V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.
Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží
… více »Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.
Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala
… více »Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.
Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.
V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).
Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.
Co je lepsie TUN, alebo TAP.
V podstatě ani jedno. Obojí je bída s nouzí ve srovnání se IPSec. Doporučuji vybodnout se na OpenVPN a podobné hračky a nastavit si IPSec. K tomu účelu používám strongswan. (Některé distribuce mají libreswan, openswan a kdovícoještě, ale cokoliv z toho by mělo hravě strčit OpenVPN do kapsy.)
Jakkoliv je OpenVPN uznávané a dokonce už i oficiálně standardizované řešení (co se protokolu týká), nikdy se nezbaví té ošklivé konfigurace s démonem v userspace. Takže každý paket, kterým se OpenVPN zabývá, musí přes ono virtuální rozhraní z kernelu do userspace, tam se šifruje a dešifruje (a otázka je, jak efektivně, protože program v userspace prostě nemá žádnou možnost rozhodovat, na kterém procesoru zrovna běží a jestli bude jeho manipulace s pakety výhodná z hlediska cache) a nakonec následuje další kopie z userspace zpátky do kernelu.
Naproti tomu IPSec je prostě součástí síťového stacku přímo v kernelu. Tím pádem zdaleka nemusí tolikrát kopírovat data sem a tam a může pracovat mnohem efektivněji z hlediska cache. (Například může všechny vrstvy síťových protokolů, včetně IPSec, zpracovat tentýž procesor, který přijal původní interrupt od síťovky, čímž se zásadně ušetří čas i energie, nedochází k několika context-switchům kvůli (skoro) každému paketu a nepřepisují se úplně zbytečně cache.)
OpenVPN je jakási složitá tlustá vrstva, která si napřed nad L3 sítí naváže klasickou L4 komunikaci a uvnitř toho komunikačního kanálu pak provozuje v podstatě něco jako virtuální L2 bridge (no, s trochou nadsázky, podle toho, jakou konfiguraci člověk zvolí). Až si jeden říká, what can possibly go wrong.
V kontrastu s tímhle se IPSec prostě od začátku do konce tváří jako úplně normální L3 vrstva, která „jenom“ mění způsob interpretace některých paketů z/do některých rozsahů adres. Nehraje si tedy na virtuální rozhraní. Dovede selektivně a transparentně (bez nutnosti vědět o nějakém speciálním zařízení a o jeho adresách) zabezpečit například komunikaci s různými „spřátelenými“ sítěmi. Není potřeba explicitně zakazovat nešifrovanou komunikaci pro případ, kdy náhodou OpenVPN neběží nebo virtuální rozhraní zkrátka z nějakého důvodu není k dispozici, a vůbec tak celkově ubude spousta podivných krajních případů.
S kompatibilitou napříč různými systémy je na tom IPSec zhruba stejně jako OpenVPN.
Myslím si, že pokud někdo navrhuje nějaké VPN řešení od píky, neměl byc se nechat zmást tím VPN v názvu OpenVPN a prostě by tam měl dát místo toho IPSec, pokud nemá nějaký zásadní technický důvod k použití OpenVPN. Takový důvod si ale u nově navrhované sítě, která nemusí zajišťovat kompatibilitu s nějakou existující konfigurací klientů, neumím představit.
Tiskni
Sdílej: