Новая охота на идоров. Применяем Semgrep, шаблоны nuclei и auth-директивы в GraphQL
Для подписчиков
Сегодня расскажем, как не погибнуть в ручном поиске IDOR-уязвимостей в коде тысяч хендлов API. В ход пойдут правила Semgrep в режиме join. Затем попробуем восстановить логику бизнес‑сценариев по артефактам от QA-автотестов и обернуть ее в шаблоны nuclei.
Читать полностью
#xakep
@linux_potok
Для подписчиков
Сегодня расскажем, как не погибнуть в ручном поиске IDOR-уязвимостей в коде тысяч хендлов API. В ход пойдут правила Semgrep в режиме join. Затем попробуем восстановить логику бизнес‑сценариев по артефактам от QA-автотестов и обернуть ее в шаблоны nuclei.
Читать полностью
#xakep
@linux_potok
👏4🥰1
Исправление в пути для одного из регрессий Linux 6.19: 52,4% регрессия планировщика
Ядро Linux 6.19 оказалось немного проблемным в части планировщика, но по крайней мере одно исправление уже на подходе, чтобы устранить последствия...
Читать полностью
#Phoronix
@linux_potok
Ядро Linux 6.19 оказалось немного проблемным в части планировщика, но по крайней мере одно исправление уже на подходе, чтобы устранить последствия...
Читать полностью
#Phoronix
@linux_potok
😁4👌4
Финальные бенчмарки AMDVLK против Vulkan-драйверов RADV для видеокарт AMD Radeon
Одним из приятных сюрпризов этого года стало завершение разработки драйвера AMDVLK: AMD наконец прекратила поддержку своих проприетарных компонентов OpenGL и Vulkan для Linux в пакетах Radeon Software for Linux. Можно сказать, это было давно ожидаемо, ведь энтузиасты и геймеры на Linux уже давно предпочитали драйверы Mesa — RadeonSI + RADV, которые в последние годы показывают отличные результаты и для рабочих графических нагрузок. Одной из областей, где ранее AMDVLK обеспечивал лучшую производительность по сравнению с RADV, была трассировка лучей Vulkan. Однако трассировка лучей в RADV значительно улучшилась в 2025 году, о чём свидетельствуют последние бенчмарки. Поэтому эти тесты к Рождеству 2025 года — последний взгляд на то, как RADV конкурирует с теперь уже прекратившим существование драйвером AMDVLK.
Читать полностью
#Phoronix
@linux_potok
Одним из приятных сюрпризов этого года стало завершение разработки драйвера AMDVLK: AMD наконец прекратила поддержку своих проприетарных компонентов OpenGL и Vulkan для Linux в пакетах Radeon Software for Linux. Можно сказать, это было давно ожидаемо, ведь энтузиасты и геймеры на Linux уже давно предпочитали драйверы Mesa — RadeonSI + RADV, которые в последние годы показывают отличные результаты и для рабочих графических нагрузок. Одной из областей, где ранее AMDVLK обеспечивал лучшую производительность по сравнению с RADV, была трассировка лучей Vulkan. Однако трассировка лучей в RADV значительно улучшилась в 2025 году, о чём свидетельствуют последние бенчмарки. Поэтому эти тесты к Рождеству 2025 года — последний взгляд на то, как RADV конкурирует с теперь уже прекратившим существование драйвером AMDVLK.
Читать полностью
#Phoronix
@linux_potok
👍14
GStreamer 1.26.10 устраняет проблемы с FLAC, Opus и Matroska
GStreamer 1.26.10 исправляет ошибки воспроизведения многоканальных FLAC и Opus, а также улучшает обработку Matroska для 4K видео.
Читать полностью
#Linuxiac
@linux_potok
GStreamer 1.26.10 исправляет ошибки воспроизведения многоканальных FLAC и Opus, а также улучшает обработку Matroska для 4K видео.
Читать полностью
#Linuxiac
@linux_potok
👍9
Кибератака нарушила работу почтовых и банковских служб Франции
Национальная почтовая служба Франции — La Poste сообщила о масштабном сбое, который вывел из строя все ее информационные системы. Инцидент нарушил работу цифрового банкинга и онлайн-сервисов для миллионов пользователей.
Читать полностью
#xakep
@linux_potok
Национальная почтовая служба Франции — La Poste сообщила о масштабном сбое, который вывел из строя все ее информационные системы. Инцидент нарушил работу цифрового банкинга и онлайн-сервисов для миллионов пользователей.
Читать полностью
#xakep
@linux_potok
🔥5🥰2🌚1
Разработчики MongoDB предупредили о серьезной RCE-уязвимости
Специалисты MongoDB предупредили администраторов о критической уязвимости, которая позволяет удаленно выполнить произвольный код на незащищенных серверах. Баг можно эксплуатировать без авторизации, и атака не требует взаимодействия с пользователем.
Читать полностью
#xakep
@linux_potok
Специалисты MongoDB предупредили администраторов о критической уязвимости, которая позволяет удаленно выполнить произвольный код на незащищенных серверах. Баг можно эксплуатировать без авторизации, и атака не требует взаимодействия с пользователем.
Читать полностью
#xakep
@linux_potok
😱5🥰1
Выпуск эмулятора QEMU 10.2.0
Представлен релиз проекта QEMU 10.2.0. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM в Linux, или модуля NVMM в NetBSD.
Читать полностью
#OpenNet
@linux_potok
Представлен релиз проекта QEMU 10.2.0. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM в Linux, или модуля NVMM в NetBSD.
Читать полностью
#OpenNet
@linux_potok
👍7
Открытый исходный код NVIDIA CUDA Tile IR
В качестве замечательного рождественского подарка поклонникам open-source, NVIDIA сняла проприетарную лицензию с промежуточного представления CUDA Tile и теперь сделала этот IR программным обеспечением с открытым исходным кодом...
Читать полностью
#Phoronix
@linux_potok
В качестве замечательного рождественского подарка поклонникам open-source, NVIDIA сняла проприетарную лицензию с промежуточного представления CUDA Tile и теперь сделала этот IR программным обеспечением с открытым исходным кодом...
Читать полностью
#Phoronix
@linux_potok
🔥7👍5❤1🥰1
Arch Linux на базе CachyOS разрабатывает серверную версию
Дистрибутив CachyOS, основанный на Arch Linux, стал довольно популярным среди геймеров и энтузиастов Linux благодаря выдающейся производительности прямо «из коробки», особенно после закрытия Intel Clear Linux. CachyOS приобрел значительное число поклонников на Linux-настольных системах, а теперь, глядя в будущее к 2026 году, команда собирается работать над серверной редакцией...
Читать полностью
#Phoronix
@linux_potok
Дистрибутив CachyOS, основанный на Arch Linux, стал довольно популярным среди геймеров и энтузиастов Linux благодаря выдающейся производительности прямо «из коробки», особенно после закрытия Intel Clear Linux. CachyOS приобрел значительное число поклонников на Linux-настольных системах, а теперь, глядя в будущее к 2026 году, команда собирается работать над серверной редакцией...
Читать полностью
#Phoronix
@linux_potok
🤣12👍5🤔2❤1🔥1👏1🎉1👌1
Веб-сайт Arch Linux подвергся DDoS-атаке и доступен только через IPv6
Во время рождественских праздников на сайт Arch Linux была совершена DDoS-атака. Доступ по IPv4 временно недоступен, работает только IPv6.
Читать полностью
#Linuxiac
@linux_potok
Во время рождественских праздников на сайт Arch Linux была совершена DDoS-атака. Доступ по IPv4 временно недоступен, работает только IPv6.
Читать полностью
#Linuxiac
@linux_potok
🤬11😢8❤2👎2
CachyOS планирует выпуск серверной редакции с усиленной безопасностью
CachyOS на базе Arch разрабатывает новую серверную версию для NAS, рабочих станций и хостинг-провайдеров. В ней будут усиленные настройки безопасности и оптимизированные пакеты.
Читать полностью
#Linuxiac
@linux_potok
CachyOS на базе Arch разрабатывает новую серверную версию для NAS, рабочих станций и хостинг-провайдеров. В ней будут усиленные настройки безопасности и оптимизированные пакеты.
Читать полностью
#Linuxiac
@linux_potok
🤣10❤9👍5🔥1👏1🎉1👌1
Arch Linux оставил доступ к сайту только через IPv6 из-за DDoS-атаки
Проект Arch Linux ограничил доступ к сайту archlinux.org из-за DDoS-атаки. До урегулирования ситуации доступ к сайту через IPv4 отключён и оставлен только для запросов через IPv6. Отмечается, что это вынужденная мера из-за невозможности решить проблему оперативно - для блокирования атаки требуется помощь хостинг-провайдера (Hetzner), но в праздничные дни возможность обращения в службу поддержки оказалась проблематичной.
Читать полностью
#OpenNet
@linux_potok
Проект Arch Linux ограничил доступ к сайту archlinux.org из-за DDoS-атаки. До урегулирования ситуации доступ к сайту через IPv4 отключён и оставлен только для запросов через IPv6. Отмечается, что это вынужденная мера из-за невозможности решить проблему оперативно - для блокирования атаки требуется помощь хостинг-провайдера (Hetzner), но в праздничные дни возможность обращения в службу поддержки оказалась проблематичной.
Читать полностью
#OpenNet
@linux_potok
😢9👍1
9 новых дистрибутивов Linux, которые могут стать популярными в 2026 году
Чтобы Linux продолжал расти, нам не нужен мифический «год Linux на рабочем столе». Нам просто нужны хорошие идеи, последовательная реализация и проекты, которые становятся лучше с каждым выпуском.
Читать полностью
#ItFOSS
@linux_potok
Чтобы Linux продолжал расти, нам не нужен мифический «год Linux на рабочем столе». Нам просто нужны хорошие идеи, последовательная реализация и проекты, которые становятся лучше с каждым выпуском.
Читать полностью
#ItFOSS
@linux_potok
👍7
Не терпится попробовать горячий COSMIC DE на Ubuntu Linux? Вот простой способ
Знаете ли вы, что можно установить COSMIC на Ubuntu? Этот неофициальный PPA делает это возможным.
Читать полностью
#ItFOSS
@linux_potok
Знаете ли вы, что можно установить COSMIC на Ubuntu? Этот неофициальный PPA делает это возможным.
Читать полностью
#ItFOSS
@linux_potok
👍7😁1
Расширение Trust Wallet скомпрометировано. Пользователи лишились 7 млн долларов
Минувшей ночью известный ИБ-специалист и блочейн-аналитик ZachXBT предупредил о компрометации популярного Chrome-расширения Trust Wallet. Как сообщил глава биржи Binance и владелец Trust Wallet Чанпэн Чжао, в настоящее время известно, что у пользователей кошелька похитили около 7 млн долларов в криптовалюте.
Читать полностью
#xakep
@linux_potok
Минувшей ночью известный ИБ-специалист и блочейн-аналитик ZachXBT предупредил о компрометации популярного Chrome-расширения Trust Wallet. Как сообщил глава биржи Binance и владелец Trust Wallet Чанпэн Чжао, в настоящее время известно, что у пользователей кошелька похитили около 7 млн долларов в криптовалюте.
Читать полностью
#xakep
@linux_potok
❤5🤬3🥰1
Линус Торвальдс раскритиковал связанное с GPL разбирательство между SFС и Vizio
Окружной суд штата Калифорния вынес предварительное решение в инициированном правозащитной организацией Software Freedom Conservancy (SFC) судебном разбирательстве против компании Vizio, обвиняемой в невыполнении требований лицензии GPL при распространении прошивок к умным телевизорам на базе платформы SmartCast. Суд постановил, что компания Vizio обязана предоставить доступ к исходному коду в форме, позволяющей третьим лицам загружать и изменять код. При этом суд принял ходатайство компании Vizio и согласился с тем, что применение лицензий GPLv2 и LGPLv2.1 не даёт оснований требовать у производителя информации, необходимой для установки модифицированного варианта прошивки на принадлежащий пользователю телевизор.
Читать полностью
#OpenNet
@linux_potok
Окружной суд штата Калифорния вынес предварительное решение в инициированном правозащитной организацией Software Freedom Conservancy (SFC) судебном разбирательстве против компании Vizio, обвиняемой в невыполнении требований лицензии GPL при распространении прошивок к умным телевизорам на базе платформы SmartCast. Суд постановил, что компания Vizio обязана предоставить доступ к исходному коду в форме, позволяющей третьим лицам загружать и изменять код. При этом суд принял ходатайство компании Vizio и согласился с тем, что применение лицензий GPLv2 и LGPLv2.1 не даёт оснований требовать у производителя информации, необходимой для установки модифицированного варианта прошивки на принадлежащий пользователю телевизор.
Читать полностью
#OpenNet
@linux_potok
😁3🤷♂2👍1
Gmail разрешит пользователям менять адреса электронной почты
Google готовится реализовать функцию, о которой пользователи просили годами — возможность сменить адрес электронной почты @gmail.com без создания нового аккаунта. Об этом стало известно из обновленного руководства в разделе техподдержки компании, которое случайно обнаружили пользователи.
Читать полностью
#xakep
@linux_potok
Google готовится реализовать функцию, о которой пользователи просили годами — возможность сменить адрес электронной почты @gmail.com без создания нового аккаунта. Об этом стало известно из обновленного руководства в разделе техподдержки компании, которое случайно обнаружили пользователи.
Читать полностью
#xakep
@linux_potok
🌚11✍2😱2😁1
Вышел GStreamer 1.26.10 с поддержкой FLAC в DASH-манифестах
Вышла новая версия мультимедийного фреймворка GStreamer 1.26.10. Обновление включает различные улучшения и исправления ошибок. Среди новшеств — добавлена поддержка аудиоформата FLAC в DASH-манифестах.
Читать полностью
#9to5Linux
@linux_potok
Вышла новая версия мультимедийного фреймворка GStreamer 1.26.10. Обновление включает различные улучшения и исправления ошибок. Среди новшеств — добавлена поддержка аудиоформата FLAC в DASH-манифестах.
Читать полностью
#9to5Linux
@linux_potok
👍2
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub
Весной 2025 года ИБ-исследователи обнаружили троян Webrat, который распространялся под видом читов для Rust, Counter-Strike и Roblox, а также пиратских сборок софта. Как сообщает «Лаборатория Касперского», в сентябре операторы малвари расширили охват: теперь они атакуют студентов и начинающих ИБ-специалистов, маскируя свой вредонос под эксплоиты для свежих уязвимостей.
Читать полностью
#xakep
@linux_potok
Весной 2025 года ИБ-исследователи обнаружили троян Webrat, который распространялся под видом читов для Rust, Counter-Strike и Roblox, а также пиратских сборок софта. Как сообщает «Лаборатория Касперского», в сентябре операторы малвари расширили охват: теперь они атакуют студентов и начинающих ИБ-специалистов, маскируя свой вредонос под эксплоиты для свежих уязвимостей.
Читать полностью
#xakep
@linux_potok
🥰2🔥1
Проект Phoenix развивает современный X-сервер, написанный на языке Zig
В рамках проекта Phoenix предпринята попытка создания с нуля нового X-сервера, не использующего наработки X.org Server и нацеленного на создание современной альтернативы, расширяющей протокол X11 и предоставляющей возможности для совместимости с Wayland. На текущем этапе развития Phoenix пока не готов к повседневному использованию, но уже позволяет организовать работу с простыми приложениями, использующими для вывода графики GLX, EGL или Vulkan, при вложенном запуске Phoenix поверх существующего X-сервера. Код написан на языке Zig и распространяется под лицензией GPLv3.
Читать полностью
#OpenNet
@linux_potok
В рамках проекта Phoenix предпринята попытка создания с нуля нового X-сервера, не использующего наработки X.org Server и нацеленного на создание современной альтернативы, расширяющей протокол X11 и предоставляющей возможности для совместимости с Wayland. На текущем этапе развития Phoenix пока не готов к повседневному использованию, но уже позволяет организовать работу с простыми приложениями, использующими для вывода графики GLX, EGL или Vulkan, при вложенном запуске Phoenix поверх существующего X-сервера. Код написан на языке Zig и распространяется под лицензией GPLv3.
Читать полностью
#OpenNet
@linux_potok
👍11🤡3😁2