Опубликованы подробности уязвимости «Copy Fail» CVE-2026-31431 (Base Score: 7.8 HIGH), которая обеспечивает локальное повышение привилегий до root любого локального пользователя без специальных средств и условий. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0.

Уязвимость связана с ошибкой в authencesn — криптографическом шаблоне в ядре Linux — и эксплуатируется через интерфейс AF_ALG.

Доступен эксплоит с кодом на Python в 732 байт.

Для всех многопользовательских систем и изолированных сред рекомендовано обновление ядра на версию с откатом коммита 72548b093ee3 при выходе исправлений.

Эффективной мерой по закрытию уязвимости до обновления будет отключение модуля algif_aead в ядре. Его отключение не окажет заметного влияния на системы, где средства криптографии явно не настроены на работу исключительно через AF_ALG.

>>> Подробности

Представлен релиз специализированного дистрибутива Tails 7.4 (The Amnesic Incognito Live System). Дистрибутив основан на Debian 13, самое интересное, что поставляется с рабочим столом GNOME 48 , и предназначен для анонимного выхода в сеть при помощи инструментария Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. При сохранении пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 2 ГБ.

Изменения:

• Появилась возможность сохранения на USB-накопителе настроек языка, раскладок клавиатуры и форматов. Эти настройки будут применены автоматически при перезапуске Tails.
• Обновления пакетов:
  • Tor Browser до версии 15.0.4;
  • Thunderbird до версии 140.6.0;
  • Linux kernel до версии 6.12.63.
• В целях безопасности возможность загрузки дистрибутива с помощью torrent-файлов больше не предоставляется.

>>> Подробности

30 Июня состоялся предварительный (бета) релиз новой версии языка программирования Lua.

Lua – это встраиваемый, интерпретируемый язык программирования, используемый в огромном числе программных продуктов как язык-компаньон.

( читать дальше... )

>>> Анонс Lua5.5 релиза в списке рассылки

>>> Описание основных изменений

>>> Онлайн документация

>>> Прямая ссылка на архив исходного кода

>>> Прямая ссылка на архив с тестами

>>> Подробности

Минутка само-рекламы. В этом году я опять веду курс про программированию на языке Scala. Курс уже идет и на него попасть нельзя, но видео с лекций доступны всем желающим. В этот раз курс проходит онлайн, по этому звук и картинка получше чем это было на прошлых итерациях. По плану новые материалы будут выкладываться до конца мая 2022.

Посмотреть можно тут: https://www.youtube.com/playlist?list=PLr3MOSSJVvAFnT_qUrcFr1EpZqjEBKiUl

Часа 3 потратил на гугление и попытки избавиться от треска микрофона в скайпе. На этом сайте эта тема обсуждалась уже 2 раза: И все-таки, как заставить нормально работать микрофон с пульсой? Треск при использовании микрофона

Проблема заключается в том, захват звука происходит с треском при использовании метода POSBUF. Но с воспроизведением всё ОК. Встречается это на драйверах snd_hda_intel. Но Pulseaudio работало с захватом звука очень плохо. С большими задержками шла инициализация звука с микрофона в приложениях.

Для исправления я: 1. Изменил параметр position_fix на 3 (VIACOMBO) в настройках драйвера (в предыдущих 2 темах использовалась правка файла /etc/modprobe.d/alsa-base.conf. Я же его менял в openSUSE через YaST в настройках звука) 2. В конфигурационном файле /etc/pulse/default.pa заменил строку load-module module-udev-detect на load-module module-udev-detect tsched=0 (Взято отсюда https://wiki.ubuntu.com/Audio/PositionReporting)

После описанных манипуляций воспроизведение идёт через POSBUF, а запись LPIB. И интервал инициализации становится нулевым, что избавляет от больших задержек.

Надеюсь, кому-то будет полезно.

Qucs-S — это программа для моделирования аналоговых электронных схем, написанная на C++ и распространяемая по GPL 2. В качестве движка моделирования можно использовать как Ngspice для схем общего назначения, так и QucsatorRF (поставляется вместе с Qucs-S) для СВЧ устройств.

20 февраля этого года представлен очередной релиз 25.1.0.

( читать дальше... )

>>> Полный список изменений

Собственно сабж. VPS нужен за пределами России. Хочу поднять себе VPN.

Например вижу предложение от RU VDS в Казахстане. Но не знаю что там с местной цензурой. А то из огня да в полымя.

Вопрос в догонку: какой протокол VPN выбрать и какое железо нужно, чтобы 50 мбит/с тянуло?

Перемещено hobbit из general

7 сентября, после пятилетнего застоя, состоялся выпуск 1.7 библиотеки и консольной утилиты jq, предназначенной для работы с форматом JSON и написанной на языке программирования C. Опционально утилита может быть скомпилирована с использованием библиотеки регулярных выражений Oniguruma.

Изменения:

• новый адрес: https://github.com/jqlang;
• новые сопровождающие, администраторы и владельцы;
• файл NEWS заменен на NEWS.md;
• улучшения CI, документации, тестирования и веб-сайта;
• образы Docker теперь доступны с https://ghcr.io/jqlang/jq вместо Docker Hub;

( читать дальше... )

>>> Подробности

Сабж. Большинство курсов и гайдов по Си учат писать хелло ворлды через printf. А хочется жести с системными вызовами.

Пробовал трехтомник Столярова. Некоторые моменты хорошо объяснены, но есть много воды и шизы автора вроде «ВЫ ОБЯЗАНЫ НАЗЫВАТЬ ДИРЕКТОРИИ ДИРЕКТОРИЯМИ, НЕ ПАПКАМИ, Я ЛИНУКСОИД!!!».

Еще у Столлмана недавняя книга норм, но она как мануал и достаточно сухая.

Поделитесь источниками знаний!

Хочу поделиться историей вылезшего косяка настройки свопа.

Я до сих пор гоняю в качестве десктопа железки с очень малым объёмом памяти и соответственно очень активно своплюсь. Раньше для этоого использовал традиционный и более распиареный zram, но потом у меня закралось подозрение что я всё делаю неправильно...

( читать дальше... )

Поскольку недолго поднять локальную копию гитлаба, наверняка кто-то уже запилил «наш российский гитхаб» и наверняка таких гитхабов не один. Кто поделится ссылками?

Сабж. Где нормально работает WireGuard под линуксом, где меньше проблем с капчами и т. д.

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности

Добрый день. Установил себе на комп linux mint последней версии и столкнулся с такой проблемой: жуткий треск в наушниках во время воспроизведения любых звуков(музыка, игры и т.п.). Наушники USB, исправные, на windows проблем нет. sudo aplay -l выдает это: https://pastebin.com/NTU5h30E

В linux полный новичок. Подскажите, куда копать, чтобы убрать треск.

У меня ситуация, когда програмист тыкает палочкой в код ( те делает кучу мелких коммитов), иногда ошибается и переделывает. Причем тыкает он не у себя локально, а на тестовом сервере с автодеплоем. В общем, по кейсу в резулате на гите куча коммитов, которые не информативны и нафиг не нужны. Хотелось бы , чтобы он тыкал в каком-нить бранче, а потом при мерже оставался один коммит со всеми изменениями по задаче.

Как это сделать?

Новые возможности Qt 6.0:

• Единый интерфейс аппаратного рендеринга с поддержкой Direct 3D, Metal, Vulkan и OpenGL
• Отрисовка 2D и 3D графики объединена в единый графический стек
• Qt Quick Controls 2 получили более нативный внешний вид
• Поддержка дробного масштабирования для HiDPI-экранов
• Добавлена подсистема QProperty, обеспечивающая бесшовную интеграцию QML в исходный код на языке C++
• Улучшено Concurrency APIs, позволяющее вынести работу в фоновые потоки
• Улучшена поддержка сети, что позволяет добавлять собственные бэкэнды сетевых протоколов
• Поддержка C++17
• Поддержка CMake для сборки приложений Qt
• Qt for Microcontrollers (MCU), для работы которого достаточно всего лишь 80 Кб ОЗУ в минимальной конфигурации

С полным списком нововведений можно ознакомиться по ссылке ниже.

>>> Подробности

Кончился у меня одометр на моем ведрищще, и я задумал заменить его цифровым (какого хрена его не сделали таким с завода — тайна, вся приборка электрическая).

Цель: запилить счетчик импульсов на китайском arduino nano.

Задачи: Запрограммировать нану считать импульсы либо на цифровом входе, либо как прерывания.

Проблемы: В роли датчика скорости выступает другая ардуина, при передаче просто с цифры на цифру, проседает сигнал до 1.0В, управляемая ардуинка не инкрементируется. При передаче прерывания все работает, но на управляемую ардуинку влияет аура. При качественном контакте все работает как нужно, но если снять пин с ардуины-вибратора, ардуина-счетчик начинает инкрементировать в бесконечном цикле с частотой кварца, если после этого снять пин с нее, останавливается, но продолжает считать, если потрогать рукой (RISING не должен же срабатывать, я уверен, у меня шкура сопротивляется). В общем, какие будут предложения?

Есть NAND-флешка K9GAG08U0M. Есть даташит к ней. Есть некоторый софт, который должен работать с этой флешкой.
Даташит большой, но реально полезной информации немного. Думаю, что мне в первую очередь понадобится это:

* Memory Cell Array = (2G + 64M) x 8bit
* Data Register = (4K + 128) x 8bit
* Page Program = (4K + 128)Byte
* Block Erase = (512K + 16K)Byte
* Page Size = (4K + 128)Byte
* Memory Cell = 2bit / Memory Cell

  NAND_BUSWIDTH 8
- NAND_ROWCYCLES
- NAND_PAGESIZE
- NAND_PAGEPERBLOCK
- NAND_OOBSIZE
- NAND_ECCPOS
- NAND_BADBLOCKPOS
- NAND_BADBLOCKPAGE
- NAND_PLANENUM
- NAND_BCHBIT
- NAND_WPPIN
- NAND_BLOCKPERCHIP

Имеется текстовый файл с 2 ГБ данных. Нужно каждую строку похэшить в md5 и сохранить в файл, вот что получилось.

#!/bin/bash
while read line; do echo -n $line|md5sum|awk '{print $1}'|tr '[a-z]' '[A-Z]' >> md5.txt; done < text.txt

Привет лор, сабж. Какая разница между HZ=300 и например HZ=1000?

На реддите читал что 1000 повышает энергопотребление, так ли это?