Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
nejsem si jist, jestli to tak uplne chapu o co se snazite, takze mi prosim kivnete, jestli jde o:
terminal-server a na nem bezi
terminaly a na nich bezi
a jestli nechcete jabber, icq, talk, ytalk nebo pododobne... (hadam hledate neco jako winpopup pod widlema???)
no a to co ste napsal o tom pripojovani myslite, ze jako spravcovi bezi Xka ten povoli pripojeni(XOpenDisplay()) libovolneho cloveka k jeho X serveru a zaslani nejake udalosti skrz X protokol a tim treba i udalsoti, ktera v lepsim pripade jen treba zabije spravcovi X sezeni v horsim exploitne chybu v Xlib nebo jine knihovne zpracovavajici tu kterou udalost a spusti dalsi kod pod pravy spravce? skutecne ste to myslel takto nebo hledate jen proste "jineho" IM X-klienta a odpovidajici server?
myslim, ze rozchozeni neceho podobneho jabberu je mnohem mene rizikovejsi zalezitost a hlavne se da lepe "uzamknout" a drzet v patricnych mezich.
ciste teoreticky, jestli je to jeden jediny uzivatel, treba "my", a ten home maji teda asi vsichni na jedom miste jako "my", tak maji asi i pristup ke vsem MIT_MAGIC_COOKIE, teda jestli je ty vase xka pouzivaji k overeni prav pripojeni... takze pak by proste asi stacilo pustit dalsi xterm na jiny display a pripadne mu dat jeste nejaky prikaz na vykonani (-e ...)
ale je to pekna prasecina, i kdyz staci tomu jen Xka a nic vic...
.Xauthority
. Mohu nějak spustit X clienta na jeho X serveru? Podle výpisu xauth se používají MIT-MAGIC-COOKIE-1
. Případně, jakou minimální akci by musel provést abych mohl něco takového udělat (ne triviální xauth +
). Předpokládejme, že mám root práva na serveru i na jeho terminálu. Preferuji ale co nejjednodužší zásah na straně app.serveru a zásah by neměl umožňovat průnik další osobě.
Pokud nemuzes pouzit jenom .Xauthority, tak staci, kdyz se ten user podivat, co ma ve $DISPLAY, podle toho najde zaznam v .Xauthority pro ten screen a posle ti tu cookie. Ty si ji pak das do svyho .Xauthority, opet prenastavis DISPLAY na ten jeho a spustis program.
Jako root to muzes udelat obouma zpusobama a ten user nic nemusi delat, ani o tom nemusi vedet, dokud mu tam nenaskoci program. Jako obyc. user se od nej musis dovedet tu cookie (pokud samozrejme nemas R pravo a pristup k jeho .Xauthority, pak si tu cookie muzes zjistit sam).
Obe metody umoznujou pak prunik pouze stejnymu uzivateli, takze jestli nejaka osoba pouzije stejnyho usera, tak si musi jeste nastavit stejnej DISPLAY, komu tu zpravu chce poslat.
Nejake dalsi otazky?
last -ad | grep 'still logged in' |\ sed 's/ */;/g' | grep ';.[^;]*$' | cut -d ';' -f 1,4Ale nevím proč mi nefunguje who, finger ani w. Všechny mi vypíšou jen naposledy přihlášeného a virtuální konzoly. Ty co nemají žádnou virtuální konzoli nevidím
rm -rf /
-e "prikaz"
, tak po skonceni prikazu se xterm zavre a user nema sanci psat prikazy (vlastne se ani nemusi spoustet shell).
DISPLAY=REMOTE:0.0 xdialog -yesno 'Jsi vul?' echo $? if [ $? ]; then echo Je else echo Neni fi
man xauth
) atd. Udělej z toho OSS projekt #!/bin/sh ROURA=/tmp/messages/${USER}.roura [ -d `dirname $ROURA` ] || mkdirhier `dirname $ROURA` [ -p $ROURA ] || ( [ -e $ROURA ] && rm -f $ROURA || mkfifo -m 622 $ROURA ) trap "rm -f $ROURA" EXIT while true do cat $ROURA | xmessage -file - doneMožná by Yeti udělal i něco jednodužšího. Já jsem v bashi nováčkem. Ten
cat
je tam, protože xmessage
nějak nezvládá za -file
rouru. Při použití xargs by do té roury šly cpát i přepínače a dělat butonky, ale pak jsem nějak nerozchodil výceřádkové zprávy a nebo mi vycházeli složité bastly. Takhle to zobrazí vždy jen jednu hlášku, ale pro šikovného není problém to nějak zmastit.
Tiskni
Sdílej: