Hace poco se dio a conocer la liberación de la nueva versión de DentOS 2.0 en la cual se incluye compatibilidad con los sistemas arm64 y amd64 y MAC/ASiC de Marvell y Mellanox, mejoras de compatibilidad y más.

Para quienes desconocen de este sistema, deben saber que está basado en el kernel de Linux y diseñado para equipar switches, enrutadores y equipos de red especializados. El desarrollo se lleva a cabo con la participación de Amazon, Delta Electronics, Marvell, NVIDIA, Edgecore Networks y Wistron NeWeb (WNC). Inicialmente, el proyecto fue fundado por Amazon para equipar equipos de red en su infraestructura.

Sobre DentOS

Para administrar la conmutación de paquetes en DentOS, se utiliza el subsistema SwitchDev del kernel de Linux, que le permite poder crear controladores para conmutadores Ethernet que pueden delegar el reenvío de tramas y el procesamiento de paquetes de red a chips de hardware especializados.

El relleno de software se basa en la pila de red estándar de Linux, el subsistema NetLink y herramientas como IPRoute2, tc (control de tráfico), brctl (control de puente) y FRRouting , así como VRRP (protocolo de redundancia de enrutador virtual), LLDP (capa de enlace). Discovery Protocol) y MSTP (Multiple Spanning Tree Protocol).

El entorno del sistema se basa en la distribución ONL (Open Network Linux), que a su vez utiliza la base del paquete Debian GNU/Linux y proporciona un instalador, configuraciones y controladores para ejecutar en los conmutadores.

ONL está desarrollado por el proyecto Open Compute y es una plataforma para crear dispositivos de red especializados que admiten la instalación en más de cien modelos de conmutadores diferentes. Incluye controladores para interactuar con indicadores utilizados en interruptores, sensores de temperatura, enfriadores, buses I2C, GPIO y transceptores SFP.

Para la gestión, puede utilizar las herramientas IpRoute2 e ifupdown2, así como gNMI (interfaz de gestión de red gRPC). Los modelos de datos YANG (Yet Another Next Generation, RFC-6020 ) se utilizan para definir la configuración.

Principales novedades de DentOS 2.0

En esta nueva versión, ademas de la compatibilidad con los sistemas ya mencionados en el inicio, tambien podremos encontrar que se añadió el soporte de compatibilidad con NAT-44 y NA(P)T para la traducción de direcciones (NAT) del rango interno a direcciones públicas a nivel de puertos ordinarios (capa 3, capa de red) y puertos VLAN (puentes de red) en el conmutador.

Tambien se destaca que se agregó la compatibilidad con controladores PoE (alimentación a través de Ethernet) para la administración de alimentación a través de Ethernet.

Ademas de que se han realizado cambios para mejorar el rendimiento y la escalabilidad de las configuraciones de firewall, asi como tambien mejoras en la gestión de recursos basada en ACL.

Por otra parte, tambien se destaca que se proporcionó la capacidad de conectar controladores personalizados para configurar el aislamiento de puertos.

De los demás cambios que se destacan de esta nueva versión de DentOS 2.0:

• Se agregó soporte para banderas para reconocer direcciones IP locales (intranet).
• Proporciona opciones para configurar interfaces de red 802.1Q (VLAN) y enrutar el tráfico a través de ellas.
• Los paquetes IpRoute2 e Ifupdown2 se utilizan para la configuración.
• Basado en «devlink «, se implementa una API para obtener información y cambiar los parámetros del dispositivo, se implementa soporte para contadores de trampas locales y paquetes caídos.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace. El código DentOS está escrito en C y se distribuye bajo la Licencia Pública de Eclipse.

Descargar y obtener dentOS 2.0 Beeblebrox

Para quienes estén interesados en poder probar este sistema, deben saber que se encuentra disponible para conmutadores basados ​​en Marvell y Mellanox ASIC con hasta 48 puertos de 10 gigabits.

Ademas de que se admite el trabajo con varios ASIC y chips de procesamiento de datos de red, incluidos Mellanox Spectrum , Marvell Aldrin 2 y Marvell AC3X ASIC con la implementación de tablas de reenvío de paquetes de hardware.

Las imágenes de DentOS listas para instalar están preparadas para las arquitecturas ARM64 (257 MB) y AMD64 (523 MB) y se pueden obtener las imágenes del sistema desde el siguiente enlace.

from Linux Adictos https://ift.tt/C251dBL
via IFTTT

Siempre se piensa que los proyectos más importantes en cuanto al código abierto son los programas, el software. Pero siempre se nos olvida algo más vital incluso, y que sin ello no serían posible todos esos otros proyectos (Linux, Apache, LibreOffice, WINE, Firefox, KDE Plasma, etc.). Me refiero a las bibliotecas de las que depende todo ese software, de hecho, son piezas críticas, ya que si faltan o si tienen cualquier problema, pueden devastar multitud de proyectos (véanse casos como el sabotaje a una de estas bibliotecas o el impacto de la vulnerabilidad en log4j).

Por este motivo, el LISH o Laboratorio para la Ciencia de la Innovación de Hardvard, en colaboración con la OpenSSF de la Linux Foundation, han realizado un estudio exhaustivo de la importancia de las bibliotecas de código abierto. Unas bibliotecas que se emplean para multitud de proyectos de código abierto y software libre, además de estar presentes en sistemas de producción de miles de empresas en todo el mundo.

En el estudio se tomó una amplia muestra de multitud de empresas que dieron datos. Y no solo con el objetivo de conocer las bibliotecas más populares, sino también ayudar a blindar esos proyectos por su importancia., tanto desde el punto de vista de la dependencia que se tiene de ellas como desde el punto de vista de la seguridad, ya que cualquier vulnerabilidad en alguna de ellas afectaría a miles de sistemas (bancos, escuelas, empresas, gobiernos, hospitales, industria, vehículos, hogares,…).

Además, en este estudio la Universidad de Harvard ha destacado la necesidad de:

• Tener nombres estandarizados.
• Simplificar la complejidad para el control de versiones.
• Gran parte de los proyectos de bibliotecas FOSS a veces dependen de unas cuantas personas o de una sola persona. Y, en muchas ocasiones, sin recursos.
• Mejorar la seguridad.
• Limpiar el software heredado en el espacio de código abierto. Ejecutar proyectos demasiado toscos y antiguos supone un riesgo.

Más información – Ver PDF del informe 1

Más información – Ver PDF del informe 2

from Linux Adictos https://ift.tt/B4S2mYE
via IFTTT

Si te gustan los videojuegos entretenidos pero nada espectaculares, como el buscaminas, solitario, e incluso el dinosaurio T-rex de Chrome, etc., seguro que te gusta poner algo de acción Arcade en tu distro GNU/Linux con este videojuego de KDE. Se llama Bomber y sin duda es ameno, de código abierto y gratuito.

Un videojuego Arcade single-player y sin necesidad de conexión a Internet para jugar offline. En él tienes que manejar un avión que sobrevuela ciudades. Tu misión en Bomber es ir destruyendo todos los edificios que están bajo el avión. Una vez destruidos todos, podrás avanzar al siguiente nivel. Cada pantalla irá agregando más y más dificultad.

Bomber se une a la inmensa lista que KDE Games tiene: KMines, KSnakeDuel, KSudoku, Kiriki, LsKat, KPatience, Kbounce, Granatier, KGoldrunner, Kolor Lines o Klines, KBlocks, Bovo, KTuberling, KBreakout, Kapman, Knights, Kubrick, KBlackbox, KShinsen, KSquares, Palapeli, y un largo etc.

En Bomber verás que la dinámica es muy simple y fácil de jugar, a la par que adictiva. Tendrás que ir sobrevolando ciudades a las que invades para destruir todos los edificios. La dificultad está en que el avión va disminuyendo la altura de forma progresiva, y con cada nivel se aumenta la velocidad del avión y la altura de los edificios.

Bomber te recordará en algunos aspectos a algunos clásicos del pasado, juegos retro como Galaga o Galaxian, pero invirtiendo el control, ya que en este caso se mueve la nave y no los enemigos. Además, como dato adicional, deberías saber que en este videojuego creado por John-Paul Stanford, puedes usar pieles o skins para variar el aspecto de este juego.

Recuerda que lo puedes instalar desde los repos de tu distro, o también lo puedes encontrar en algunas tiendas de apps como el Centro de Softwre de Ubuntu para instalar en un solo clic. Y no solo funciona en entornos KDE Plasma, también en otros…

Más información sobre Bomber – Sitio oficial de KDE

from Linux Adictos https://ift.tt/eRHKbzY
via IFTTT

Si te gustan los videojuegos entretenidos pero nada espectaculares, como el buscaminas, solitario, e incluso el dinosaurio T-rex de Chrome, etc., seguro que te gusta poner algo de acción Arcade en tu distro GNU/Linux con este videojuego de KDE. Se llama Bomber y sin duda es ameno, de código abierto y gratuito.

Un videojuego Arcade single-player y sin necesidad de conexión a Internet para jugar offline. En él tienes que manejar un avión que sobrevuela ciudades. Tu misión en Bomber es ir destruyendo todos los edificios que están bajo el avión. Una vez destruidos todos, podrás avanzar al siguiente nivel. Cada pantalla irá agregando más y más dificultad.

Bomber se une a la inmensa lista que KDE Games tiene: KMines, KSnakeDuel, KSudoku, Kiriki, LsKat, KPatience, Kbounce, Granatier, KGoldrunner, Kolor Lines o Klines, KBlocks, Bovo, KTuberling, KBreakout, Kapman, Knights, Kubrick, KBlackbox, KShinsen, KSquares, Palapeli, y un largo etc.

En Bomber verás que la dinámica es muy simple y fácil de jugar, a la par que adictiva. Tendrás que ir sobrevolando ciudades a las que invades para destruir todos los edificios. La dificultad está en que el avión va disminuyendo la altura de forma progresiva, y con cada nivel se aumenta la velocidad del avión y la altura de los edificios.

Bomber te recordará en algunos aspectos a algunos clásicos del pasado, juegos retro como Galaga o Galaxian, pero invirtiendo el control, ya que en este caso se mueve la nave y no los enemigos. Además, como dato adicional, deberías saber que en este videojuego creado por John-Paul Stanford, puedes usar pieles o skins para variar el aspecto de este juego.

Recuerda que lo puedes instalar desde los repos de tu distro, o también lo puedes encontrar en algunas tiendas de apps como el Centro de Softwre de Ubuntu para instalar en un solo clic. Y no solo funciona en entornos KDE Plasma, también en otros…

Más información sobre Bomber – Sitio oficial de KDE

from Linux Adictos https://ift.tt/eRHKbzY
via IFTTT

Después de tres años después del último lanzamiento, se dio a conocer el lanzamiento de la nueva versión del reproductor multimedia «MPlayer 1.5», en la cual los cambios en la nueva versión se reducen a la integración de las mejoras agregadas durante los últimos tres años a FFmpeg (el código base está sincronizado con la rama maestra de FFmpeg), ademas de que se incluye una copia del nuevo FFmpeg en la distribución base de MPlayer, lo que elimina la necesidad de instalar dependencias al compilar.

Para quienes desconocen de MPlayer, deben saber que este es un reproductor multimedia multiplataforma el cual reproduce la mayoría de los archivos, además de que puede reproducir VideoCD, SVCD, DVD, 3ivx y DivX/Xvid 3/4/5.

Al igual que la mayoría de los reproductores multimedia modernos, este también trae la opción para subtítulos, soportando 14 formatos diferentes (MicroDVD, SubRip, SubViewer, Sami, VPlayer, RT, SSA, AQTitle, JACOsub, VobSub, CC, OGM, PJS y MPsub).

Algunas de las principales características de MPlayer son:

• Admite una amplia gama de archivos de video, audio y subtítulos
• Admite una serie de controladores de salida
• Basado en ffmpeg de código abierto
• Puede guardar todo el contenido transmitido en un archivo
• Aceleración de hardware VDPAU para H.265/HEVC
• Soporte de TV y DVB
• mejoras en la GUI
• código abierto y multiplataforma

Principales novedades de MPlayer 1.5

En esta nueva versión que se presenta de MPlayer 1.5 se destaca que se agregó el soporte multilingüe a la GUI, con lo cual ahora es posible la elección del idioma para el texto en la interfaz se elige en función de la variable de entorno LC_MESSAGES o LANG.

Otro de los cambios que se destaca de esta nueva versión, esta se agregó la opción «–enable-nls» para habilitar la compatibilidad con idiomas en tiempo de ejecución (de manera predeterminada, la compatibilidad con idiomas solo está habilitada en el modo GUI todavía).

Ademas de ello se ha agregado un estilo de skin incorporado que permite usar la GUI sin instalar archivos de estilo, ademas de que en la interfaz, se solucionó el problema con la configuración incorrecta del tamaño de la ventana después de regresar del modo de pantalla completa.

Por otra parte, al compilar para la arquitectura ARM, las extensiones que se ofrecen de manera predeterminada están habilitadas (por ejemplo, Raspbian no usa instrucciones NEON de manera predeterminada y debe especificar explícitamente la opción «–enable-runtime-cpudetection» al compilar para habilitar todas las funciones de la CPU).

De los demás cambios que se destacan de esta nueva versión:

• Se eliminó el soporte para el decodificador ffmpeg12vpdau, reemplazado por dos componentes separados ffmpeg1vpdau y ffmpeg2vdpau.
• En desuso y deshabilitado por el decodificador live555 predeterminado.
• Se proporcionó borrar la pantalla después de cambiar al modo de pantalla completa al usar el controlador de salida a través del servidor X.
• Se agregó la opción «-fs» (similar a la configuración load_fullscreen) para abrir en modo de pantalla completa.
• El controlador de salida OpenGL proporciona un estilo correcto en los sistemas X11.

Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión liberada, puedes consultar los detalles en el siguiente enlace.

¿Como instalar MPlayer en Linux?

Para quienes estén interesados en poder instalar este reproductor multimedia en su sistema, pueden hacerlo siguiendo las instrucciones que compartimos a continuación.

Para quienes son usuarios de Ubuntu o cualquier otra distribucion basada o derivada de esta, pueden realizar la instalación ejecutando el siguiente comando:

sudo apt install mplayer mplayer-gui

Para el caso de los que son usuarios de Arch Linux, Manjaro, Arco Linux o cualquier otra distribucion basada en Arch Linux, pueden realizar la instalación abriendo una terminal y ejecutando el siguiente comando:

sudo pacman -S mplayer-gui

Ahora para el caso de los que son usuarios de Fedora y derivados de esta, la instalación la pueden realizar tecleando:

sudo dnf install mplayer mencoder

Finalmente cabe recordar que MPlayer es esencialmente un reproductor CLI (línea de comandos) por lo cual para poder reproducir tus archivos debes de ejecutar el siguiente comando:

mplayer <ruta_al_archivo_de_video>

De igual forma, puedes encontrar una GUI mínima del reproductor en tu menú de aplicaciones.

from Linux Adictos https://ift.tt/aHWZuTI
via IFTTT

Hace poco se dio a conocer el lanzamiento de la nueva versión de la distribucion de Linux «Armbian 22.02», en la cual se han realizado una serie de cambios que mejoran algunos aspectos de la distribucion, pero que los desarrolladores quisieron aprovechar para dar a conocer diversos factores que van entorno con el desarrollo de la distribucion.

Para quienes desconocen de Armbian deben saber que es una distribución de Linux que proporciona un entorno de sistema compacto para una variedad de computadoras de placa única basadas en ARM.

Para la formación de compilaciones se utilizan los paquetes base de Debian 11 y Ubuntu 21.04, pero el entorno está completamente reconstruido utilizando su propio sistema de compilación con la inclusión de optimizaciones para reducir el tamaño, aumentar el rendimiento y aplicar mecanismos de protección adicionales.

Principales novedades de Armbian 22.02

En esta nueva versión que se presenta de la distribucion, los desarrolladores compartieron en la nota del lanzamiento algunos aspectos relacionados con la distribucion y uno de ellos es que octubre del año pasado habían lanzado una petición de ayuda a la comunidad y a la cual en el anuncio expresan su agradecimiento:

La respuesta en general ha sido positiva. Ya hemos actualizado y hecho pública la nueva lista (anteriormente interna) de Mantenedores de la Junta .

Nos gustaría extender nuestro más sincero agradecimiento a todas las personas que se han ofrecido para contribuir con su valioso tiempo, energía y otros recursos al proyecto. Realmente significa mucho para nosotros y son cosas como esa las que realmente nos ayudan a superar todos los demás desafíos.

Sin embargo, como puede ver, todavía hay bastantes espacios en blanco en la tabla vinculada anterior. Y también quedan varios puestos vacantes por cubrir.

Por lo tanto, sentimos que este ha sido un buen comienzo , sin embargo, también creemos que aún tenemos mucho camino por recorrer antes de que nuestro proyecto pueda ser realmente sostenible a largo plazo. Tenemos algunas ideas adicionales en ese sentido, que nos gustaría desarrollar en las próximas secciones.

Por la parte de los cambios y mejoras que se realizaron en esta nueva versión de Armbian 22.02 se destaca por ejemplo que se implementó la capacidad de generar compilaciones actualizadas continuamente basadas en paquetes de Debian Sid (inestable) además de compilaciones basadas en Debian 11.Ademas de que tambien ahora se ofrecen compilaciones preparadas basadas en el próximo lanzamiento de Ubuntu 22.04.

Por otra parte, se destaca que se implementaron compilaciones estables y continuamente actualizadas para placas x86 y ARM usando UEFI basado en el gestor de arranque Debian/Ubuntu Grub en lugar de u-boot. Con lo cual esta versión es la primera en incluir compatibilidad con UEFI, tanto para arm64 y x86, ademas de que no incluye DTB, sino que se basa en el funcionamiento del firmware UEFI proporcionado por el proveedor.

Ademas se ha confirmado en arm64 que la versión funciona en algunas placas y servidores UEFI. Algunos proveedores de SBC también ofrecen emulación UEFI para el firmware de su proveedor, por lo que podría ser una buena alternativa para las placas u-boot.

Tambien podremos encontrar en Armbian 22.02 que se agregaron compilaciones de 64 bits específicamente optimizadas para placas Raspberry Pi y que tambien se han mejorado las pruebas de compilación en sistemas de integración continua.

Por otra parte, se destaca que se ha introducido un nuevo marco para conectar extensiones al sistema de ensamblaje ( Extensions Build Framework).

Finalmente si estás interesado en poder conocer un poco más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.

Descargar Armbian

Para quienes estén interesados en poder descargar la nueva versión de esta distribución para su dispositivo, podrán hacerlo directamente desde la página de descarga de en donde podremos encontrar un listado de todas las computadoras basadas en ARM en las que se ejecuta la distribución.

En cuanto a la herramienta que puedes utilizar para grabar la imagen del sistema, puedes hacer uso de Etcher la cual es una herramienta multiplataforma o directamente en Linux desde la terminal con ayuda del comando DD o alguna que ustedes consideren pertinente.

El enlace de descarga es este.

from Linux Adictos https://ift.tt/PtGfmE0
via IFTTT

Durante el proceso de la discusión por parte de los desarrolladores del Kernel de Linux sobre el tema de un conjunto de parches para corregir las vulnerabilidades de Spectre en el código para trabajar con listas enlazadas, quedó en claro para muchos desarrolladores que el problema podría resolverse con más facilidad si se permitiera en el kernel código C que se ajuste a una versión más nueva del estándar. 

Y es que actualmente el código agregado al Kernel de Linux debe cumplir con la especificación ANSI C (C89), que se formó en 1989.

Es por ello que el problema relacionado con Spectre en el código se debió a que se siguió usando un iterador definido por separado después del ciclo.

A pesar de su naturaleza generalmente rápida, el proyecto kernel se basa en una serie de herramientas antiguas. Si bien a los críticos les gusta enfocarse en el uso extensivo del correo electrónico por parte de la comunidad, un anacronismo posiblemente más significativo es el uso de la versión de 1989 del estándar de lenguaje C para el código del kernel, un estándar que fue codificado antes de que el proyecto del kernel comenzara hace más de 30 años. Parece que esa práctica de larga data podría llegar a su fin tan pronto como el kernel 5.18, que se espera para mayo de este año.

Se menciona que se usa una macro para iterar sobre los elementos de la lista vinculada, y dado que el iterador de ciclo se pasa a esta macro, se define fuera del bucle mismo y permanece disponible después del bucle. El uso del estándar C99 le permitiría a los desarrolladores poder definir variables para el bucle en el bloque for(), lo que resolvería el problema sin inventar soluciones alternativas.

Desafortunadamente, hay varias ubicaciones en el kernel donde la lista
iterator se usa después del ciclo que se rompe con tal cambio. Afortunadamente
existe el script use_after_iter.cocci que se puede usar para identificar tales
ubicaciones de código. Tuve que adaptar un poco el guión ya que reduce las falsas
positivos en el caso de uso original, pero esos son relevantes para este parche.

Una gran variedad de ubicaciones de códigos informados solo usan el iterador de lista después de
el ciclo si hubo una salida anticipada (break/goto) y por lo tanto no son
pertinente.

Por su parte, Linus Torvalds estuvo de acuerdo con la idea de poder implementar el soporte para las especificaciones más nuevas y ademas de ello sugirió moverse en el kernel 5.18 para usar el estándar C11, publicado en 2011.

Despues de ello, durante la verificación preliminar, el montaje en GCC y Clang en el nuevo modo pasó sin desviaciones. A menos que surjan problemas imprevistos debido a pruebas más exhaustivas, los scripts de compilación del kernel 5.18 cambiarán la opción ‘–std=gnu89’ a ‘–std=gnu11 -Wno-shift-negative-value’.

A Linus Torvalds no le gustó mucho el parche y no vio cómo se relacionaba con las vulnerabilidades de ejecución especulativa. Sin embargo, después de que Koschel explicara más la situación, Torvalds estuvo de acuerdo en que «este es solo un error normal, simple y llanamente» y dijo que debería solucionarse independientemente de la serie más grande. Pero luego se adentró en la fuente real del problema: que el iterador pasado a las macros de recorrido de lista debe declararse en un ámbito fuera del bucle mismo:

La razón principal por la que puede ocurrir este tipo de error no especulativo es que históricamente no teníamos «declarar variables en bucles» al estilo C99. Así que list_for_each_entry() – y todos los demás – fundamentalmente siempre filtran la última entrada HEAD fuera del ciclo, simplemente porque no pudimos declarar la variable iteradora en el ciclo mismo.

También cabe mencionar que se consideró la posibilidad de utilizar el estándar C17, pero en este caso sería necesario aumentar la versión mínima soportada de GCC, ya que la inclusión de soporte para C11 se ajusta a los requisitos actuales para la versión GCC (5.1).

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/KEA0uyn
via IFTTT

Hace poco se dio a conocer la noticia de que fue identificada una vulnerabilidad en el kernel de Linux y la cual ya está catalogada bajo CVE-2022-0847 y a la cual han nombrado como «Dirty Pipe».

Esta vulnerabilidad bautizada como «Dirty Pipe»permite sobrescribir el contenido de la caché de la página para cualquier archivo, incluidos aquellos en modo de solo lectura, abiertos con el indicador O_RDONLY o ubicados en sistemas de archivos montados en modo de solo lectura.

En el aspecto práctico, la vulnerabilidad podría usarse para inyectar código en procesos arbitrarios o dañar datos en archivos abiertos. Por ejemplo, puede cambiar el contenido del archivo authorized_keys para el proceso sshd.

Sobre Dirty Pipe

Es similar a la vulnerabilidad crítica Dirty COW identificada en 2016 y se menciona que Dirty Pipe está al mismo nivel que Dirty COW en términos de peligro, pero que esta es mucho más fácil de operar.

Dirty Pipe se identificó durante el análisis de quejas sobre daños periódicos a archivos descargados a través de la red en un sistema que descarga archivos comprimidos de un servidor de registro (37 daños en 3 meses en un sistema cargado), que se prepararon utilizando la operación splice() y pipes sin nombre.

La vulnerabilidad se ha estado manifestando desde la version del kernel de Linux 5.8, lanzado en agosto de 2020.

Visto de otra manera podemos decir que está presente en Debian 11 pero no afecta el kernel base en Ubuntu 20.04 LTS, mientras que para los núcleos RHEL 8.x y openSUSE/SUSE 15 que se basan originalmente en ramas antiguas, pero es posible que el cambio que causa el problema se haya transferido a ellos (aún no hay datos exactos).

La vulnerabilidad se debe a la falta de inicialización del valor «buf->flags» en el código de las funciones copy_page_to_iter_pipe() y push_pipe(), a pesar de que la memoria no se borra cuando se asigna la estructura, y con ciertas manipulaciones con conductos sin nombre, «buf->flags» puede contener un valor de otra operación. Con esta característica, un usuario local sin privilegios puede lograr la apariencia del valor PIPE_BUF_FLAG_CAN_MERGE en la bandera, lo que le permite sobrescribir datos en la memoria caché de la página simplemente escribiendo nuevos datos en una tubería sin nombre especialmente preparada (pipe).

Para que un ataque pueda ser realizado, se necesita de un archivo de destino que debe ser legible y dado que los derechos de acceso no se verifican al escribir en una canalización, se puede realizar un reemplazo en el caché de la página, incluso para archivos ubicados en particiones de solo lectura (por ejemplo, para archivos c CD -ROM).

Con ello, después de reemplazar la información en el caché de la página, el proceso, al leer los datos del archivo, no recibirá los datos reales, sino los reemplazados.

Se menciona que la operación de Dirty Pipe se reduce a crear una tubería sin nombre y llenarla con datos arbitrarios para lograr la configuración de la bandera PIPE_BUF_FLAG_CAN_MERGE en todas las estructuras de anillo asociadas con ella.

A continuación, los datos se leen de la tubería, pero el indicador permanece establecido en todas las instancias de la estructura pipe_buffer en las estructuras de anillo pipe_inode_info. Luego, se realiza una llamada a splice() para leer los datos del archivo de destino en una tubería sin nombre, comenzando en el desplazamiento requerido. Al escribir datos en esta tubería sin nombre, el indicador PIPE_BUF_FLAG_CAN_MERGE sobrescribirá los datos en el caché de la página en lugar de crear una nueva instancia de la estructura pipe_buffer.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en la nota original en el siguiente enlace.

Ademas, si estás interesado en poder seguir o conocer sobre la publicación de actualizaciones de paquetes en las principales distribuciones, puedes hacerlo desde estas páginas: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.

Se menciona que la corrección de vulnerabilidad propuesta, esta disponible en las versiones del Kernel de Linux 5.16.11, 5.15.25 y 5.10.102 y la solución también está incluida en el kernel utilizado en la plataforma Android.

from Linux Adictos https://ift.tt/CNRTjua
via IFTTT

Se acaba de dar a conocer el lanzamiento de la nueva versión de Firefox 98 en la cual podremos encontrar que se modificó el comportamiento al descargar archivos: en lugar de mostrar un aviso antes de iniciar la descarga, los archivos ahora comienzan a descargarse automáticamente y se muestra una notificación en el panel cuando la descarga ha comenzado.

A través del panel, el usuario puede en cualquier momento recibir información sobre el proceso de descarga, abrir el archivo descargado durante la descarga (la acción se realizará después de que se complete la descarga) o eliminar el archivo.

En la configuración, es posible habilitar un mensaje para cada inicio y definir una aplicación predeterminada para abrir archivos de un tipo determinado.

Otro cambio que podremos encontrar en esta nueva versión de Firefox 98 es que se agregaron nuevas acciones al menú contextual que se muestra al hacer clic derecho en los archivos en la lista de descargas. Por ejemplo, al usar la opción «Abrir siempre archivos similares», se puede permitir que Firefox abra automáticamente un archivo después de que se complete la descarga en una aplicación asociada con el mismo tipo de archivo en el sistema.

También se puede abrir el directorio con los archivos descargados, ir a la página desde la que se inició la descarga (no la descarga en sí, sino el enlace de descarga), copiar el enlace, eliminar la mención de la descarga del historial de navegación y borrar la lista en el panel de descargas.

Por otra parte, se destaca para algunos usuarios que se ha cambiado el motor de búsqueda predeterminado. Por ejemplo, la compilación del navegador en inglés, en lugar de Google podremos encontrar a DuckDuckGo que ahora se habilita a la fuerza de forma predeterminada. Al mismo tiempo, Google se mantuvo entre los buscadores como opción y se puede activar por defecto en los ajustes.

La razón para forzar un cambio en el motor de búsqueda predeterminado es la imposibilidad de continuar proporcionando controladores para algunos motores de búsqueda debido a la falta de un acuerdo oficial (permiso formal). El acuerdo con Google para transferir el tráfico de búsqueda duró hasta agosto de 2023 y generó alrededor de 400 millones de dólares al año, que es la mayor parte de los ingresos de Mozilla.

Ademas, tambien podremos encontrar un panel de compatibilidad agregado a las herramientas de desarrollo web. El panel muestra indicadores que le advierten sobre posibles problemas con las propiedades CSS del elemento HTML seleccionado o de toda la página, lo que le permite determinar incompatibilidades con diferentes navegadores sin probar la página por separado en cada navegador.

¿Como instalar o actualizar la nueva versión de Firefox en Linux?

Los usuarios de Firefox que no hayan desactivado las actualizaciones automáticas recibirán la actualización automáticamente. Aquellos que no quieran esperar a que eso suceda pueden seleccionar Menú> Ayuda> Acerca de Firefox después del lanzamiento oficial para iniciar una actualización manual del navegador web.

La pantalla que se abre muestra la versión actualmente instalada del navegador web y ejecuta una búsqueda de actualizaciones, siempre que la funcionalidad esté habilitada.

Otra opción para actualizar, es si eres usuario de Ubuntu, Linux Mint o algún otro derivado de Ubuntu, puedes instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.

Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y 
sudo apt-get update
sudo apt install firefox

Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:

sudo pacman -Syu

O para instalar con:

sudo pacman -S firefox

Finalmente para aquellos que prefieren del uso de los paquetes Snap, podrán instalar la nueva versión en cuanto sea liberada en los repositorios de Snap.

Pero pueden obtener el paquete directamente desde el FTP de Mozilla. Con ayuda de una terminal tecleando el siguiente comando:

wget https://ftp.mozilla.org/pub/firefox/releases/98.0/snap/firefox-98.0.snap

Y para instalar el paquete solo tecleamos:

sudo snap install firefox-98.0.snap

Finalmente, pueden obtener el navegador con el último método de instalación que fue añadido «Flatpak». Para ello deben contar con el soporte para este tipo de paquetes.

La instalación se hace tecleando:

flatpak install flathub org.mozilla.firefox

Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.

from Linux Adictos https://ift.tt/Y5EBcPm
via IFTTT

Estamos muy acostumbrados a hablar sobre soluciones de seguridad basadas en software, como los antivirus, firewall, IDS, programas de cifrado, 2FA, etc. Sin embargo, para algunos usuarios, la seguridad basada en hardware está algo más en la sombra, pese a que podrían ser soluciones más potentes y fáciles de implementar en algunos casos.

Por eso he dedicado este artículo especialmente a dar a conocer esas soluciones de hardware para la seguridad que puedes usar en casa o en la empresa:

Este artículo estará orientado a soluciones con periféricos y dispositivos (HSM), no soluciones de hardware built-in, como puedan ser TEE, TPM 2.0, sensores de huellas integrados, etc.

Llaves U2F

Las llaves U2F son baratas, y es un tipo de sistema de doble autenticación basado en hardware. Para poder usar este dispositivo USB, lo único que debes hacer es conectarlo a tu PC como harías con un pendrive, solo que la primera vez generará un número aleatorio para generar distintos hashes que se usarán para iniciar sesión en las plataformas o servicios vinculados.

Cuando tengas que iniciar sesión en ese servicio, lo único que tienes que hacer es conectar la llave USB en el puerto y esperar a que el navegador lo reconozca y verifique. De esta forma, otras personas sin tener este dispositivo no podrán acceder a tu cuenta incluso si saben la contraseña.

Estas llaves suelen ser compatibles con los principales navegadores web, como Mozilla Firefox, Google Chrome, Opera, etc., así como algunos servicios conocidos, como los de Google (GMAIL, Docs, Adsense,…), Dropbox, GitHub, Facebook, etc.

Si te animas a comprar alguna de estas llaves USB, aquí tienes algunas recomendaciones (importante que cuenten con certificado FIDO2):

Firewall por hardware

Un firewall, o cortafuegos, es un sistema de defensa que bloquea el acceso no autorizado de la red, o permite las comunicaciones autorizadas por el usuario o administrador del sistema. Pues bien, además de los basados en software, también los hay basados en hardware.

Estos dispositivos pueden ser interesantes para empresas y servidores, pudiendo configurarlos de forma similar a un router, desde una interfaz web usando el navegador. Además, al estar colocado entre Internet y el router, todos los dispositivos conectados a dicho router estarán protegidos, sin necesidad de tener que configurar cada uno.

Estos dispositivos se pueden encontrar en forma más compacta, similar a un router, para la casa, o para rack para servidores. Algunas recomendaciones son:

• Para el hogar:

• Para la empresa:

• Para servidor (rack):

Router VPN y VPN Box

Como sabes, una VPN (Virtual Private Network) te permite crear un canal cifrado para navegar de forma más segura por Internet. Además, evitará que tus datos de navegación puedan ser accesibles por el ISP, podrás acceder a contenido bloqueado en tu zona cambiando la IP a la de otro país, mejorará tu anonimato, etc. Muchos de estos servicios se pueden usar mediante apps cliente, sin embargo, habría que instalar dichas apps en cada uno de los dispositivos que conectas a una red para que todos estén bajo la protección de la VPN.

• Mejores servicios VPN

Una solución es usar un router VPN/box que permita configurar estos servicios (ExpressVPN, NordVPN, VyperVPN, CyberGhost, Surfshark, IPVanish…) y así todos los dispositivos que conectes a él estarán protegidos (dispositivos móviles, smart TV, consolas, PCs, IoT, etc.). Incluso si no existía app cliente para esa plataforma.

Algunas recomendaciones de routers buenos para usar con VPN:

Shellfire también tiene la VPN Box, que son automáticos y auto-configurados para facilitar las cosas a usuarios sin conocimientos técnicos:

Hardware de cifrado

El cifrado suele ser una tarea algo «pesada» para el hardware. Sin embargo, existen tarjetas o dispositivos de hardware para cifrado que asisten al software. Estos sistema implementan un procesador dedicado para esto, lo que puede ser una ventaja. Los hay basados en chips ARM, en x86, también en formato tarjetas PCI, llaves USB para cifrar los datos, etc.

Algunas de las soluciones más prácticas para tener tus datos cifrados son las llaves USB y discos duros externos que tienen sistema de cifrado built-in.  Aquí puedes encontrar algunas recomendaciones como:

También dispones de NAS con cifrado por hardware incluido, para tener tu «nube» privada y segura, como:

Hardware de tokens PKI

Los tokens de PKI son dispositivos de hardware que almacenan claves privadas y certificados digitales de forma segura. Cuando se necesite cifrar, descifrar, o la firma para algún tipo de servicio, trámite, etc., puedes usar estos dispositivos de forma segura.

En el mercado puedes encontrar varias de estas soluciones, como las de Thales Group, Macroseguridad, las de Microcosm, etc.

También tienes a tu alcance algunos lectores de SmartCards o tarjetas inteligentes, así como para el DNI electrónico para realizar operaciones online. Algunos de estos dispositivos recomendados son:

Acelerador SSL/TLS

Los aceleradores SSL/TSL por hardware son dispositivos que también contribuyen a la seguridad, y que podrás encontrar en varios formatos, como las tarjetas de expansión PCI, además de para instalar en los racks. Una forma de descargar a la CPU de este trabajo, ya que se dedicará a ello este otro componente. No obstante, estos sistemas no se usan en el ámbito doméstico ni en pequeñas empresas, sino en servidores.

Sistema de pago seguro por hardware

Estos sistemas de pago seguro por hardware tampoco tienen demasiado sentido en el hogar, pero sí para algunas organizaciones, empresas, etc. Estos sistemas HSM son dispositivos que mejoran la seguridad y son resistentes a la manipulación que se pueda usar en el sector de la banca minorista. Así proporciona altos niveles de protección para claves de cifrado, PIN del cliente usados en emisiones de tarjetas de banda magnética y chip EMV (o similares), etc. Algunos proveedores de este tipo de soluciones son Thales, PayCore, servicios como el de MyHMS, etc.

Wallet o monedero para criptomonedas

Wallet, o cartera, billetera, monedero virtual, oc omo lo quieras llamar, es un sistema para almacenar y gestionar tus activos en criptomonedas. Se puede implementar por software o también por hardware, diseñado de forma exclusiva para almacenar las claves públicas y privadas de tus criptodivisas.

Algunas recomendaciones de compra son:

Sensores biométricos

Existen varios tipos de sensor biométrico para mejorar la seguridad por hardware, y que pueden sustituir a métodos de acceso con las credenciales convencionales (nombre de usuario y contraseña) por el reconocimiento de parámetros biométricos únicos en cada persona. Por ejemplo, existen algunos como:

• Sensores de huellas dactilares.
• Reconocimiento facial.
• Reconocimiento de iris.
• Reconocimiento de voz.
• Geometría de la mano.
• Verificación de firma.

Pueden servir para varias aplicaciones, desde acceder a un servicio o iniciar sesión, hasta para abrir puertas, etc. Es decir, no solo pueden ayudarte a mejorar la seguridad en lo digital, sino también a nivel físico o perimetral. Algunos aparatos que te pueden interesar son:

Candado Kensington y similares

El famoso candado Kensington es un conector de seguridad que se puede insertar en un pequeño orificio incluido en algunos modelos de portátiles y cuyo fin es evitar el robo de estos dispositivos. Se usa para anclar una cerradura y fue diseñado y fabricado por Kensington Computer Productos. Actualmente, existen otras marcas que ofrecen soluciones similares.

Poco a poco han ido apareciendo otras soluciones para otros equipos, desde PCs de sobremesa, hasta dispositivos móviles como tablets o smartphone.

Algunas recomendaciones de compra son:

Otros

También existen otras muchas soluciones para mejorar la seguridad por hardware, algunas no libres de polémica, otras muy baratas y prácticas. Desde las habituales tapas para las cámaras frontales (la webcam de un portátil, AIO, móviles), para que no te vigilen sin tu consentimiento, hasta generadores de datos falsos como el cargador FANGo.

from Linux Adictos https://ift.tt/hXbK8kM
via IFTTT