Beyond a Steel Sky es una secuela del clásico videojuego de culto Beneath a Steel Sky que continúa recibiendo un gran soporte a su lanzamiento por parte de Revolution Software y con una gran actualización del motor gráfico. Ahora, tienes una nueva actualización para mejorar esta obra de arte aún más, y la podrás disfrutar en tu distro Linux favorita.

Ahora, con una nueva actualización ha llegado una enorme cantidad de mejoras y novedades para los jugadores que ya están disfrutando de este título de videojuego. Y para los que aún no lo conozcan, se trata de una aventura tipo point-and-click basado en ciencia ficción y cyberpunk, que tan de moda se ha puesto ahora.

El galardonado estudio Revolution ha creado un magnífico trabajo con este título, incluso antes de la actualización. Esta revolucionaria aventura se basa en una historia que bien podría ser un thriller 3D, ambientado en un futuro que está dominado por la inteligencia artificial. Por eso, tendrás que agudizar tu destreza para hackear los sistemas, sabotear el mundo, y resolver esta conspiración para sacar a la luz su plan devastador.

En cuanto a los usuarios de Linux, deben saber que el motor gráfico no es compatible con OpenGL, pero que sí lo hace con Vulkan. Por tanto, tienes a tu alcance una versión más potente y pareja al rendimiento que se puede conseguir en Microsoft Windows con DirtectX.

Por cierto, si te gusta este tipo de títulos de culto, deberías saber que también tienes contenido gratis en Steam, como el Comic Book, y tienes el videojuego por menos de 30€. Además, tienes packs a tu alcance para su descarga, e incluso la pista de sonido independiente para descargar… Ya sabes, este tipo de títulos de culto generan un gran fanatismo, y muchos buscan multitud de contenido relacionado con Beyond a Steel Sky, y no solo el propio videojuego en sí.

Comprar y descargar – Tienda Steam

from Linux Adictos https://ift.tt/3tv7PiU
via IFTTT

En el artículo anterior comencé a explicar las diferencias entre tres tipos de herramientas para la creación de un blog y por qué esas diferencias me hicieron decidir abandonar la opción que utilizaba; WordPress, en favor de un creador de sitios estáticos como Jekyll.

Para que se entiendan mejor las ventajas y desventajas de cada uno necesitamos definir algunos términos e ilustrarlos con un ejemplo, un hipotético blog sobre jardinería.

Componentes de un sitio web

Los tres ingredientes fundamentales de un sitio web son:

• HTML: Proporciona la estructura básica del sitio
• CSS: Maneja la representación del contenido.
• Javascript: Gestiona la interactividad de diferentes partes del sitio.

HTML

HTML son las siglas de HyperText Markup Language: Se lo llama «Lenguaje de marcado» porque utiliza etiquetas para identificar los diferentes tipos de contenido y los propósitos que cada uno de ellos tiene para la web. Ya puedes pasar por experto mirando con desprecio a los que digan que es un lenguaje de programación.

Por ejemplo, la actual especificación, HTML5 utiliza las siguientes etiquetas

• head para indicar que en ese espacio va información técnica sobre el documento.
• body para enmarcar el contenido que se va a mostar de la página.
• article para el contenido principal
• aside para contenido secundario
• footer para el contenido inferior de la página.

En nuestro presunto blog de jardinería tendríamos algo así.

Lo pongo como imagen porque las políticas de seguridad de Linux Adictos no dejan incluir código HTML.

Si copias este texto en el editor de textos y lo guardas como index.html, veras el texto Este es mi blog de jardinería.

La primera línea del código le indica al navegador que lo que sigue lo tiene que interpretar como HTML, la segunda línea indica que aquí comienzan las etiquetas, y que el idioma del sitio es el español de Argentina. Dentro de head se indica el juego de caracteres y el título del blog.

En la sección body vemos que la frase está encerrada en otra etiqueta,

Esto le indica al navegador que tiene que tratarlo como un párrafo.

Además de la codificación de caracteres, el parámetro meta permite incorporar otro tipo de información que, aunque no se vea en el navegador, es útil para los buscadores.

Por ejemplo, el parámetro meta name author content identifica al autor de una página, mientras el parámetro meta name description content resume el contenido de la página para los buscadores.

Hay dos elementos más que van dentro de head, que son los enlaces a las hojas de estilo y código Javascript

CSS

Si recuerdas nuestra página web de ejemplo, solo se mostraba la frase “Este es mi blog de jardinería”. Por supuesto que un sitio web tiene que ser más atractivo para lo que se necesita una hoja de estilo.

Las hojas de estilo son las que establecen como se mostraran los distintos elementos de la página.

Por ejemplo, si queremos que nuestro texto se muestre con fondo negro y letras amarillas, creamos un archivo llamado mi-estilo-css.ss y escribimos estas líneas

p {
background-color: black;
color: yellow;
}

Cambiamos el código de la página de ejemplo a:

Recuerda que para que funcione, ambos archivos deben estar en la misma carpeta.

Javascript

Aunque hoy por hoy, HTML5 y CSS pueden darle bastante animación a un sitio. En caso de necesitar interactividad más compleja debemos recurrir a Javascript.

Javascript es un lenguaje de programación que permite modificar el contenido de un sitio web de acuerdo al comportamiento del usuario.

En un sitio web que permanecerá estático, puede que el esfuerzo de crear las páginas desde cero se vea compensando por el escaso consumo de recursos y la posibilidad de personalización. Sin embargo, un blog es un tipo especial de sitio web que requiere atención constante. Y la clave es la cantidad y variedad del contenido. De ahí que todo lo que pueda automatizarse debe automatizarse. Es cierto que la información común a todas las páginas puede copiarse y pegarse. Pero, créanme,  se cometen errores y son difíciles de encontrar.

Fíjense la cantidad de código necesaria para mostrar una sola línea y cambiarla de color. Un artículo promedio de un blog tiene 300 palabras, un par de subtítulos e imágenes. Y hay que tratar de que todo eso se vea bien en distintos formatos de pantalla.

En los próximos artículos veremos como manejar esa complejidad con WordPress, Jekyll y el framework Bootstrap

from Linux Adictos https://ift.tt/3hcURUo
via IFTTT

Una de las cosas que debemos recordar los difusores del software libre y de código abierto es que no todo el mundo tiene las mismas necesidades, tiempo o ganas para dedicarlo a la instalación o aprendizaje de un nuevo programa. La filosofía detrás del software libre es genial, pero si eres un diseñador gráfico freelance, estarás demasiado ocupado consiguiendo y terminando los trabajos que te mantienen como para aprender a hacer en Inkscape lo que habitualmente haces con Adobe Illustrator.

De WordPress a Jekyll

Hacia fines del año pasado tomé la decisión de dejar de utilizar WordPress en mi blog personal y pasar a utilizar un generador de sitios estáticos llamado Jekyll. Diversos problemas de índole personal más las obligaciones laborales, hicieron que ese traspaso se demorara. Tampoco ayudó la aparente incapacidad de los desarrolladores de proyectos de código abierto de reunir la documentación necesaria en un solo lugar y de redactarla de forma comprensible.

Sigo pensando que fue una buena idea. Para mí. A menos que seas un fanático de la tecnología, necesites economizar recursos del servidor o requieras de una personalización extrema, lo mejor es que te quedes con WordPress o pruebes con algún otro gestor de contenidos.

Gestores de contenidos, frameworks y creadores de sitios estáticos.

Supongamos que quieres mudarte a una casa. Tienes tres opciones:

• Comprar una casa ya construida: En la que solo tienes que llevar tus muebles y colgar los cuadros.
• Encargar una casa en base a módulos prefabricados
• Contratar un arquitecto y una empresa constructora y hacerla a tu gusto.

Los gestores de contenidos como WordPress permiten que te concentres solamente en el contenido. Disponen de una serie de plantillas que automatizan la representación de la información y de complementos que agregan funciones adicionales.

Los frameworks son un conjunto de componentes que puedes combinar para crear páginas web personalizadas. Necesitas tener conocimientos de codificación para poder combinarlos y para agregar interactividad.

Los creadores de sitios estáticos de los que ya había hablado, a partir del contenido y de ciertas instrucciones proporcionadas, generan páginas web que utilizan HTML, CSS y Javascript. Lo de estáticos no hay que tomarlo al pie de la letra, ya que es posible hacerlos interactivos.

La diferencia principal es que los gestores de contenidos requieren mayores recursos del servidor al necesitar de una base de datos. Es esa base de datos en donde se encuentra la información sobre como representar el contenido, el contenido a representar, los roles y los privilegios de los usuarios y la información sobre la página que requieren los buscadores.

Cuando utilizas un framework, debes poner página a página toda la información requerida por los buscadores, para la correcta visualización del sitio en diferentes formatos de pantalla y la ubicación de los elementos externos que se muestran o agregan interactividad.

Los creadores de sitios estáticos permiten automatizar ciertas tareas como mostrar los datos de identificación del sitio, la agrupación de los artículos en categorías o la paginación

Es importante marcar la diferencia. Los gestores de contenidos buscan la información en la base de datos y la muestran cada vez que un usuario se conecta a la página web. Los creadores de sitios estáticos crean una página web que incluye esa información incrustada en su código.

Quiero insistir en que esta serie de artículos debe ser leída como un diario con mis experiencias y no como una receta. Si vas a iniciarte en el mundo de los blogs deberías dedicar todo el tiempo al contenido y no a memorizar las distintas abreviaturas de Markdown o comandos de Liquid. Cuando ya tengas experiencia y una base de lectores, puede que quieras mayores opciones de personalización. Recién ahí deberías considerar Jekyll

Mi ida de WordPress se debió a que la opción gratuita me quedaba chica, y las opciones de pago, en un país donde la cotización del dólar no para de subir, no eran una alternativa viable. A esto hay que sumarle que los temas comenzaron a pedir la instalación de complementos, y si querías tener más de un tema te encontrabas con varios complementos diferentes que cumplían la misma función.

En los próximos artículos voy a extenderme más sobre las diferencias entre un método u otro de creación de blogs que hicieron que tomara la decisión.

from Linux Adictos https://ift.tt/3eWHtB2
via IFTTT

Los entornos educativos son vitales. De ellos depende el aprendizaje de multitud de personas en todo el mundo. Si se monopolizan con software privativo, estarás empujando a esos alumnos a que tengan que invertir dinero en licencias una vez salen del entorno para poder seguir usando los mismos programas.

Además de eso, algunas escuelas de ciertos países tercermundistas no tienen acceso a algunos sistemas operativos y software dado el precio de las licencias que no se podrían permitir. Esto genera una brecha educativa importante entre los países más pobres y los ricos y que obliga a los más pobres a elegir entre el dilema ético de usar software propietario pirata o no usar herramientas informáticas.

Por eso, es muy importante disponer de herramientas para entornos educativos que sean de software de código abierto, libres y gratuitas. Ellas logran equilibrar en cuanto a igualdad de oportunidades a todos, sean del origen que sean.

Aquí me centraré en las que se emplean para la gestión de estos entornos educativos y que son vitales para impartir las clases, como:

• ATutor: si eres maestro, entonces deberías conocer esta app. Es un software onlien con el que poder gestionar tus cursos y entregar a los estudiantes el material que necesitan. Puedes postear asignaturas, tests, notas, y mucho más. Los estudiantes podrán crear cuentas individuales para seguir todo este contenido.
• iTalc (ahora Veyon): es una plataforma para entornos educativos que permite al profesor seguir y controlar las demostraciones para sus alumnos en un aula interactiva en red. Ideal para la educación a distancia.
• FET: simplifica los horarios en los entornos educativos. Para ello, este sistema libre emplea algoritmos heurísticos para la creación, como la cantidad de días por semana disponibles, las horas lectivas, las asignaturas que se imparten, las actividades, número de profesores disponibles, grupos de alumnos y subgrupos, las clases disponibles, etc.
• GCompris: es un gran conjunto de programas para implementar un completo entorno educativo para los más pequeños, con edades comprendidos entre 2 y 10 años. Posee varias actividades educativas y juegos, orientados a mejorar la comprensión y uso de los sistemas informáticos, así como las asignaturas esenciales (lectura, geografía, matemáticas,…).
• ChildsPlay: puede ser una suite alternativa a la anterior, también para los más pequeños. Orientada a actividades de memoria, letras, números, juegos y aplicaciones educativos, etc.

from Linux Adictos https://ift.tt/3nXPiux
via IFTTT

La app sueca Spotify es una de las más populares en el mundo de los amantes de la música. El formato de música por streaming fue revolucionario en su momento, y logró cambiar esta industria e incluso minimizar la piratería gracias a sus cuentas gratuitas con las que poder escuchar a tus artistas favoritos a cambio de tener algunos anuncios.

Está disponible para varias plataformas, entre las que también se encuentra el escritorio Linux. Es más, recientemente sus desarrolladores han anunciado un paquete de mejoras y el rediseño de su interfaz gráfica. Algo que podrás disfrutar en tu distro GNU/Linux favorita desde ya…

La modificación de la GUI de Spotify viene para mejorar la navegación principal del cliente de transmisión de música y facilitar la vida del usuario, especialmente en las búsquedas. Antes la función de búsqueda aparecía y desaparecía según la vista, ahora estará siempre visible en la barra lateral. Además, se han mejorado otros aspectos de la usabilidad para que todo sea más rápido.

También se facilita el acceso a las funciones del servicio, independientemente de la parte de la interfaz donde te encuentres. Por ejemplo, ya sean las listas de reproducción, el modo búsqueda, la gestión de la cola de reproducción de tus playlists, etc. Todo estará muy a mano.

En definitiva, ahora tiene un aspecto mucho menos desordenado y más moderno. Spotify se rediseña y deja atrás su pasado, estando más acorde con la web app y la app para dispositivos móviles.

Si la deseas instalar desde ya para probar por ti mismo estas mejoras, ya sabes que está disponible en los repositorios de las distros populares, pero también puedes usar la última versión disponible, puedes seguir estos pasos tan simples…

Más información – Web oficial

from Linux Adictos https://ift.tt/2PYwa2U
via IFTTT

El pasado 23 de abril, WineHQ lanzó la v6.7 de su software para ejecutar aplicaciones de Windows en otros sistemas operativos como Linux. Siendo lo puntuales que son, eso significaba que hoy 7 de mayo tenía que llegar WINE 6.8, y eso es lo que ha pasado hace unos instantes, un poco más tarde de lo habitual. Después de la versión estable lanzada a principios de año, el proyecto lanzará unas 20 versiones de desarrollo como esta antes de empezar con las Release Candidates y, al final, WINE 7.0 estable.

Esta vez, WineHQ ha corregido 35 bugs, pero ha realizado un total de 359 cambios. En cuanto a la lista de novedades más destacadas, el equipo de desarrolladores sólo ha mencionado tres, por lo que no es uno de los lanzamientos más llamativos de los últimos tiempos, siempre y cuando no se tengan en cuenta los cientos de pequeños cambios que han realizado. Aunque cierto es que es lo esperable en esta fase del desarrollo.

Novedades más destacadas de WINE 6.8

• Bibliotecas instaladas en subdirectorios específicos de la arquitectura..
• Biblioteca Secur32 convertida a PE.
• Soporte para el objeto Map en JavaScript.
• Varias correcciones de errores.

Los usuarios interesados ya pueden instalar WINE 6.8 desde su código fuente, disponible en este y este otro enlace, o a partir de los binarios que se pueden descargar desde aquí. En el enlace desde donde podemos descargar los binarios también hay información para añadir el repositorio oficial del proyecto para recibir esta y otras actualizaciones futuras tan pronto en cuanto las tengan listas a sistemas como Ubuntu/Debian o Fedora, pero también hay versiones para Android y macOS.

La próxima versión de desarrollo será WINE 6.9, y con casi toda seguridad llegará el próximo viernes 21 de mayo. Entre lo que introducirá, teniendo en cuenta que aún estamos en las primeras versiones de desarrollo, lo único que podemos asegurar es que llegará con cientos de pequeñas mejoras y correcciones como es habitual.

from Linux Adictos https://ift.tt/3xWnhIw
via IFTTT

Hace poco menos de un mes escribimos un artículo motivado por otro en el que aseguraban que Windows 10 era más rápido que Linux. El titular era engañoso, tal y como explicamos en su día, porque ¿de qué Linux hablaban? Linux es el núcleo que usan muchos sistemas operativos, y la prueba la hicieron en un equipo que, entre otras cosas, usaba el procesador Intel i9 y la distribución Linux era la última estable de Canonical con un kernel que aún estaba en fase de desarrollo. Ahora han hecho otra prueba, pero con Ubuntu 21.04 y el AMD Ryzen 9.

El primer detalle importante es que esta vez no se ha usado un procesador fabricado por una compañía que se lleva bien con Microsoft. Es decir, Intel puede hacer que, en los benchmarks, Windows quede mejor que Ubuntu, pero AMD, se supone, los trata a todos por igual. ¿El resultado? Las tornas se han cambiado y el ganador es Ubuntu en el mismo porcentaje en el que Windows 10 ganaba en la prueba anterior.

Windows 10 pierde contra Ubuntu 21.04 en un equipo con AMD Ryzen 9

Estaríamos siendo hipócritas si no diéramos un dato: en esta ocasión ha sido Windows 10 quien ha participado en una versión preliminar, concretamente Windows 10 Pro Build 21370, ahora mismo en manos de «Insiders». En el otro rincón del ring ha estado Ubuntu 21.04 con Linux 5.11, tanto sistema operativo como kernel ya en sus versiones estables.

En el cómputo general, Ubuntu 21.04 ha ganado en el 63% de las pruebas, llevándose el resto Windows 10. La anterior prueba daba como vencedor al sistema de Microsoft en el 61% de los tests. Tenéis todos los detalles en el medio de Michael Larabel, al que podéis acceder desde aquí.

En lo personal, me gustaría ver una prueba sin trampa ni cartón (sin Intel, vamos) con los dos sistemas operativos en versiones estables. Probablemente seguiría ganando Ubuntu, y, si no, ¿Qué tal Arch Linux? Se compare con el que se compare, la experiencia de usuario en equipos modestos, esa que no nos hace esperar muchos segundos para que se abra un programa, siempre será mejor en Linux. O esa esa mi opinión.

from Linux Adictos https://ift.tt/3hoEJzB
via IFTTT

En los últimos días se está discutiendo la posibilidad de la suspensión de las patentes concedidas a los desarrolladores de las vacunas contra el COVID. Aparentemente se trata de una discusión solo para contentar a medios de comunicación y activistas. Difícilmente logre la aprobación del Congreso de Estados Unidos y, mucho menos la unanimidad de la Organización Mundial de Comercio.

¿Es una buena idea?

Hay quien sostiene que es una idea peligrosa. Estas personas afirman que si se obliga a los laboratorios a una cesión de patentes, para encontrar cura a la próxima pandemia vamos a depender de los laboratorios rusos y chinos (De fuerte dependencia estatal) porque ninguno occidental se va a tomar la molestia de investigar. Y lo mismo vale para enfermedades masivas como el cáncer o la artrosis.

Como apoyo presentan el caso de la penicilina. Alexander Fleming, en lugar de patentarla la donó a la Humanidad. Dado que cualquiera podía fabricarla (disminuyendo su rentabilidad) nadie se molestó en hacerlo hasta que la Segunda Guerra Mundial lo hizo necesario.

Por otra parte, suspender las patentes no tendría ninguna ventaja de las que aporta el open source. Aún, cuando algún otro laboratorio encontrara una mejora en el proceso de elaboración o en el rendimiento no podría aplicarla. Tampoco va a poder aplicar lo aprendido en otros productos.

Lo curioso es que si el presidente Biden, Bill Gates y demás defensores de regalar el trabajo ajeno estuvieran verdaderamente interesados en hacer que las vacunas lleguen a todos, tienen un proyecto al que pueden apoyar.

Acerca del proyecto OpenVax y por qué es una alternativa mejor

OpenVax es un proyecto conjunto de la Open Source Pharma Foundation, la escuela de medicina de la Universidad de Harvard y el gobierno de la India para luchar contra el COVID-19 y otras pandemias mediante la modificación de vacunas existentes, de bajo costo y de probada eficacia con patentes ya vencidas. La iniciativa ya se encuentra haciendo pruebas en fase 3.

Los responsables del proyecto creen que pueden competir con los grandes laboratorios, pero sin tener que sacrificar el principio de equidad ya que ciertas vacunas en base a virus atenuados protegen contra una amplia gama de patógenos, en base a lo que se llama “inmunidad innata entrenada”

Las ventajas de utilizar vacunas ya conocidas y sin patente, en comparación de las creadas y patentadas específicamente para el COVID son:

• Menor tiempo de desarrollo: Solo deben hacerse pruebas de su efectividad para prevenir el COVID, el resto de los pasos de homologación ya se hicieron.
• Más seguras: Al estar un largo tiempo entre nosotros ya sabemos si tienen efectos adversos. Esto hace más probable que la gente se la quiera poner.
• Más eficacia a largo plazo: Estas vacunas buscan entrenar el sistema inmunológico a responder a una amenaza en general y no a un virus en particular por lo que probablemente no requerirán una revacunación en caso de mutaciones.
• Costos: Al tratarse de vacunas ya conocidas y sin patentes, su costo de producción y adquisición será más bajo.
• Mejor uso de los fondos públicos: En lugar de transferir fondos a un laboratorio extranjero, los gobiernos pueden fomentar su industria farmacéutica local.

El proyecto cuenta con una financiación de 10 millones de dólares. Esto parece ser suficiente para las pruebas y la infraestructura de vacunas individuales y combinadas hasta el final de los ensayos de fase 3 y, si se encuentra una que sirva, hasta la fabricación y comenzar la distribución. De todas formas, aceptan donaciones ya que cada ensayo cuesta un mínimo de 500 mil dólares.

Sin dar lugar a teorías conspirativas irresponsables, lo cierto es que cuando esta pandemia pase, la Organización Mundial de la Salud y los distintos gobiernos van a tener que responder a sus ciudadanos por la tardía e ineficiente gestión de la pandemia y por qué en la era del Big Data recurrieron a medidas medievales como el confinamiento masivo. En otro artículo escribí como las herramientas de código abierto ayudaban a combatir las falsas noticias y la eliminación de derechos en base al miedo.

También habrá que reformular a la profesión médica y a la industria farmacéutica. Y, no tengo dudas que la aplicación de los principios del código abierto constituye una mejor alternativa que medidas populistas que, de llevarse a cabo, generaran indemnizaciones que terminaremos pagando los contribuyentes.

from Linux Adictos https://ift.tt/3tCd6Wd
via IFTTT

Android sigue siendo el sistema operativo más empleado en los dispositivos móviles. Este sistema es de código abierto, pero incluye una serie de blogs binarios y también una considerable cantidad de servicios y aplicaciones preinstaladas para que sean funcionales. Estos servicios y apps son (véase GMS), por supuesto, las de Google. En cambio, algunas soluciones alternativas como /e/ OS te pueden permitir librarte de todo ello y hacer respetar aún más tu privacidad.

Aunque puedes descargar la ROM y dispone de un sencillo instalador, también puedes optar por comprar directamente el teléfono móvil con el sistema ya instalado, para que te sea mucho más fácil si no tienes conocimientos informáticos o simplemente buscas comodidad. Para ello, podrás encontrar algunos modelos en venta en su tienda online.

¿Qué es /e/ OS?

Si te preguntas qué es exactamente /e/ OS, es un sistema operativo para dispositivos móviles. Es de código abierto y gratuito, iniciado por el francés Gaël Duval, el también creador de la distribución Mandrake.

/e/ OS ha tomado como base Android, concretamente es una bifurcación del famoso LineageOS, sin blobs binarios y con un firmware personalizado por la fundación que sostiene este proyecto.

Sustituye las apps y servicios de Google, para que respete más tu privacidad. Para ello, hace uso del proyecto MicroG y los servicios de ubicación de Mozilla. Así puede sustituir a GMS. Además, se han incluido soluciones propias para suplir los huecos de la plataforma de correo electrónico, almacenamiento en la nube, y otras herramientas.

Por supuesto, es compatible con las apps favoritas que existen de forma nativa para Android, lo que abre sus posibilidades en cuanto a compatibilidad. Para poder descargar las apps tiene Fdroid, y otros repositorios, para sustituir a Google Play. También se ha implementado un sistema de catalogar las app en función de los permisos y rastreadores de cada una, para dar mayor información al usuario.

Por el momento se encuentra en fase Beta, pero ya es bastante funcional…

from Linux Adictos https://ift.tt/3xOQK77
via IFTTT

Investigadores de Cisco Talos dieron a conocer hace pocos dias una vulnerabilidad en el kernel de Linux que puede explotarse para robar datos y también servir como medio para poder escalar privilegios y comprometer el sistema.

La vulnerabilidad se describe como una «vulnerabilidad de divulgación de información que podría permitir a un atacante ver la memoria de la pila del kernel».

CVE-2020-28588 es la vulnerabilidad que se descubrió en la funcionalidad proc/pid/syscall de dispositivos ARM de 32 bits que ejecutan el sistema operativo. Según Cisco Talos, el problema se descubrió por primera vez en un dispositivo que ejecuta Azure Sphere.

Existe una vulnerabilidad de divulgación de información en la funcionalidad / proc / pid / syscall de Linux Kernel 5.1 Stable y 5.4.66. Más específicamente, este problema se ha introducido en v5.1-rc4 (comete 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) y todavía está presente en v5.10-rc4, por lo que es probable que todas las versiones intermedias se vean afectadas. Un atacante puede leer / proc / pid / syscall para activar esta vulnerabilidad, lo que provoca que el kernel pierda contenido de memoria.

Proc es un pseudo-sistema de archivos especial en sistemas operativos similares a Unix que se utiliza para acceder dinámicamente a los datos del proceso que se encuentran en el kernel. Presenta información sobre procesos y otra información del sistema en una estructura jerárquica similar a un archivo.

Por ejemplo, contiene subdirectorios /proc/[pid], cada uno de los cuales contiene archivos y subdirectorios que exponen información sobre procesos específicos, legibles mediante el uso del ID de proceso correspondiente. En el caso del archivo «syscall», es un archivo legítimo del sistema operativo Linux que contiene registros de las llamadas al sistema utilizadas por el kernel.

Para la empresa, los hackers podrían aprovechar la falla y acceder al sistema operativo y al archivo syscall a través de un sistema utilizado para interactuar entre las estructuras de datos del núcleo, Proc. La entrada syscall procfs podría explotarse si los hackers emiten comandos para generar 24 bytes en la memoria de pila no inicializada, lo que conduciría a una omisión de la aleatorización del diseño del espacio de direcciones del kernel (KASLR).

Al observar esta función específica, todo se ve bien, pero vale la pena señalar que el argsparámetro pasado vino desde la proc_pid_syscallfunción y, como tal, en realidad es de tipo __u64 args. En un sistema ARM, la definición de función convierte el tamaño de la argmatriz en elementos de cuatro bytes desde ocho bytes (ya que unsigned longen ARM son 4 bytes), lo que da como resultado que en memcpyse copie en 20 bytes (más 4 para args[0]).

De manera similar, para i386, donde unsigned longson 4 bytes, solo argsse escriben los primeros 24 bytes del argumento, dejando intactos los 24 bytes restantes.

En ambos casos, si miramos hacia atrás en la proc_pid_syscallfunción.

Mientras que en ARM de 32 bits e i386 solo copiamos 24 bytes en la argsmatriz, la cadena de formato termina leyendo 48 bytes de la argsmatriz, ya que la %llxcadena de formato tiene ocho bytes en los sistemas de 32 y 64 bits. Por lo tanto, 24 bytes de memoria de pila no inicializada terminan obteniendo salida, lo que podría conducir a una omisión de KASLR.

Los investigadores afirman que este ataque es «imposible de detectar de forma remota en una red» porque es la lectura de un archivo legítimo del sistema operativo Linux. «Si se usa correctamente, un hacker podría aprovechar esta filtración de información para explotar con éxito otras vulnerabilidades de Linux no parcheadas», dice Cisco.

Al respecto de ello Google dijo recientemente:

“Las fallas de seguridad de la memoria con frecuencia amenazan la seguridad de los dispositivos, especialmente las aplicaciones y los sistemas operativos. Por ejemplo, en el sistema operativo móvil Android también respaldado por el kernel de Linux, Google dice que descubrió que más de la mitad de las vulnerabilidades de seguridad abordadas en 2019 fueron el resultado de errores de seguridad de la memoria».

Por último y no menos importante se recomienda actualizar las versiones 5.10-rc4, 5.4.66, 5.9.8 del kernel de Linux, ya que se ha probado y se ha confirmado que esta vulnerabilidad puede aprovechar las siguientes versiones del kernel de Linux.

Finalmente si estás interesado en conocer más al respecto sobre la publicación, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/2PYzcnW
via IFTTT