OCCT3D (Open CASCADE Technology) Open Source 8.0 bylo vydáno. OCCT3D (Wikipedie, GitHub) je objektově orientovaná knihovna pro 3D CAD, CAM nebo CAE. Používá se například v softwarech FreeCAD a KiCad.
Ve FreeBSD byla nalezena a již opravena 21letá zranitelnost CVE-2026-42511 v dhclient. Jedná se o vzdálené spuštění kódu (RCE). Útočník mající pod správou DHCP server může získat plnou kontrolu nad systémem FreeBSD pouze jeho připojením k místní síti.
Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.
UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.3. Současně oznámila, že nadcházející větší vydání 24.04-2.0 bude mít modernější webový prohlížeč.
Ploopy po DIY trackballech či sluchátkách představuje nový externí DIY trackpoint se čtyřmi tlačítky Bean. Obsahuje snímač Texas Instruments TMAG5273, spínače Omron D2LS-21 a řadič RP2040, používá firmware QMK. Schémata jsou na GitHubu; sadu lze předobjednat za 69 kanadských dolarů (bez dopravy a DPH).
Mozilla před dvěma týdny na svém blogu oznámila, že díky Claude Mythos Preview bylo ve Firefoxu nalezeno a opraveno 271 bezpečnostních chyb. Včera vyšel na Mozilla Hacks článek s podrobnějšími informacemi. Z 271 bezpečnostních chyb mělo 180 chyb vysokou závažnost, 80 chyb střední závažnost a 11 chyb nízkou závažnost. Celkově bylo v dubnu ve Firefoxu opraveno 423 bezpečnostních chyb. Čísla CVE nemusí být přiřazována jednotlivým chybám. CVE-2026-6784 například představuje 154 bezpečnostních chyb.
Před týdnem zranitelnost Copy Fail. Dnes zranitelnost Dirty Frag. Běžný uživatel může na Linuxu získat práva roota (lokální eskalaci práv). Na většině linuxových distribucí vydaných od roku 2017. Aktuálně bez oficiální záplaty a CVE čísla [oss-security mailing list].
Ačkoli je papež Lev XIV. hlavou katolické církve a stojí v čele více než miliardy věřících po celém světě, také on někdy řeší všední potíže. A kdo v životě neměl problémy se zákaznickou linkou? Krátce poté, co nastoupil do úřadu, musel papež se svou bankou řešit změnu údajů. Operátorka ale nechtěla uvěřit, s kým mluví, a Svatému otci zavěsila.
Incus, komunitní fork nástroje pro správu kontejnerů LXD, byl vydán ve verzi 7.0 LTS (YouTube). Stejně tak související LXC a LXCFS.
Google Chrome 148 byl prohlášen za stabilní. Nejnovější stabilní verze 148.0.7778.96 přináší řadu novinek z hlediska uživatelů i vývojářů. Vypíchnout lze Prompt API (demo) pro přímý přístup k AI v zařízení. Podrobný přehled v poznámkách k vydání. Opraveno bylo 127 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Do konference přišlo celkem 1911 emailů, nejvíce jich poslali Greg KH, Andrew Morton a Andrea Arcangeli.
2. bře - 13. bře
V rámci diskuze, která následovala po oznámení o vydání udev 021, se vynořila i otázka nahrávání a odstraňování modulů. Greg k tomu řekl:
Dříve to fungovalo tak, že moduly byly automaticky nahrávány, když se uživatelské programy pokusily použít zařízení. Teď se to mění na model, ve kterém jsou příslušné moduly nahrány, když je hardware nalezen.
Je to daleko rozumnější přístup - hlavně kvůli odebíratelným zařízením a případům, kdy je v jednom systému více výskytů různých typů téhož zařízení.
Takže ne, udev tuto záležitost řešit nebude - kromě případů odebratelných zařízení a jejich oddílů. Což už s udev funguje.
Na mnoho povyku o tom, že odstraňování modulů je skvělá vlastnost, odpověděl Alex Goddard: Ze starších diskuzí v této konferenci zjistíte, jak problematické je odstraňování modulů (a jak šíleně složité by bylo opravování těch problémů). rmmod byste prostě neměli používat, nejste-li vývojáři. A Greg doplnil: Provádět rmmod -a není moc chytré už od časů 2.2. Snadno to může sejmout funkční stroj...
Marco d'Itri ale protestoval: To neřeší problém ovladačů, které k sobě žádný hardware nemají - jako PPP a loop zařízení. Nevadí mi ty moduly bezpodmínečně nahrávat při bootu, ale musí existovat způsob, jak je rozpoznat: nemyslím si, že by bylo přijatelné nahrát *všechny* moduly v systému (nač mít pak modulární jádro?). Greg řekl: Tak nech tvé "použij loop zařízení" nebo "použij PPP zařízení" natáhnout modul předtím, než bude použito. Nebo vytvoř ručně soubor zařízení v dev a doufej, že kmod a jeho aliasy budou fungovat...
Ale Michael řekl: Jestli se nemýlím, tak k obojímu jsou potřeba práva roota, a navíc druhá možnost nebude fungovat s dynamickými čísly zařízení přidělovanými jádrem. Předchozí model umožňoval, aby se jádro dynamicky přizpůsobilo aktuálním požadavkům běžných uživatelů, aniž by potřebovali práva roota. Nikdo neodpověděl.
9. bře - 11. bře
James Ketrenos z Intelu napsal:
Jsem rád, že mohu oznámit spuštění open source vývojového projektu pro síťový adaptér Intel PRO/Wireless 2100 miniPCI. Projekt byl vytvořen (a je hostován) na http://ipw2100.sf.net.
Ovladač je v současné podobě schopen asociace a komunikace v režimu Infrastructure. K dispozici je podpora pro 2.4 i 2.6. Vydáváme jej teď jako "brzkou betu", abychom získali informace od uživatelů a pomoc při vývoji - takže očekávejte (a hlaste) chyby. Intel bude ve vývoji samozřejmě pokračovat (v rámci tohoto Open Source projektu). V průběhu následujících měsíců plánujeme přidat podporu pro všechny klíčové bezdrátové funkce (adhoc, WEP, atd.) - s pomocí komunity i rychleji.
POZNÁMKA: Jen zopakuji -- tento ovladač je ve fázi aktivního vývoje. Funkce a vlastnosti dostupné na jiných operačních systémech ještě nebyly všechny implementovány.
Těším se na práci s komunitou při vylepšování tohoto ovladače.
Pokud síťový adaptér Intel wireless 802.11b miniPCI máte, stáhněte to, vyzkoušejte a dejte mi vědět, jak to jde. Zajímají nás i problémy, které by se mohly týkat jednotlivých distribucí.
Později dodal, že Intel založil konferenci na http://lists.sourceforge.net/lists/listinfo/ipw2100-devel.
Arjan van de Ven, Timothy Miller, Dax Kelson a další měli velkou radost a Dax připojil:
Díval jsem se na ty stránky a našel GPL ovladač a firmware s uzavřeným kódem.
Je to skutečně *firmware* v tom smyslu, že se spouští výhradně v Intel PRO/Wireless 2100 a ne v linuxovém jádře na hlavním CPU? Pokud ano, tak bravo!
Existuje něco podobného i pro nadcházející Sonoma 802.11a/b/g? Bude při uvolnění Sonomy dostupná podpora pro Linux?
Ohledně otázky firmware James potvrdil: Ano, je to skutečně firmware. Z disku je načten jako blok dat a předán kartě. Systémové CPU z firmwaru nic nespouští a firmware neví nic o jádře. A k Sonomě 802.11a/b/g dodal: Máme v úmyslu podporovat a/b/g WLAN pomocí ovladače pod Linux, ale ještě nemohu říci nic konkrétního.
9. bře - 12. bře
Ingo Kubbilun napsal: Podívejte se, prosím, na http://www.pyrillion.org/linuxkernelpatch.html - najdete tam funkční patch pro kompilaci jádra 2.6.3 pomocí Intel Compiler 8.0 for Linux. Norberto Bensa se zeptal na rychlost kernelu zkompilovaného tímto kompilátorem oproti stejnému zkompilovanému pomocí GCC a Ingo odpověděl:
Použil jsem ten patch ke kompilaci dvou identických jader pomocí gcc 3.3.3 a icc 8.0 se zakompilovanou podporou oprofile.
Optimalizační přepínače byly zvoleny poměrně konzervativně, tj. "-O2 -Ob1", žádné IPO a samozřejmě: žádné MMX, SSE a SSE2 (což vyřadilo skvělou vektorizaci od Intelu).
Testování: lmbench proběhl desetkrát, ale časomíra byla vzata z oprofile (na Pentiu 4, GLOBAL_POWER_EVENTS pouze v jádře, přetečení počítadla: 3.000).
Výsledky: 33 % lmbench procesů rychlejších na icc, 66 % rychlejších na gcc.
Takže ten patch berte jako dobrý základ pro úpravu přepínačů kompilátoru a dalších věcí, abyste získali lepší výkonnost. Pokud vím, tak dost lidí takový patch hledá.
Podívejte se dovnitř patche. V 2.6.3 je nutné upravit hodně věcí, abyste získali stabilní jádro. Ten patch není jen nějaká malá změna v Makefile...
11. bře - 13. bře
Pete Smith se zeptal: Co si myslíte o budoucnosti LKM rootkitů pro řadu 2.6? V posledních několika letech mě docela zajímaly (z obranného hlediska), ale když už jádro 2.6 neexporujte syscall tabulku, zachytávání systémových volání už se nezdá jako schůdná cesta.
Horst von Brand odpověděl: Pokud můžeš nahrát modul, jsi v jádře. Jak jsi jednou tam, můžeš buď použít offsety pro $distro-$version-$arch kernel a jsi doma, nebo se snažit na vlastní pěst. Těžší než předtím, to ano. Nemožné, to ani náhodou.
Valdis Kletnieks přidal odkaz na port rootkitu adore-ng pro 2.6, který zmínil anonymní přispěvatel na BugTraq. Ten člověk řekl: "Všechny věci, které znáte z dřívějších 2.4 verzí jádra, jako například schovávání socketů, procesů a souborů, filtrování syslogu a [uw]tmp, byly portovány. Kromě toho bylo ve verzi 0.32 opraveno přetečení bufferu (kruci!), které mohlo způsobovat pády při větším počtu síťových spojení." Paul Rolland se na to podíval a všiml si, že rootkit již nepoužívá vrstvu systémových volání, ale provádí svou činnost přes Virtuální Filesystém. Paul navrhl schovat i VFS.
Na jiném místě poukázal Dave Jones na to, že autoři rootkitů by mohli začít dělat to, co dělají výrobci binárních ovladačů už měsíce... Není-li exportována tabulka, najdou symbol, který exportován je, a pak se vrtají poblíž v paměti, dokud nenajdou něco, co vypadá podobně, a napíší to podle toho.
Jirka Kosina odpověděl: Proč se namáhat... prostě najděte jakýkoliv symbol (název funkce), který je exportován do modulů a zároveň je nějak nepřímo ale často volán z uživatelského prostředí (funkce VFS vrstvy, VM funkce, ...) a použijte tuto funkci jako kouzlo pro otevření zadních vrátek. Existující rootkity není složité takto upravit.
Christophe Saout se zeptal, jestli výrobci binárních ovladačů skutečně používají metodu, kterou popsal Dave, a Dax Kelson připojil otázku, kteří výrobci a moduly to dělají. Dave odpověděl: Naposled jsem to viděl u nějakého 'antivirového' modulu, který skenuje soubory. Na jméno si teď nevzpomínám. V tu dobu byl zmíněný v této konferenci. Nebyl to ale rozhodně první. Ten trik se používá od doby, kdy přestali výrobci exportovat sys_call_table.
15. bře - 16. bře
Nigel Cunningham se zeptal:
Jen si chci ujasnit: jak se tváříme na budoucnost implementací uspání? Takhle to v současné době vidím já:
Karol Kozimor napsal: Patrick se už neozval měsíce, což - kromě toho, že to komplikuje situaci - činí jakékoliv předpoklady trochu nepřesnými :).. Pavel Machek řekl, že je mu jedno, která implementace bude vyhozena, hlavně když zůstane jedna. Nigelovi také napsal: Neřekl bych, že bude Patrick cokoliv spravovat. Chceš-li to dělat ty, nic ti nebrání. Velké plus bude, dokážeš-li se s Patrickem dohodnout.
V originálu Kernel Traffic 257 vyšla navíc ještě tato témata:
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz