Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.
Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.
Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapy a AI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.
Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).
Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.
Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.
3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.
Open source webový aplikační framework Django slaví 20. narozeniny.
V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.
Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.
Současné vývojové jádro je 4.11.rc5, vydané 2. dubna. Linus řekl: „OK, už se to konečně začalo uklidňovat, doufejme, že to tak zůstane a nebyla to pouze náhoda.“
Seznam regresí z 2. dubna obsahuje 13 známých problémů.
Stabilní aktualizace: 4.10.7, 4.9.19 a 4.4.58 byly vydány 30. března. Hned 31. března je následovaly aktualizace 4.10.8, 4.9.20 a 4.4.59.
Minulý rok přišlo velké hnutí Linux Exit („Lexit“). Lidé z celého světa se sešli a dožadovali se, aby se vývojářům vrátila moc. Vytvořili historický fork založený na Linuxu 2.4, ze starých dobrých časů, než byl Linux ovládnut korporátními zájmy. Alternativní média LWN.net tvrdila, že něco takového se nemůže stát, ale my jsme věděli svoje.
—„Donald Drumpf“ zapomněl „selhat“
Už mám implementaci alternativního plánovače, která zabírá 9K. Prozatím ji ale mám v záloze. Ještě to neříkejte lidem od plánovačů.
Byl vydán jaderný podcast ze 4. dubna. „Linus Torvalds oznamuje 4.11-rc5, Donald Drumpf na Apríla čistí správcovský chlév, ovladače zařízení Intel FPGA, kešování stavu FPU, přístup k /dev/mem shazuje systémy a rozličný probíhající vývoj.“
Blíží se chvíle, kdy bude možné provádět neprivilegovaná připojení uvnitř kontejnerů, ale stále zbývají některé záležitosti, které při takovém scénáři nefungují. Konkrétně ID uživatelů (a ID skupin) uvnitř obrazů souborových systémů jsou v tomto případě problematická. James Bottomley o tomto problému vedl diskuzi v rámci konání letošního summitu o úložištích, souborových systémech a správě paměti.
Různá řešení kontejnerů v Linuxu (Docker, LXC, rkt atd.) veskrze používají stejná kontejnerová rozhraní, řekl. To vede k tomu, že lidé používají v různých případech různé přístupy. Ale problém s UID uloženými v obrazech souborových systémů je postihuje všechny. Tyto obrazy jsou typicky plnohodnotné kořenové souborové systémy kontejnerů, které obsahují spoustu souborů vlastněných uživatelem root.
Bottomley navrhl shiftfs jako možné řešení tohoto problému. Podobá se vázanému připojení (bind mount), ale UID souborového systému překládá na základě mapování jmenného prostoru uživatelů. Neprivilegované kontejnery ho mohou používat k připojení podstromu, který byl administrátorem explicitně označen jako připojitelný pomocí shiftfs.
Dřívější snaha o vyřešení tohoto problému spočívala v přidání pole s_userns do superbloku, aby bylo možné překládat UID, ale jedná se o řešení pracující nad superbloky a nefunguje dobře s kontejnery, které chtějí sdílet konkrétní připojený souborový systém mezi kontejnery s různými mapováními UID. Se shiftfs přeloží operace inodu UID podle mapování jmenného prostoru na to, co mu odpovídá v souborovém systému na nižší úrovni, dříve než na nižší úroveň přejde operace samotná. To znamená, že virtuální souborový systém (VFS) se obejde beze změn, což činí celé řešení elegantnějším, řekl Bottomley.
Povolení připojování libovolných adresářových stromů v neprivilegovaných kontejnerech, a to včetně umožnění uživatelům vytvářet binárky s UID nastaveným na roota, má ovšem některé podstatné bezpečnostní důsledky. Takže správce musí označit (pomocí rozšířených atributů ve svém prototypu) ty podstromy, které jsou pro takový způsob připojení bezpečné.
Al Viro se zeptal, zda je v plánu umožnit povolit připojení ručně vytvořených obrazů souborových systémů XFS nebo ext4. Pro útočníka je to jednoduchý způsob, jak by mohl spustit svůj vlastní kód v ring 0, řekl. Souborové systémy nejsou napsány způsobem, který by s takovým způsobem (zne)užití počítal. Když byl dotázán, zda je skutečně tak snadné shodit jádro ručně vytvořeným obrazem souborového systému, odpověděl Viro: „Je voda mokrá?“
Amir Goldstein řekl, že současným mechanismem pro připojování souborových systémů v neprivilegovaných kontejnerech je FUSE. Bottomley se však obává, že démon FUSE je možné napadnout, takže by i on měl běžet v neprivilegovaném kontejneru. Pokud by došlo k omezení připojování na USB flešky, znamenalo by to, že by útočník potřeboval fyzický přístup, který umožňuje spoustu jiných možností, jak systém kompromitovat, takže je v tomto ohledu „bezpečný“. Ovšem pokud má dojít na podporu loopback připojení souborových systémů, nesmí kód souborového systému obsahovat žádné zneužitelné chyby.
Tak trochu stranou Goldstein vývojářům souborových systémů připomenul, že jejich souborové systémy mohou běžet pod overlayfs. Navrhl, že by bylo dobré věnovat více pozornosti testování různých souborových systémů pod overlayfs.
Ačkoliv účastníci problém s neprivilegovanými kontejnery uznali, zatím nepanuje shoda na tom, jak by mělo vypadat jeho správné řešení.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
