V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).
Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.
Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.
Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.
Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.
Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.
Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.
Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.
Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.
Současné vývojové jádro je 4.11.rc5, vydané 2. dubna. Linus řekl: „OK, už se to konečně začalo uklidňovat, doufejme, že to tak zůstane a nebyla to pouze náhoda.“
Seznam regresí z 2. dubna obsahuje 13 známých problémů.
Stabilní aktualizace: 4.10.7, 4.9.19 a 4.4.58 byly vydány 30. března. Hned 31. března je následovaly aktualizace 4.10.8, 4.9.20 a 4.4.59.
Minulý rok přišlo velké hnutí Linux Exit („Lexit“). Lidé z celého světa se sešli a dožadovali se, aby se vývojářům vrátila moc. Vytvořili historický fork založený na Linuxu 2.4, ze starých dobrých časů, než byl Linux ovládnut korporátními zájmy. Alternativní média LWN.net tvrdila, že něco takového se nemůže stát, ale my jsme věděli svoje.
—„Donald Drumpf“ zapomněl „selhat“
Už mám implementaci alternativního plánovače, která zabírá 9K. Prozatím ji ale mám v záloze. Ještě to neříkejte lidem od plánovačů.
Byl vydán jaderný podcast ze 4. dubna. „Linus Torvalds oznamuje 4.11-rc5, Donald Drumpf na Apríla čistí správcovský chlév, ovladače zařízení Intel FPGA, kešování stavu FPU, přístup k /dev/mem shazuje systémy a rozličný probíhající vývoj.“
Blíží se chvíle, kdy bude možné provádět neprivilegovaná připojení uvnitř kontejnerů, ale stále zbývají některé záležitosti, které při takovém scénáři nefungují. Konkrétně ID uživatelů (a ID skupin) uvnitř obrazů souborových systémů jsou v tomto případě problematická. James Bottomley o tomto problému vedl diskuzi v rámci konání letošního summitu o úložištích, souborových systémech a správě paměti.
Různá řešení kontejnerů v Linuxu (Docker, LXC, rkt atd.) veskrze používají stejná kontejnerová rozhraní, řekl. To vede k tomu, že lidé používají v různých případech různé přístupy. Ale problém s UID uloženými v obrazech souborových systémů je postihuje všechny. Tyto obrazy jsou typicky plnohodnotné kořenové souborové systémy kontejnerů, které obsahují spoustu souborů vlastněných uživatelem root.
Bottomley navrhl shiftfs jako možné řešení tohoto problému. Podobá se vázanému připojení (bind mount), ale UID souborového systému překládá na základě mapování jmenného prostoru uživatelů. Neprivilegované kontejnery ho mohou používat k připojení podstromu, který byl administrátorem explicitně označen jako připojitelný pomocí shiftfs.
Dřívější snaha o vyřešení tohoto problému spočívala v přidání pole s_userns do superbloku, aby bylo možné překládat UID, ale jedná se o řešení pracující nad superbloky a nefunguje dobře s kontejnery, které chtějí sdílet konkrétní připojený souborový systém mezi kontejnery s různými mapováními UID. Se shiftfs přeloží operace inodu UID podle mapování jmenného prostoru na to, co mu odpovídá v souborovém systému na nižší úrovni, dříve než na nižší úroveň přejde operace samotná. To znamená, že virtuální souborový systém (VFS) se obejde beze změn, což činí celé řešení elegantnějším, řekl Bottomley.
Povolení připojování libovolných adresářových stromů v neprivilegovaných kontejnerech, a to včetně umožnění uživatelům vytvářet binárky s UID nastaveným na roota, má ovšem některé podstatné bezpečnostní důsledky. Takže správce musí označit (pomocí rozšířených atributů ve svém prototypu) ty podstromy, které jsou pro takový způsob připojení bezpečné.
Al Viro se zeptal, zda je v plánu umožnit povolit připojení ručně vytvořených obrazů souborových systémů XFS nebo ext4. Pro útočníka je to jednoduchý způsob, jak by mohl spustit svůj vlastní kód v ring 0, řekl. Souborové systémy nejsou napsány způsobem, který by s takovým způsobem (zne)užití počítal. Když byl dotázán, zda je skutečně tak snadné shodit jádro ručně vytvořeným obrazem souborového systému, odpověděl Viro: „Je voda mokrá?“
Amir Goldstein řekl, že současným mechanismem pro připojování souborových systémů v neprivilegovaných kontejnerech je FUSE. Bottomley se však obává, že démon FUSE je možné napadnout, takže by i on měl běžet v neprivilegovaném kontejneru. Pokud by došlo k omezení připojování na USB flešky, znamenalo by to, že by útočník potřeboval fyzický přístup, který umožňuje spoustu jiných možností, jak systém kompromitovat, takže je v tomto ohledu „bezpečný“. Ovšem pokud má dojít na podporu loopback připojení souborových systémů, nesmí kód souborového systému obsahovat žádné zneužitelné chyby.
Tak trochu stranou Goldstein vývojářům souborových systémů připomenul, že jejich souborové systémy mohou běžet pod overlayfs. Navrhl, že by bylo dobré věnovat více pozornosti testování různých souborových systémů pod overlayfs.
Ačkoliv účastníci problém s neprivilegovanými kontejnery uznali, zatím nepanuje shoda na tom, jak by mělo vypadat jeho správné řešení.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz