HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.
Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.
Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.
Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.
Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.
pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.
Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.
… více »Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)
Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.
Článek je překladem Waiting for AOO od Jonathana Corbeta z Linux Weekly News.
Před jedenácti měsíci vznesl Dennis Hamilton, tehdejší předseda výboru pro řízení projektu Apache OpenOffice (AOO), myšlenku, že by se projekt rozpustil. Měl obavu, že AOO chyběl dostatek vývojářů, kteří by projekt udržovali, a noví vývojáři na pomoc nepřicházeli. V té době se ozvali také obránci projektu, a tak padlo rozhodnutí pokusit se projekt znovu rozjet. Téměř o rok později byly dobré prověřit, jak se jim to povedlo… Nezdá se, že by se situace zlepšila.
Projektu se podařilo v říjnu vydat opravnou verzi 4.1.3 – první za téměř jeden rok – ale od té doby už nevyšlo nic dalšího. Původně bylo v plánu vydat co nejrychleji 4.1.4 a krátce poté 4.2.0. Větev 4.1.4 byla vytvořena 11. října, krátce před vydáním 4.1.3. Od té doby se v ní podařilo nashromáždit 24 sad změn (které odpovídají přibližně 30 změnám v původním repozitáři SVN). Od počátku února se do této větve dostaly pouze čtyři commity, z nichž alespoň jeden zahrnuje bezpečnostní opravy.
V září se Ariel Constenla-Haile nabídl, že se postará o vydání 4.1.4, ale potom v únoru zmizel beze stop. V květnu Jim Jagielski prohlásil, že správcem vydání je nyní on, a řekl, že „bychom měli cílit na vydání nejdřív příští týden.“ Jagielski byl v poštovní konferenci naposledy spatřen 19. června, i když 1. srpna ještě přispěl commitem do větve 4.1.4. Podle všeho to vypadá, že projekt má vážné problémy dát dohromady menší vydání, skládající se z 30 patchů.
A co 4.2.0? Od vydání 4.1.0 bylo do kódu AOO začleněno 1 174 sad změn od 25 vývojářů. Z toho 294 (od celkem desíti vývojářů) bylo začleněno od začátku září 2016. Tři z těchto vývojářů (Damjan Jovanovic, Matthias Seidel a Pedro Giffuni) jsou zodpovědní za 85 % změn, ke kterým za tu dobu došlo. Giffuni v březnu vyjádřil své zklamání z nedostatku pokroku a od té doby ničím novým nepřispěl.
Jinými slovy, ve vývojovém kódu projektu sice je nějaká práce na funkcionalitě od vydání 4.1 v dubnu 2014, ale nevypadá to, že by měla nadějné vyhlídky na brzké začlenění do oficiálního vydání. Prakticky na kódu pravidelně pracují toliko dva vývojáři.
V loňském roce mělo představenstvo Apache pochybnosti, zda se AOO dokáže udržet a naplňovat zodpovědnosti, jako jsou bezpečnostní vydání. Takže je zajímavé vidět, že jak se AOO radě prezentuje. Dubnový report byl v době psaní tohoto článku nejnovější dostupný a ohledně vývoje se v něm psalo:
Příchod nových vývojářů se zpomalil víc než kdy jindy. Ovšem existují lidé, kteří mají chuť se kódem zabývat. Ale vzhledem k nízkému počtu úkolů a vedení (mentoringu) pro vývojáře je to samo o sobě pomalé.
Další kroky: zlepšení vedení nováčků a rozšíření kapacity řešit významné záležitosti v rámci nových vydání.
Nějaké náznaky pokroku v „dalších krocích“ byly v následujících měsících poměrně vzácné. Pokud jde o bezpečnostní otázky:
Ve zkratce: Práce na bezpečnostních reportech je málo. Také proto, že ne každý vývojář má čas ponořit se hluboko do analýz a oprav. Očekáváme však, že v následujících měsících uvidíme zvyšující se počet analýz a oprav obecně.
Opět, pokud tato analýza probíhá, ve veřejné poštovní konferenci to není znát.
Projekt LibreOffice v květnu ohlásil použití služby Google OSS-Fuzz k nalezení (a opravě) možných bezpečnostních rizik. Od provedení forku z OpenOffice se kód LibreOffice významně posunul a vývojáři LibreOffice byli bezpochyby velmi produktivní ve vytváření vlastních bezpečnostních chyb. Je však zřejmé, že některé z těchto chyb mohly existovat také v AOO. Pokud je tomu opravdu tak, jsou tam stále. Je také zajímavé poznamenat, že lednová zpráva představenstva uvedla, že „v aktuálně vyvíjeném vydání 4.1.4 bude alespoň jedna oprava bezpečnostní chyby.“ Pokud chcete tuto zprávu vidět, musíte si vzít na pomoc Wayback Machine, text byl totiž z oficiální stránky Apache smazán.
To vše může být irelevantní – až na malou část zprávy pro radu Apache: „Ke 12. dubnu 2017 evidujeme 214 000 00 milionů (sic) stažení a konzistentně v průměru 100 00 stažení denně.“ To je 100 000 lidí denně, kteří stahují výstup projektu, který zjevně postrádá vývojové kapacity, aby mohl uživatelům doručit důležité opravy chyb, natož, aby chápal a celkově zlepšoval tak velké množství kódu.
V návaznosti na diskuzi z roku 2016 si projekt zasloužil další šanci ukázat, že může znovu ožít. Téměř o rok později se zdá být jasné, že AOO postrádá potřebný zájem vývojářů, aby z něj mohl být udržitelný projekt. Dříve nebo později bude této skutečnosti správní rada Apache muset čelit.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej: