Es uno de los paquetes que instalo en todas mis distribuciones Linux. No es un programa que te vaya a sacar de un apuro, a no ser que lo que urja sea ver cierta información con el logotipo de tu distribución en ASCII, pero mola. Y es lo que usamos muchos para mostrar qué distribución estamos usando en capturas de pantalla, o para demostrar que podemos tener una dentro de otra con software como Distrobox. De ahora en adelante habrá que plantearse más su uso, ya que Neofetch ha pasado a mejor vida.

El repositorio de Neofetch está ahora marcado como de sólo lectura. Su desarrollador ha decidido abandonar el proyecto, lo que significa que ya no recibirá más actualizaciones. Quizá, el principal problema de este abandono lo tengan los usuarios de distribuciones como Ubuntu, ya que el logotipo que muestra Neofetch es el anterior, el que tenía el círculo de amigos anterior a 2022.

Neofetch se nos abandona

La herramienta sigue funcionando, y disponible en la mayoría de distribuciones Linux – de hecho, todas las que me vienen a la cabeza -, y así será hasta que la eliminen. Mucho tienen que cambiar las cosas para que no pueda hacer su trabajo. Así que, como ya hemos mencionado y si nadie sigue con su desarrollo, el único problema que notaremos será en distribuciones que cambien el logotipo, pues no se van a actualizar éstos ni nada más.

Como alternativas, HyFetch es un fork que sigue en desarrollo activo que por defecto muestra los colores con la bandera LGTBI+, pero puede mostrar colores de la distro escribiendo neowofetch. Otra opción es screenfetch, muy parecida a las herramientas anteriores, que ha introducido cambios en su repositorio hace pocos días pero cuya última versión es de 2019.

Se elija lo que se elija, Neofetch, de momento, ha muerto.

from Linux Adictos https://ift.tt/5ZlSQYV
via IFTTT

A principios de abril empezó a circular la noticia de que ChatGPT ya se podía usar sin registro. Mucho se adelantó esta información, ya que sí, es una posibilidad desde hace semanas, pero no, no para todos. Yo aún tengo que usar mi cuenta, aunque últimamente lo estoy haciendo un poco menos. Mi buscador por defecto es el del pato, y entre los motivos que me hacen decantarme por él están unos !bangs a los que ya me he acostumbrado. Además, desde hace un tiempo ofrece lo que han bautizado como DuckDuckGo AI Chat.

El primer movimiento en dirección a la IA de DuckDuckGo fue DuckAssist. Si escribíamos una pregunta en la caja de búsqueda, muchas veces nos daba una respuesta directa, pero decidieron abandonar el proyecto. Tiempo después, lo que no han presentado a bombo y platillo es el DuckDuckGo AI Chat que no muchos conocen, quizá por esa falta de noticias, y combina lo mejor de ChatGPT con la filosofía privada de DuckDuckGo.

DuckDuckGo AI Chat: ChatGPT o Claude con mayor privacidad

Antes de seguir, quisiera decir que esta propuesta no depende sólo del chatbot de OpenAI. En realidad nos deja elegir entre ChatGPT o Claude, 3.5 Turbo y 1.2 Instant respectivamente en el momento de escribir este artículo. Para acceder al servicio hay que ir a este enlace, elegir un modelo y empezar a chatear. Si se usa el buscador del pato por defecto, también podemos escribir «!chat consulta», sin las comillas y sustituyendo «consulta» por nuestra petición, para iniciar una conversación casi directa. Y digo «casi» porque, por lo menos en la actualidad, el chat no empieza al instante; hay que darle a enviar. No sé si esto lo arreglarán en el futuro.

Y lo que veremos es algo como lo que aparece en al captura de cabecera. Es muy parecido a lo que vemos en ChatGPT, pero claro, como DDG no se guarda nada no tenemos un historial en el panel lateral. En ese apartado, el chatbot de DuckDuckGo nos indica qué modelo estamos usando, que tenemos la protección de privacidad activada y una sección para enviar comentarios y leer más información. Lo único especial en el lado del chat es el botón con el icono del fuego, que si hacemos clic sobre él desaparecerá la conversación.

Sin registro y con respuestas más precisas, pero aún en beta

DuckDuckGo AI Chat no requiere registro, y todo lo que hace lo hace ofreciendo resultados como lo hace su buscador. La principal diferencia entre el ChatGPT gratuito y el que está usando DuckDuckGo es que OpenAI sólo nos da acceso a GPT 3.5, mientras que DuckDuckGo nos permite usar GPT 3.5 Turbo. Es una evolución, y aunque las respuestas puedan parecer similares, en realidad tienen sus diferencias.

GPT 3.5 y anteriores son modelos que tratan de asistirnos, pero a veces falla al intentar aportar demasiada información. Que nadie me malinterprete: dar información no está mal, pero a veces es redundante; recibir una respuesta de 3 párrafos cuando podría quedarse en uno, es excesivo. Ahí, entre otras cosas, es en donde DuckDuckGo AI Chat queda mejor, aunque está en fase beta (y podría correr la misma suerte que DuckAssist…).

Y todo lo que estamos diciendo sobre ChatGPT también vale para Claude.

Desde mi punto de vista, la relativamente nueva propuesta de la compañía del pato es la mejor alternativa a ChatGPT y Claude de largo. Nos ofrece prácticamente lo mismo, pero sin registro. Lo único malo es para aquellos usuarios que quieran guardar las conversaciones, ya que no es posible en el chat de DDG. Si se necesita tener un registro de los chats, lo mejor será crearse una cuenta y usar las opciones oficiales. Lo máximo que ofrece DuckDuckGo en este sentido es un botón para copiar una respuesta, algo que, por lo general, debería ser suficiente.

Si esta no os parece buena, también podéis leer nuestro artículo sobre las mejoras alternativas a ChatGPT, en donde os hablamos de opciones de todo tipo, incluida alguna que nos permite chatear con bots que imitan a personajes famosos.

from Linux Adictos https://ift.tt/BuZ9zGO
via IFTTT

Hay muchas distribuciones Linux con desarrollo Rolling Release, pero no son tantas las que se toman en serio la parte de este tipo de desarrollo que dice que hay que subir los paquetes tan pronto en cuanto están disponibles. Por poner tres ejemplos, los tres con base Arch: EndeavourOS se esperó hasta la semana pasada para subir KDE 6 a su última ISO, Manjaro aún está probando los paquetes y Garuda Linux lo ha hecho hace unas horas.

En ambos casos, los tres si Manjaro lo lanza en los próximos días, se han esperado dos meses para dar el salto, algo totalmente comprensible. El proyecto más conservador de los tres – en su rama estable – es Manjaro, y suele retener las nuevas versiones de Plasma hasta que KDE ha lanzado al menos dos o tres actualizaciones de mantenimiento. Eso en los lanzamientos normales, pero es que el de KDE 6 – en el que se incluyen también KDE Gear 24.02 y subir a Qt6 – no es una actualización normal. Es enorme, y es más prudente tomar precauciones.

Novedades más destacadas de Garuda Linux «Birds of Prey»

En esta ISO, el equipo de desarrolladores de Garuda se ha centrado en la edición Dr460nized, lo que también incluye la versión Gamer. Al mismo tiempo, se han incluido varias mejoras para las ediciones Sway y Hyprland. El resto han recibido sobre todo actualizaciones de paquetes.

• KDE 6 en la edición Dr460nized. Lo más desafiante aquí ha sido no sólo subir de KDE 5 a KDE 6, ni no hacerlo también en una edición con una personalización tan particular como la de Garuda Linux.
• En la edición Sway:
  • el saludo Greetd se ha cambiado a ReGreet para una experiencia de inicio de sesión sencilla y limpia.
  • Se ha añadido SwayFX para mejorar los efectos visuales del escritorio.
  • Waybar se ha rediseñado para actualizar la apariencia y añadir funcionalidad, y nwg-drawer también ha recibido un lavado de cara.
  • La herramienta de captura de pantalla se ha cambiado a Swappy y el gestor del portapapeles se ha cambiado a Cliphist, con nuevos bindings para ambos.
  • La hoja de trucos ha sido completamente revisada para ayudar a los nuevos usuarios a orientarse.
  • Como novedad en esta versión, el terminal por defecto se ha cambiado a Foot y el lanzador a Fuzzel.
  • Por último, esta versión incluye un nuevo fondo de pantalla SGS.
• Para la edición Hyprland, hay un vídeo con las novedades, y pinta bien:

Otras novedades

• FireDragon está ahora basado en Floorp, un fork del navegador de Mozilla que algunos describen como «El Vivaldi de Firefox» porque introduce muchas opciones de personalización
• Mejoras en el repositorio Chaotic, como que ahora tiene una plantilla y funciona tanto con Gitlab CI como con GitHub Actions y permite nuevas funciones como: resolución de orden de construcción automática, gestión de paquetes de AUR y logs más bonitos, entre otras cosas.

Cambios generales del proyecto

• Retirada de la instancia Piped. Era uno de los servicios que ofrecían, y seguirá funcionando hasta que la falta de actualizaciones se lo impida.
• Los kernels Linux-tkg ya no se proporcionan en el repositorio Chaotic-AUR.
• Las imágenes ISO ahora se verifican automáticamente durante el proceso de arranque y se negarán a arrancar en caso de que estén rotas.
• Las diapositivas de Calamares fueron actualizadas para tener un aspecto más moderno.
• La edición Qtile ha sido abandonada.

Este Birds of Pray podría considerarse como el lanzamiento del cuarto aniversario de Garuda Linux, pues ese es uno de lo puntos que se incluyen en los cambios generales. En el pasado no se ponían de acuerdo sobre cuándo empezaron, pero parece que lo han debatido y esta semana han soplado cuatro velas.

Los usuarios interesados pueden descargar todas las ISOs disponibles desde las notas de esta lanzamiento, concretamente en este enlace. Yo mejor no le presto mucha atención, porque Garuda Linux es una distribución que me llama mucho la atención y es capaz de hacerme echar a perder mi instalación actual por hacer el cambio. Si vosotros estáis buscando algo nuevo que probar, Garuda Linux es una opción a tener en cuenta.

from Linux Adictos https://ift.tt/WaGc8Lo
via IFTTT

Tails es una distribución Linux diseñada para preservar la privacidad y el anonimato

The Amnesic Incognito Live System o mejor conocido como Tails, ha recibido recientemente la actualización de una nueva versión, «Tails 6.2» para ser exactos y en esta nueva versión que se presenta se han implementado mejoras en la interfaz de Tails Upgrader, asi como también que se amplía el soporte para más idiomas, se han implementado correcciones y más.

Para quienes desconocen de Tails, deben saber que esta es una distribucion de Linux que se centra en la privacidad y la anonimización en la red. Tails está diseñado para ser ejecutado desde un dispositivo de almacenamiento externo, como una memoria USB, sin necesidad de instalación, y utiliza herramientas y configuraciones específicas para priorizar la privacidad y seguridad de los datos del usuario.

Principales novedades de Tails 6.2

Tails 6.2 al igual que los anteriores lanzamientos «Tails 6.1 y Tails 6.0» cuenta con la base de Debian 12 «Bookworm» y el Kernel de Linux 6.2, pero con la diferencia de que la mayoría de los paquetes del sistema se han actualizado a versiones más recientes, tales el caso de Tor Browser que se actualizó a la versión 13.0.14 (basado en Firefox 115.10) y que implementa Tor actualizado a 0.4.8.11, permite a los usuarios decidir si cargan su página de inicio con una nueva identidad y que ahora muestra los idiomas de la aplicación ordenados correctamente.

Por la parte de las novedades que presenta, se destaca que la pantalla de bienvenida de Tails ahora cuenta con la capacidad de habilitar la localización para 21 idiomas adicionales, albanés, armenio, vasco, bengalí, búlgaro, estonio, gallego, islandés, japonés, kazajo, coreano, letón, malayo, nynorsk noruego, polaco, serbio, eslovaco, suajili, tailandés, ucraniano y vietnamita. La sección correspondiente en la pantalla de bienvenida ahora se llama «Idioma y formatos».

Ademas de ello, en la interfaz de Tails Upgrader, la opción para retrasar la instalación de actualizaciones («Realizar actualización más tarde») está habilitada de forma predeterminada, se ha ampliado la gama de errores que se reconocen cuando hay problemas al leer o escribir en unidades USB y tambien podremos encontrar que la sección de localización de la pantalla de bienvenida ha cambiado de nombre a «idioma y formatos».

Por otra parte, se han solucionado los problemas relacionados con la confiabilidad de Wi-Fi, se ha deshabilitado el procesamiento de claves SysRq y para mejorar la protección contra la vulnerabilidad Spectre v4, el parámetro «spec_store_bypass_disable=on» está habilitado de forma predeterminada, lo que ayuda a fortalecer la seguridad del sistema contra posibles riesgos.

De los demás cambios que se destacan:

• Thunderbird se actualizo a la version 115.20.
• tails-unblock-network: Termina udevadm trigger después de 120 segundos
• tails-unblock-network: Registrar el subsistema de todos los dispositivos
• tails-unblock-network: No omite subsistema rfkill
• Ahora se omiten todos los subsistemas no relacionados con la red conocidos
• Sincronizar solo el sistema de archivos relevante
• Se simplificó tails-unblock-network
• Se deshabilitó el caché de sombreado NVIDIA en navegadores
• Ahora se detectan los errores de SquashFS y de E/S mientras Tails está en funcionamiento
• Se optimizó el código
• Refactorizacion de código para obtener dispositivo de arranque
• Se eliminaron los errores de detección de partición
• Nuevamente se usa el  script is-file-type en bin/test-utils/ruff
• Detectar fallas de E/S en la(s) partición(es) de Tails.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar Tails 6.2

Si quieres probar o instalar esta nueva versión de esta distribución de Linux en tu equipo, puedes obtener la imagen del sistema la cual ya está disponible desde su página web oficial en su sección de descargas, en enlace es este. La imagen que se obtiene desde la sección de descargas es una imagen ISO de 1 GB capaz de funcionar en modo en vivo.

¿Cómo actualizar a la nueva versión de Tails 6.2?

Para aquellos usuarios que tengan instalada una versión anterior de Tails y quieren realizar la actualización a esta nueva versión, pueden realizar directamente siguiendo las instrucciones de este enlace. Podrán hacer uso de su dispositivo USB que utilizaron para instalar Tails, pueden consultar la información para llevar este movimiento en su ordenador en el siguiente enlace. 

from Linux Adictos https://ift.tt/gstQT14
via IFTTT

Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Los investigadores de Binarly Research dieron a conocer recientemente, la detección de una vulnerabilidad antigua en Lighttpd que está presente en dispositivos como los BMC de AMI, incluyendo productos de Lenovo e Intel. Se menciona que esta vulnerabilidad permite a un atacante no autenticado leer de manera remota el contenido de la memoria del proceso que respalda la interfaz web.

La vulnerabilidad ha estado presente en el firmware desde el año 2019 y se origina en el uso de una versión desactualizada del servidor HTTP Lighttpd, que contiene una vulnerabilidad sin corregir y que su presencia de momento afecta a plataformas de servidores de Lenovo e Intel.

Sobre la vulnerabilidad

Se menciona que la gravedad de la vulnerabilidad radica en que esta permite la lectura de memoria fuera del búfer asignado, originada por un error en el código de combinación de encabezados HTTP al especificar múltiples instancias del encabezado «If-Modified-Since».

Al procesar la segunda instancia del encabezado, Lighttpd asignaba un nuevo búfer para contener el valor combinado y liberaba el búfer que contenía el valor del primer encabezado. Sin embargo, el puntero con->request.http_if_modified_since no se actualizaba y seguía apuntando al área de memoria ya liberada.

La situación se agrava debido a que este puntero se empleaba en operaciones que comparaban el contenido del encabezado If-Modified-Since, y el resultado de estas comparaciones influía en la generación de distintos códigos de retorno. Por lo tanto, un atacante podía, mediante fuerza bruta, inferir el nuevo contenido de la memoria que antes ocupaba el primer búfer. Esta vulnerabilidad puede combinarse con otras para, por ejemplo, determinar el diseño de la memoria y eludir mecanismos de seguridad como ASLR (Aleatorización del Espacio de Direcciones).

vulnerabilidad en Lighttpd fue descubierta y corregida en 2018, pero no se asignó una CVE

La corrección para esta vulnerabilidad se implementó en el código base de Lighttpd en 2018, específicamente en la versión 1.4.51. Sin embargo, esta corrección no recibió un identificador CVE y no se publicó un informe detallando la naturaleza de la vulnerabilidad. La nota de la versión mencionaba correcciones de seguridad, pero se centraba en una vulnerabilidad en mod_userdir relacionada con el uso de caracteres como «..» y «.» en el nombre de usuario.

El equipo de Binarly REsearch dirigió la divulgación coordinada de esta vulnerabilidad a los PSIRT de Intel y Lenovo. Ambos se negaron a arreglar o reconocer el informe de vulnerabilidad porque los productos asociados recientemente alcanzaron el estado de fin de vida y ya no recibirán correcciones de seguridad.

Llamamos a esto los errores para siempre que perseguirán la cadena de suministro de software durante mucho tiempo. Decidimos documentar esta falla de seguridad de la cadena de suministro de software para ayudar al ecosistema a recuperarse de estos fallas de seguridad de firmware repetibles.

Aunque la lista de cambios también señalaba un problema en el procesamiento de encabezados HTTP, los desarrolladores del firmware no incluyeron esta corrección en el producto. Ademas las empresas han mencionado que no tienen planes de lanzar actualizaciones de firmware debido a que los productos que utilizan estos firmwares han alcanzado el final de su período de soporte, además de considerar que la gravedad de la vulnerabilidad es baja.

Las plataformas que actualmente son afectadas por la vulnerabilidad son: Intel M70KLP y Lenovo HX3710, HX3710-F y HX2710-E (la vulnerabilidad está presente, entre otras cosas, en las últimas versiones de firmware Lenovo 2.88.58 e Intel 01.04.0030). Además, se informa que la vulnerabilidad en Lighttpd también afecta al firmware de equipos Supermicro, así como a servidores que emplean controladores BMC de Duluth y ATEN.

Además de la vulnerabilidad en Lighttpd, el informe menciona otras vulnerabilidades críticas, como la Heap Out-of-bounds read (CWE-125) en el módulo Lighttpd utilizado en dispositivos Intel, así como vulnerabilidades en el Intel M70KLP BMC firmware y servidores Lenovo HX3710, HX3710-F y HX2710-E BMC firmware.

Finalmente, cabe mencionar que en el informe Binarly Research destaca la necesidad de una divulgación responsable de las vulnerabilidades detectadas, así como la colaboración con fabricantes y partes relevantes (como Intel y Lenovo), para mitigar riesgos, ya que la presencia de «bugs eternos» en dispositivos que están llegando al fin de su ciclo de vida no es algo nuevo y es necesario ofrecer a los usuarios la capacidad de poder implementar parches o soluciones por su cuenta, esto claro cuando el fabricante indique que ha finalizado por su parte el soporte.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/0h9lXjY
via IFTTT

DTrace

DTrace es un framework de rastreo y monitoreo completo y dinámico desarrollado para diagnosticar problemas en el kernel y aplicaciones en sistemas de producción en tiempo real. Inicialmente creado para Solaris, DTrace ha sido portado a otros sistemas operativos tipo Unix.

DTrace fue desarrollado para apoyar a los administradores de sistemas en la resolución de problemas de seguimiento dinámico en el kernel y las aplicaciones finales en el sistema operativo Solaris y es compatible con kernels de Linux estándar que admitan BPF. Para su funcionamiento, requiere la biblioteca libctf compatible con el formato de depuración CTF incluida en el paquete binutils o la biblioteca libdtrace-ctf, portada desde Solaris.

Esta herramienta permite a los administradores del sistema y a los desarrolladores:

• Monitoreo del sistema: DTrace proporciona al usuario información detallada sobre el uso de recursos como del equipo, como lo es el CPU, la memoria y el almacenamiento, lo que permite identificar cuellos de botella y mejorar la eficiencia del sistema.
• Depurar problemas de rendimiento: Permite identificar y diagnosticar problemas de rendimiento en tiempo real, lo que facilita la resolución de problemas y la optimización del sistema.
• Optimizar el funcionamiento: Al proporcionar información detallada sobre el comportamiento de las aplicaciones, DTrace permite a los desarrolladores optimizar el rendimiento de sus programas y mejorar la eficiencia del sistema en general.

Hasta hace algunos años Oracle brindo el soporte de DTrace para Linux y la herramienta se ofrece como una implementación de un proceso de espacio de usuario que utiliza el subsistema eBPF y los mecanismos de seguimiento estándar proporcionados por el kernel de Linux. En términos de funcionalidad, esta implementación de DTrace basada en eBPF se asemeja a la primera versión de DTrace para Linux, que estaba implementada como un módulo de kernel.

Sobre DTrace 2.0.0-1.14

Actualmente, DTrace se encuentra en su versión 2.0.0-1.14 se distribuye en forma de dos parches opcionales para el kernel 6.7 que permiten utilizar funciones avanzadas para obtener datos adicionales sobre los módulos y el kernel, ademas el proveedor pid, utilizado para rastrear procesos en el espacio del usuario, ahora cuenta con soporte para rastrear la ejecución de instrucciones según su desplazamiento en el código.

Cuenta con soporte para utilizar las funciones stack() y ustack() para agregar datos recopilados, capacidad de eliminar elementos de cualquier tipo de matrices asociativas asignando el literal 0, facilitando la gestión de datos en matrices.

DTrace 2.0.0-1.14 ofrece una gama de opciones para diferentes aspectos del sistema, incluyendo contadores de rendimiento de la CPU, límites de funciones, bloqueos, ciclo de vida de procesos y se ha incluido una nueva acción de impresión para generar datos estructurados con anotaciones de tipo, mejorando la presentación de los resultados del seguimiento.

Ademas de ello permite realizar agregaciones de datos de trazado y ejecutar acciones basadas en los resultados con las nuevas funciones integradas cleanpath(), d_path() y link_ntop() y se ha proporcionado la capacidad de guardar datos de seguimiento del proceso (USDT) entre reinicios de dtprobed, asegurando la continuidad del seguimiento incluso después de reinicios.

Por otra parte, también se destaca que se ha añadido el parámetro «-xcpu», que permite vincular comprobaciones a CPU específicas, se ha introducido la opción «-xlockmem» para limitar el tamaño de la memoria utilizada, optimizando el rendimiento del sistema.

Se ha añadido soporte para el mecanismo BTF, que proporciona información de verificación de tipos en pseudocódigo BPF y ahora es posible utilizar el script de configuración para construir, simplificando el proceso de configuración y personalización del kit de herramientas de depuración.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Obtener DTrace

Para los interesados en la herramienta, deben saber que Oracle ofrece los paquetes de espacio de usuario x86_64 y aarch64 DTrace prediseñados para Oracle Linux 9 (kernel UEK7), Oracle Linux 8 (kernel UEK7 o UEK6) y Oracle Linux 7 (kernel UEK6).

Mientras que para las demás distribuciones, debes de contar con una serie de dependencias, las cuales puedes consultar en este enlace y que son necesarias antes de que compiles el código fuente por tu cuenta.

from Linux Adictos https://ift.tt/6e7NIVl
via IFTTT

Tux-hacker

El incidente en XZ sin dudas dejará una huella la cual será recordada durante muchos años y es que, como mencione en su momento en uno de los artículos donde compartimos el seguimiento del incidente, «el trabajo realizado por Jia Tan es uno de los mejores ejemplos de ingeniería social aplicada» y que será la base de muchos otros intentos y casos que se lleguen a dar a conocer a futuro.

Esto es algo que tienen muy en claro en este momento tanto desarrolladores, como proyectos y fundaciones, y que a pesar de los grandes esfuerzos y cambios que lleguen a implementar, existen muchos paquetes y proyectos que carecen de personal y los mantenedores que tienen pueden caer en algo similar a lo que le sucedió a XZ.

Estos casos ya se han comenzado a dar y la OpenSSF (Open Source Security Foundation, una entidad creada bajo los auspicios de la Fundación Linux para mejorar la seguridad del software de código abierto) ya ha comenzado a notar este tipo de actividad, pues hace poco emitió una advertencia a la comunidad sobre actividades preocupantes relacionadas con intentos de tomar el control de proyectos populares de código abierto.

En un incidente similar al ataque a xz, se descubrió que individuos desconocidos previamente en el desarrollo de código abierto intentaron manipular y controlar proyectos de software de código abierto. Estos individuos utilizaron métodos de ingeniería social para comunicarse con miembros del consejo de gobierno de la Fundación OpenJS, una plataforma neutral para el desarrollo de proyectos de JavaScript.

Estos individuos incluía a desarrolladores externos con historiales dudosos en el desarrollo de código abierto. En sus mensajes, intentaban persuadir a la gerencia de OpenJS sobre la necesidad urgente de actualizar uno de los proyectos populares de JavaScript. Alegaron que la actualización era necesaria para agregar protección contra vulnerabilidades críticas, aunque no proporcionaron detalles específicos sobre estas vulnerabilidades.

Para implementar los cambios propuestos, el desarrollador sospechoso ofreció incluirse entre los mantenedores del proyecto, a pesar de haber tenido un rol limitado en el desarrollo hasta ese momento. Además, se detectaron casos similares de intentos sospechosos de introducir código en otros dos proyectos JavaScript populares no asociados con OpenJS.

Es por ello que la OpenSSF (Open Source Security Foundation) y OpenJS (OpenJS Foundation) han emitido una advertencia a todos los desarrolladores y mantenedores de proyectos open source, a estar atentos a los siguientes patrones sospechosos que podrían indicar un intento de tomar el control del proyecto.

¿Cómo proteger tu proyecto open source?

La OpenSSF menciona que debido a la naturaleza colaborativa que hay en los proyectos open source, esto hace que sean propensos a una serie de vulnerabilidades que los atacantes pueden aprovechar, es por ello que comparte una lista de las vulnerabilidades más comunes que aprovechan los atacantes para aplicar la ingería social:

Patrones sospechosos en los intentos:

• Dependencias desactualizadas: Una de las vulnerabilidades más comunes es el uso de dependencias desactualizadas.

• Comportamiento amistoso pero agresivo y persistente: Un miembro de la comunidad relativamente desconocido busca perseguir al mantenedor o a la entidad que lo aloja (fundación o empresa).

• Solicitud para ser elevado de rango: Personas nuevas o desconocidas solicitan ser ascendidas sin tener un historial significativo de contribuciones al proyecto.

• Respaldo de otros miembros desconocidos de la comunidad: Los atacantes pueden utilizar identidades falsas para respaldar sus solicitudes y generar una falsa sensación de confianza.

• Pull Requests: Los archivos maliciosos pueden estar ocultos dentro de archivos binarios o blobs, dificultando su detección.

• Código fuente intencionadamente ofuscado o difícil de entender: El objetivo es dificultar la revisión del código y ocultar posibles vulnerabilidades.

• Escalada gradual de los problemas de seguridad: El atacante puede comenzar introduciendo vulnerabilidades menores para luego escalar a problemas más graves.

• Desviación de las prácticas típicas de compilación, construcción e implementación del proyecto: Estas desviaciones pueden permitir la inserción de código malicioso en los binarios.

• Falsa sensación de urgencia: El atacante puede crear un ambiente de urgencia para presionar al maintainer a realizar una revisión superficial del código.

Estos ataques de ingeniería social buscan aprovecharse del sentido del deber que tienen los mantenedores con sus proyectos y comunidades para manipularlos, ya que al generar una presión sobre la introduccion de cambios, solución de vulnerabilidades o dar una mayor confianza a algún miembro de una forma muy insistente, hacen que la persona o personas a cargo terminen por ceder antes de verificar o realizar las pruebas pertinentes.

Si estas interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/1RNncqM
via IFTTT

Hoy 25 de abril estaba marcado en el calendario como el día del lanzamiento de Ubuntu 24.04, y lo sabíamos desde el pasado octubre. Es una nueva versión LTS, y su nombre en clave es «Noble Numbat». Ubuntu es un sistema operativo y ya son 11 los sabores oficiales. Aunque la versión principal usa su nombre sin ningún apellido, todas son «Ubuntu», pero cada una tiene su propia personalización y en ella su razón de ser y existir.

Las betas estuvieron disponibles desde hace dos semanas, con siete días de retraso por el problema con XZ. Con aquello ya solucionado y la fecha caída, ya se pueden descargar todos los sabores oficiales, o podremos hacerlo pronto. Aunque suelen sincronizarse los lanzamientos, siempre es posible que uno de los equipos tarde algo más en subir las imágenes ISO o actualizar su página web, pero nosotros no vamos a esperar más y vamos a publicar las novedades más destacadas de cada sabor.

Novedades compartidas de Ubuntu 24.04 Noble Numbat

Como acabamos de explicar, Ubuntu es el sistema operativo del que parten todos los sabores oficiales, y por lo tanto son lo mismo en su corazón. Entre las novedades que comparten todos los sabores oficiales, encontramos:

• Linux 6.8 de Núcleo.
• Soportado durante más tiempo, 5 años la versión principal y 3 el resto (si no deciden cambiar nada).
• Python 3.12.
• Firefox 125.
• Thunderbird 115.9.0. Ahora sólo se ofrece la versión snap.
• LibreOffice 24.2.2.
• systemd v255.4.
• AppAmour 4.0.
• Netplan v1.0.
• GCC 14.
• binutils 2.42.
• glibc 2.39.
• OpenJDK  21.
• LLVM 18.
• Rust  1.75.
• Golang 1.22.
• .NET 8.

Para no alargar este artículo más de la cuenta, enlazamos a artículos relacionados en muchos de los puntos. Las descargas están/estarán disponibles desde sus páginas web oficiales, en el cdimage de Ubuntu y en los botones que hay al pié de cada bloque.

Novedades de Ubuntu 24.04

La edición principal es la que desarrolla Canonical más directamente, y usa el escritorio GNOME. Las novedades más destacadas son:

• Nuevo instalador. Entre otras cosas, ahora hay una pantalla para configurar opciones de accesibilidad (más imágenes en nuestro artículo sobre la beta).

• GNOME 46.
• El centro de software ahora es Apps Center o Centro de Aplicaciones. Se ha actualizado con respecto a la versión anterior, entre otras cosas con un nuevo icono. Sigue sin soportar paquetes flatpak (nunca lo hará…).
• El cajón de aplicaciones tiene ahora el logotipo de Ubuntu.
• Muchos ajustes y mejoras de rendimiento.
• Muchas mejoras en la interfaz de usuario y nuevos elementos visuales.
• Mayor compatibilidad con el cifrado de discos.
• Optimización del uso de memoria.
• Monitor del sistema adaptado a GTK 4.
• Funciones avanzadas para el sistema de archivos ZFS.
• Mejoras en la integración de contenedores y la nube.

Página web oficial.

Kubuntu 24.04: mismo Plasma, más estabilidad

Kubuntu 24.04 es quizá el sabor con menos novedades de todos. El motivo es que KDE se mantuvo en Plasma 5.27 desde febrero de 2023 hasta febrero de 2024, momento en el que lanzaron Plasma 6.0. Noble Numbat es una versión LTS, y sería muy arriesgado usar un escritorio con cambios mayores en el que aún se están corrigiendo muchos bugs. Por lo tanto, y por tercera vez consecutiva, usa Plasma 5.27.

Entre el resto de novedades, la mayoría son las compartidas por todos los sabores, pero hay una realmente destacada: ha pasado a usar Calamares como instalador.

Página web oficial.

Xubuntu 24.04 presenta nueva ISO «minimal»

Xubuntu 24.04 incluye muchas novedades, como una nueva ISO «minimal» con sólo lo esencial. Además:

• Soportado durante 5 años, hasta 2027.
• XFCE 4.18, lo que se queda con la mayoría de mejoras. También incluye componentes de GNOME 46, GTK 2.24.33/3.24.41/4.14.1 y MATE 1.26.
• Pipewire (y wireplumber) están ahora incluidos en Xubuntu.
• Mosaic, el puzzle para rellenar cuadrículas, ha sido añadido a SGT Puzzles.
• MenuLibre, el editor de menús amigable con Xfce, ha sido actualizado con varias mejoras de calidad de vida. El nuevo editor de comandos elimina las conjeturas a la hora de generar complejos lanzadores de aplicaciones. Los cuadros de diálogo de ayuda facilitan el aprendizaje de cada función compatible. Los separadores se muestran en la lista de aplicaciones para facilitar su visualización y reordenación.
• Mejoras visuales, entre lo que se incluye temas actualizados.

Página web oficial.

Lubuntu 24.04 estrena temas opcionales

Lubuntu 24.04 llega con novedades relacionadas al escritorio, LXQt 1.4.0, pero también con algo más. Al iniciar el modo Live, nos consultará qué idioma queremos usar y si queremos conectarnos a una red WiFi. El instalador, que sigue siendo Calamares, ofrece ahora tres opciones: una básica sin escritorio ni snapd (barebone), una normal con un set de aplicaciones del proyecto y una instalación completa que incluye también software como Element, Thunderbird o Krita.

Entre el resto de novedades:

• Nuevo icono del escritorio para el instalador.
• Mejoras en el gestor de Blueetooth.
• Editor de configuración de SDDM.
• Nuevos temas opcionales (en X hay una muestra).
• Mejoras de experiencia en el gestor de energía, algo que está en desarrollo.
• Actualizado el icono de la batería.

Página web oficial.

Ubuntu Budgie 24.04: nuevo escritorio mirando hacia Wayland

Muchas novedades en Ubuntu Budgie 24.04, sobre todo teniendo en cuenta que las notas de su lanzamiento recogen todos los cambios introducidos desde 22.04. Lo más destacado es que ahora usa Budgie 10.9, nueva versión del escritorio que da más pasitos hacia Wayland. Entre otras novedades relacionadas al escritorio:

• Muchas mejoras en applets y mini-apps.
• Nuevo icono en el lanzador de apps.
• Cambios en el centro de Control, con la posibilidad de compartir la pantalla eliminada por cambios en GNOME, soporte para escalado fraccional mejorado y ahora se muestra la tasa de refresco de pantalla en BCC Displays.
• Rediseñado el applet de Bluetooth.
• Mejoras en el applet del espacio de trabajo.
• El applet del reloj ya no muestra un enlace a una aplicación de calendario.
• Remodelación completa del tema incorporado Budgie.
• El icono de la lista de tareas ya no admite aplicaciones no agrupadas.
• El widget Reproductor multimedia tiene ahora un diseño más compacto.
• Ahora puedes hacer clic en los iconos de la cabecera del widget de salida y entrada de sonido para silenciar el dispositivo correspondiente.
• Ahora puedes desactivar los nombres de los días en el widget Calendario.
• Ahora hay un nuevo widget de Raven llamado Monitor de uso. Se trata de un widget minimalista que muestra el uso de CPU, RAM y Swap.
  Las notificaciones se ordenan de más antiguas a más recientes.
• Budgie Desktop ahora incluye una capacidad nativa de captura de pantalla – busque el icono en el menú – o simplemente pulse imprimir pantalla / alt imprimir pantalla etc etc.

La imagen para Raspberry Pi no llega a tiempo, habrá que esperar.

Página web oficial.

Ubuntu MATE 24.04: heredando un poco más de GNOME

La edición MATE de Noble Numbat llega con MATE 1.26.2 y, además de los cambios compartidos:

• Nuevo instalador.
• GNOME Firmware sustituye a Firmware Updater.
• App Center pasa a ser la tienda de software, que sustituye a Software Boutique.
• Eliminado Ubuntu MATE Welcome
• Celluloid 0.26.
• Evolution 3.52.

Página web oficial.

Ubuntu Unity 24.04: nuevo instalador y preparando ISO con Lomiri

Este Ubuntu Unity 24.04 compite con Kubuntu 24.04 para ver quién introduce menos novedades. Bromas aparte, sigue usando Unity 7.7, en parte porque se han centrado más en la imagen con Lomiri. No llegó a tiempo en 23.10, y parece que tampoco lo hará para Noble Numbat. Sí hay una para probar en este enlace, y pronto escribiremos un artículo hablando de esa opción.

Lo que sí han hecho ha sido cambiar el instalador y pasar a usar Calamares. Si mis cuentas no me fallan, son ya 4 los sabores que reniegan del instalador de Canonical.

Página web oficial.

Ubuntu Cinnamon 24.04 con la versión más nueva del escritorio.

Ubuntu Cinnamon 24.04 llega con Cinnamon 6.0.4, como novedad más destacada. Además, ahora usa el instalador basado en Flutter.

Página web oficial.

Ubuntu Studio 24.04: mismo escritorio, experiencia multimedia renovada

La edición Studio también se ha visto afectada por la ausencia de actualizaciones en Plasma, pero en este caso no importa tanto. La razón de ser de Ubuntu Studio es sus metapaquetes multimedia, y este Numbat llega con (puede que algo más actualizado en las últimas horas):

• Se ha continuado con las mejoras en PipeWire y ahora se puede usar en entornos profesionales. La versión es 1.0.4.
• Ardour 8.4.0
• Qtractor 0.9.39
• OBS Studio 30.0.2
• Audacity 3.4.2
• digiKam 8.2.0
• Kdenlive 23.08.5
• Krita 5.2.2

Página web oficial.

Edubuntu 24.04 estrena nueva imagen para Raspberry Pi 5

Edubuntu 24.04 llega con el mismo GNOME 46 que la edición principal. De hecho, es básicamente Ubuntu con metapaquetes para la educación, pero en este Noble Numbat hay algún cambio más. Por ejemplo, que el color de acento ha pasado del rojo anterior a uno más morado cerca del berenjena.

Entre otras novedades:

• Imagen para Raspberry Pi 5. No se menciona nada de versiones anteriores, pero podría funcionar en la RPi4. Las pruebas sólo se han hecho con la RPi5.
• Nuevo metapaquete para la educación musical.
• Nuevas aplicaciones incluidas:
  • Gradebook: una manera de controlar las notas para estudiantes.
  • Incluidas en el metapaquete de las herramientas de enseñanza:
    • qzw: una herramienta de construcción de crucigramas avanzada.
    • Auto Multiple Choice: un generador de tests de respuestas múltiples.
  • Incluido en el metapaquete de la educación musical:
    • fmit: un afinador.
    • gnome-metronome: un metrónomo.
    • Solfege: una herramienta de entrenamiento de oído.
    • Pianobooster: herramienta para enseñar piano con opción para MIDI.

Página web oficial.

Ubuntu Kylin 24.04

Actualizaremos este artículo con la información relacionada cuando publiquen la nota oficial. Al estar destinado al público chino, suelen publicarla en un horario diferente.

Página web oficial.

A disfrutarlos

Las actualizaciones desde el sistema operativo se activarán pronto, a no ser que se esté en una versión LTS, cuya activación se hará más adelante. Ahora que ya están disponibles, a disfrutarlos.

.boton {color: white; background-color: grey; padding: 20px; font-size: 2rem; text-decoration: none; border-radius: 10px; position: relative; top: 15px; border: 4px solid #555;}.boton:hover {box-shadow:1px 1px 2.5px black !important;}

from Linux Adictos https://ift.tt/sErD7LU
via IFTTT

El Ubuntu Unity 24.04 de hoy no incluye muchas novedades. Se mantiene en Unity 7.7, y los cambios se reducen a actualizar los paquetes que comparte toda la familia Noble Numbat. Uno de los motivos es que están desarrollando una nueva opción, actualmente con el nombre de Ubuntu Lomiri 24.04, que usaría la versión «de Unity» que está disponible en dispositivos móviles. Es lo que en un principio se conocía como Unity8, pero que UBports decidió renombrar porque era un tanto diferente y porque Lomiri es más fácil de pronunciar.

Lo cierto es que hay muy poca información sobre Ubuntu Lomiri 24.04 y el proyecto en general. Si se menciona en las notas de lanzamiento de Ubuntu Unity 24.04, en parte para reconocer que es el principal culpable de las pocas novedades de esa versión. A diferencia de lo que había disponible en el pasado, esta es una ISO más estable que se puede probar en hardware real. Sintiéndolo mucho, es algo que no he podido hacer, pero sí en GNOME Boxes para echarle un primer vistazo.

Ubuntu Lomiri 24.04 ya es lo suficientemente estable como para instalarlo en hardware real

Mi principal queja con la ISO de Ubuntu Lomiri 24.04, siempre teniendo en cuenta que yo la he probado en una máquina virtual, es que Lomiri no tiene un apartado para ajustar la resolución de la pantalla. Se supone que la recoge del hardware, y esto no lo respeta en GNOME Boxes. Por todo lo demás, es una opción a tener en cuenta, sobre todo por su fluidez.

Lomiri está diseñado pensando en dispositivos móviles, y como los equipos de escritorio son más potentes, lo mueven con más soltura.

No está todo traducido al español, eso también hay que decirlo. Pero es que está claro que es software en desarrollo. Hay carencias, como una tienda de software, pero si imaginamos un futuro en el que el sistema operativo esté más avanzado, es fácil pensar que esta será una opción para resucitar equipos de recursos limitados.

Poco más podemos decir sin poder probarlo en hardware real. El que esté interesado en catarlo, puede descargar la ISO de prueba desde el siguiente botón.

.boton {color: white; background-color: grey; padding: 20px; font-size: 2rem; text-decoration: none; border-radius: 10px; position: relative; top: 15px; border: 4px solid #555;}.boton:hover {box-shadow:1px 1px 2.5px black !important;}

from Linux Adictos https://ift.tt/QJ3o9Bd
via IFTTT

En un principio, el navegador Vivaldi no se diseñó pensando en el consumo de recursos. No, porque prioriza las funciones al rendimiento… ¿O priorizaba? Lo cierto es que hoy han hecho público el lanzamiento de Vivaldi 6.7, y la novedad más destacada que incluye es una función que hiberna de forma automática pestañas inactivas, lo que reduce el consumo de recursos del navegador. Es justo algo que esperaba como agua de mayo, aunque mi equipo tenga RAM de sobra.

El hecho es que mi Vivaldi va bien, pero en alguna ocasión he notado que podría ir mejor. En el pasado he tenido algún cierre inesperado, y es probable que tuviera que ver con el consumo de recursos. También lo notó un compañero de diseño web hace años, quien se encontró con un consumo excesivo que no notaba en Brave. Todo esto debería estar solucionado en Vivaldi 6.7, la segunda versión de 2024 tras la v6.6.

Nueva opción para hibernar pestañas en Vivaldi 6.7

Hasta ahora, yo usaba un atajo de teclado (Alt+ . ) para hibernar las pestañas en segundo plano, pero es algo que no siempre recordaba. La nueva opción permite configurar un liberador de memoria dependiendo de un tiempo de inactividad. Por ejemplo, podemos configurar que cualquier pestaña que no haya recibido atención en una hora se hiberne. Cuando nos movamos a una de ellas, volverá a cargar.

La otra función más destacada de Vivaldi 6.7 es una mejora para el lector de fuentes, más concretamente su detección. Ahora es más receptivo con las fuentes, y podemos seguir subreddits o usuarios de reddit, así como lanzamientos de repositorios de GitHub. No os miento cuando digo que esto es algo que no esperaba y me vendrá bien. Por poner algunos ejemplos, yo sigo proyectos como FreeTube, Spotube, EmulatorJS o RetroDeck, y ahora ya no tendré que entrar a GitHub para enterarme de los cambios.

Entre el resto de novedades, se ha mejorado y facilitado la creación de espacios de trabajo, ahora es posible exportar contraseñas y fuentes y se ha añadido soporte para la vista dividida de macOS.

Vivaldi 6.7 está disponible desde hace unos instantes y ya se puede descargar desde su página web oficial.

Imagen: Vivaldi.

kbd {color: white; background-color: #353535; padding:3px 5px; border-radius: 7px; border: 4px double white;}

from Linux Adictos https://ift.tt/H4taCBp
via IFTTT