagram), Alphabet (Google), Microsoft, Apple, Amazon a Netflix – je zodpovědná za více než padesát procent světového internetového provozu. Dalšími velkými hráči jsou TikTok a Disney+. Společně tak zásadně určují podobu digitálního prostředí, spotřebitelského chování i budoucích trendů v oblasti technologií. I přesto, že se podíl těchto gigantů od roku 2023 o něco snížil, jejich dominantní postavení zvyšuje volání po regulaci.
Evropská komise (EK) navrhuje zavést plošný poplatek ve výši dvou eur (zhruba 50 Kč) za každý malý balík vstupující do Evropské unie. Poplatek se má týkat balíků v hodnotě do 150 eur (zhruba 3700 Kč), které v EU nepodléhají clu. V loňském roce bylo do EU doručeno kolem 4,6 miliardy takovýchto balíků. Poplatek má krýt náklady na kontroly rostoucího počtu zásilek levného zboží, které pochází především z Číny.
Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).
V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).
Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.
Používáte PAM modul pam_access? Pak byste měli zbystřit, protože za vhodných podmínek existuje potenciální možnost obejití tohoto modulu.
Předpokládejme, že součástí autentizace uživatele pro PAM službu sshd je modul
pam_access, kterým můžete řídit přístup uživatele k jeho účtu na
základě IP adresy, IP sítě nebo domény odkud se uživatel hlásí (v případě
lokálního uživatele podle terminálového zařízení, což ale není pro náš případ
zajímavé). Nechť obsah konfiguračního souboru
/etc/security/access.conf
je následující:
-:root:ALL EXCEPT 127.0.0.1.
a /etc/pam.d/sshd
obsahuje v sekci account:
account required /lib/security/pam_access.so
Což znamená, že uživatel root se bude moci přihlásit jen z localhostu. Zdálo by se, že takováto konfigurace je neprůstřelná a dotěrní crackeři snažící se přihlásit jako root přes SSH budou mít smůlu.
Jenže tomu tak není. Pokud (a teď vyjmenuji ony hypotetické vhodné podmínky)
localhost.
a reverzní na svoji IP 1.2.3.4
/etc/hosts
(nebo
resolvujete v pořadi bind host)UseDNS
yes
,tak si může utočník začít hledat nůž na další zářez ve svém terminálu.
1.2.3.4
na servergethostbyaddr("1.2.3.4")
localhost.
gethostbyname("localhost.")
1.2.3.4
localhost
pam_authenticate()
match_from()
v pam_access.sogethostbyname("localhost")
127.0.0.1
/etc/security/access.conf
Problém spočívá v tom, že PAM důvěřuje DNS systému. Problém je, že tuto důveru zavádí již XSSO standard, konkrétně definice položky PAM_RHOST. A OpenSSH se jí drží, a proto defaultně předává PAMu hostname a ne IP adresu.
Řešením je vypnutí DNS překladu v sshd démonu volbou UseDNS no
a samozřejmě nepoužíváním domenových jmen v konfiguraci modulu
pam_access.
Problematika samozřejmě není omezena jen na pam_access a sshd, ale týká se jakéhokoliv PAM modulu, který rozhoduje na základě doménového jména. Nebo který rozhoduje základě IP adresy, ale služba jej používající mu předává hostname.
Tiskni
Sdílej: