Эксперты американского IT-стартапа Wiz, специализирующегося на решениях в области облачной безопасности, проанализировали китайскую платформу DeepSeek на уязвимости. В итоге они наткнулись на открытую базу данных с 976 тысячами строк логов, включающую конфиденциальную информацию пользователей — как оказалось, она была просто оставлена «без присмотра».

В ходе тестирования платформы эксперты наткнулись на два открытых порта (8123 и 9000), ведущих к базе данных, даже не защищённой паролем: к ней можно было обращаться с помощью текстовых команд. После нескольких запросов специалистам удалось извлечь из неё журнал log_stream, содержащий 976 тысяч строк. Самые интересные поля выглядят так:

    * timestamp — логи с 6 января 2025 года, включающие время сеансов работы;
    * string.values — текстовые журналы с историей чатов, ключами API, сведениями о серверной части и метаданными;
    * _source — информация о происхождении запросов журнала, содержащая историю чатов, ключи API, структуры каталогов и журналы метаданных чат-бота.

По словам экспертов, используя найденную «дыру», злоумышленники могли получить конфиденциальные данные пользователей, включая их сообщения в чате в формате обычного текста, а также похитить пароли и локальные файлы с серверов компании. При этом они не уточнили, связаны ли обнаруженные данные с аккаунтами пользователей, или обезличены.

На момент написания новости уязвимость уже была устранена, однако официального заявления на этот счёт от разработчиков DeepSeek так и не последовало.

Источник

Оригинальный источник

Количество строк кода в ядре Linux преодолело рубеж в 40 миллионов, из них последние 20 млн. оно набрало за последние 10 лет (с 2015 года).

Пруф с терминалом, где это самое число измерено.

Поздравим разработчиков с юбилеем! %)

>>> Подробности

Администрация форума поздравляет всех форумчан, анонимусов и просто причастных к миру Linux и Open Source с наступающим (или уже у кого-то наступившим) Новым 2025 годом!

Желаем вам как всегда долгого аптайма и стабильного коннекта, а также здоровья и успешного исполнения всех желаний и не только, запланированных на будущий год.

В этом году мы решили устроить небольшой конкурс, и посмотрели внимательным взглядом в статистику, чтобы порадовать вас некоторыми цифрами и подвести итоги года.

( читать дальше... )

В той теме обсуждать не принято, так что отвечу тебе отдельным сообщением.

1. Я не вижу причин удалять тему про отношения Столярова к современному вебу и его адептам. Она вполне себе в тему относительно технологий и веяний, а в самой теvе вполне нормально обсуждают, можно сказать, технические вопросы. Да и если потереть тред и забанить ТСа для каждой темы, провоцирующей дискуссию, то ЛОР и правда вымрет.

2. не первый раз вижу, что ты влетаешь в срач с двух ног и продолжаешь весело в нём кувыркаться — это про единственный комментарий в теме? Не сказал бы, что я там кувыркаюсь, хотя мне есть, что сказать на некоторые тамошние высказывания. Просто руки не дошли.

Ты лучше поясни, что конкретно в той теме тебе кажется недопустимым, что ее надо аж снести?

Че-то вроде тут тем про шестые кеды я еще не видел в галерее (или плохо смотрел?). А ведь они давно уже вышли…

Итак, Арч с шестыми кедами. Тема дефолтный полутемный бриз (почему-то не стал включать полностью темное оформление, хотя обычно делаю именно так), оформление контролов фьюжн как обычно.

Почему арч? Ну, наверное, решил снова почувствовать себя школьником :) Хотя на самом деле просто захотел че-то без снапа, со свежими пакетами и без лишних сущностей. Ну и чтобы не компилять, все-таки годы уже не те.

Работает все стабильно, плазма не падает, все шустро быстро. Стоит на моем стареньком Х230, что видно из локалхоста. Довольно оригинальным показалось решение с настройкой панели, когда она в свободном состоянии висит в стороне от края экрана, а при разворачивании окошка плавно занимает всю область «классически».

В следующей LTS-версии дистрибутива Ubuntu 24.04 разработчики уберут из состава пакетов стандартные игры GNOME, такие как пасьянсы Aisleriot, Маджонг, Мины и Судоку. Решение объясняется тем, что эти игры «перестали демонстрировать, что Ubuntu и Linux-сообщество в целом может предложить геймерам».

Также удаление этих игр поможет сократить объем ISO-образа дистрибутива на 65 Мб. Тем не менее, при необходимоси их можно установить из репозиториев или Snap.

Примечательно, что ранее в 2010 году уже проводилось удаление игр из стандартной поставки GNOME – тогда их количество было сокращено с 15 до 4 штук.

>>> Подробности

Fedora Engineering Steering Committee (FESCo), отвечающий за техническую часть разработки дистрибутива комитет, 5го марта принял решение об удалении поддержки сеанса Х11 из базовой установки дистрибутива Fedora 41. Теперь по умолчанию останется только Wayland.

Установка поддержки Х11 остается доступной из репозиториев в виде пакета gnome-session-xsession.

Основная причина прекращения поддержки Х11 в Fedora – переход X.Org-сервера в категорию устаревших в RHEL 9 и решение об его удалении в RHEL 10.

>>> Подробности

5го марта разработчики postmarketOS, дистрибутива Linux для смартфонов, основанного на Alpine Linux, объявили о добавлении в него поддержки системного менеджера systemd вместо использовавшегося ранее OpenRC.

( читать дальше... )

>>> Подробности

Администрация форума поздравляет всех форумчан, анонимусов и просто причастных к миру Linux и Open Source с наступающим (или уже у кого-то наступившим) Новым 2024 годом!

Желаем вам стабильного коннекта, долгого аптайма, а также здоровья и благополучия во всех ваших начинаниях и не только!

С Новым годом!

Приобрел я еще один Thinkpad (уже третий) и начал ставить на него ОС. До этого долго время пользовался Ubuntu LTS — работает, жрать не просит, не падает, проблем с нем нет. Но последнее время она начала немного раздражать. Даже не она, а политика ее главных разработчиков:

• Сначала они все стали засовывать в Snap. Я сильно офигел, когда узнал, что предлагается ставить kubectl через снап, хотя это, по сути, один бинарник! И пусть это в вариантах установки от самого Kubernetes, но как-то заставляет скривиться и мысленно поставить еще один минус в пользу убунты.
• Затем стали радовать предложением купить платную подписку PRO прямо в терминале после завершение apt update.

В общем, посмотрел я на все это дело и понял, что чем ставить последнюю убунту и заниматься выпилом оттуда снапа и прочей ереси, проще использовать другой дистрибутив.

И спустя некоторое время я вспомнил о новом релизе Debian.

Да, он «stable», то есть там немного устаревшие версии пакетов, но ИМХО для рабочего ноута это не критично совсем. Все равно нужный софт (IDEA, Docker, Go и Java) ставятся руками и другими средствами, а не из штатных реп. А какая там версия Flacon будет конвертить мне музычку — совершенно индифферентно.

ДЕ у меня как всегда кеды, причем внешне это почти что дефолт — заменил только главную заставку SDDM и перенес панель наверх.

Проблем с дебианом также не было, разве что по умолчанию на 4К экране он отображает текст загрузки в TTY крайне мелким шрифтом, и пока не поставишь в настройках применение настроек масштабирования КДЕ к SDDM последний тоже отображается мелким. Кеды сами по себе автоматом подцепили масштабирование под 4К, и выглядят как обычно на обычном FullHD. Разве что некоторый софт наподобие IDEA и GoLand пришлось ручками масштабировать.

З.Ы. Картинка может быть немного мыльная — оригинал весит 5,6 метра и не влезает в ограничения ЛОРа.

В Mozilla обнаружили, что почтовый клиент Thunderbird стал распространяться на различных сторонних сайтах с вкомпилированным в него вредоносным ПО.

В рекламной сети Google появились объявления с предложением установить «готовые сборки» клиента. После установки такой сборки она начинает собирать конфиденциальную информацию о пользователе и отправлять ее на серверы мошенников, а затем пользователям приходит письмо с предложением заплатить за сохранение конфиденциальности.

( читать дальше... )

>>> Подробности

Компания АО «Рутек» запустила 11 сентября этого года выпуск российского смартфона под управлением российской ОС «РОСА-Мобайл» на мощностях завода в Саранске.

НТЦ «ИТ Роса» представляет смартфон как российский, разработанный специально под ОС компании — «Роса Мобайл» — и включающий в себя специальные антишпионские функции. На заводе производится поверхностный монтаж печатных плат и полная сборка устройства.

Тем временем на рынках Бангладеша обнаружился полностью аналогичный смартфон Symphony Helio 80, корни которого уходят в Китай. Смартфон идентичен Р-Фону вплоть до расположения камер на задней панели и многих характеристик «железа».

( читать дальше... )

Подробности

Оф. канал разработчиков с ответами на вопросы.

Перемещено maxcom из pda

29 сентября компания «Гравитон» объявила о выходе нового 17-дюймового ноутбука с сертифицированной поддержкой российских ОС Astra Linux SE и РЕД ОС.

( читать дальше... )

>>> Подробности

Аппарат Госдумы приобрел для своих сотрудников 1800 лицензий отечественного ПО для замены используемых сейчас Microsoft Windows и Office. В качестве замены ОС выбран российский дистрибутив «Astra Linux», а для офисного пакета — «МойОфис».

На закупку потрачено 52,5 млн рублей, из которых 23,1 ушли на офисные пакеты, а 29,3 на дистрибутивы российской ОС. Закупка производилась по тендеру, но в нем участвовал всего один подрядчик — компания Step Logic, она и поставила чиновникам необходимое количество лицензий на ПО.

В пресс-службе Госдумы подтвердили закупку ПО. Сейчас на российское ПО переводятся компьютеры, работающие с внешней сетью, а в следующем году планируется перевести на него также и ПК, работающие только с внутренними ресурсами.

Переход на непривычное ПО всегда требует постепенного переобучения сотрудников, отмечают эксперты. (c)

>>> Подробности

Компания Google сделала возможность запретить сканирование сайта роботами, использующимися для обучения нейросетей компании.

Скрыть содержимое сайта можно от роботов Bard и VertexAI, при этом такой запрет не повлияет на индексирование сайта самим поисковиком. Для этого нужно добавить в robots.txt соответствующую запись.

С расширением базы моделей ИИ Google планирует автоматически расширять и возможность запрета индексации сайта этими ИИ.

>>> Перечень всех ботов и способы их отключения

Ранее в августе этого года подобную функицональность представила компания OpenAI, реализовав запрет индексации сайта ботами ChatGPT.

>>> Подробности

ZDI (Zero Day Initiative) опубликовали сведения о трех найденных критических уязвимостях в почтовом сервере Exim, позволяющих выполнить произвольный код от имени процесса сервера, открывшего 25й порт. Для проведения атаки аутентификация на сервере не требуется.

1. CVE-2023-42115 — позволяет добиться записи своих данных за границами выделенного буфера. Вызвана ошибкой проверки входных данных в сервисе SMTP.
2. CVE-2023-42116 – вызвана копированием данных от пользователя в буфер фиксированного размера без проверки необходимого размера.
3. CVE-2023-42117 – также вызвана отсутствие проверки входных данных на 25 порту SMTP-сервиса.

Уязвимости отмечены как 0-day, что говорит о том, что их не исправляют, хотя по словам ZDI разработчики Exim уже давно предупреждены об их наличии. Возможно, исправление будет в версии 4.97 сервера, но это не точно.

В качестве защиты от этих уязвимостей на данный момент предлагается ограничение доступа к SMTP на 25 порту.

UPD. Похоже, что все не так страшно. Эти уязвимости носят локальный характер. Они не работают, если сервер не использует NTLM и EXTERNAL аутентификации, не закрыт за прокси, не использует потенциально опасные DNS-серверы и не использует spf в acl. Подробнее…

>>> Подробности

Научно-технический центр информационных технологий «Роса» и российский разработчик офисного программного обеспечения «Мой офис» провели тестирование и по его итогам подтвердили полную совместимость своих продуктов.

«Мой офис Стандартный» версии 2.6 без проблем устанавливается и работает на ОС «Роса Хром 12» и «Роса Кобальт 7.9». Это поможет корпоративным заказчикам сократить время и финансовые затраты на внедрение импортозамещенных решения на своих предприятиях и перевод пользователей на российское ПО для работы с документацией.

>>> Подробности

Я ничего не пытался сделать, просто пользуюсь. Никаких инструкций ниоткуда не брал, только поставил из Homebrew neofetch, чтобы показать вам радужное яблочко.

Похоже на Gnome 45?

Вопрос родился из вот этого треда: Magic mouse на венде (комментарий).

Понятно, что большой палец и мизинец держат ее и двигают. А вот чем и как жмутся кнопки…

Эта тема предназначена для просьб об удалении того, чего не должно быть на форуме.

Два важных замечания:

• после переполнения эта тема будет закрыта для комментирования, вместо нее будет создана новая
• только ссылки, без обсуждений. Все лишнее будет удаляться

Предыдущая тема: Ссылки на некорректные сообщения (57)

Важно: ссылку на комментарий надо копировать из пункта [Ссылка] под комментарием, а не из адресной строки.

ВАЖНО!!! ЕСЛИ КОММЕНТАРИЙ ВЫЗЫВАЕТ ЛИЧНО У ВАС КОГНИТИВНЫЙ ДИССОНАНС, РАССТРАИВАЕТ ВАС ИЛИ ЕЩЕ ЧЕГО, ПОТОМУ ЧТО НЕ СОВПАДАЕТ С ВАШЕЙ ТОЧКОЙ ЗРЕНИЯ, ПОЖАЛУЙСТА, СХОДИТЕ НА УЛИЦУ, ПОЧИТАЙТЕ КНИГУ, ПОГЛАДЬТЕ КОТА, ПОСМОТРИТЕ КАК ГОРИТ ОГОНЬ! В конце концов, попейте вкусный кофе. Пример такого комментария: OpenIndiana 2021.04 Hipster (комментарий)