Когда в марте 2024 года Андрес Фройнд, контрибьютор ядра Linux и инженер Microsoft, разбирался с медленными SSH-логинами на своей Debian-машине, он заметил странность:
Атакующий под именем “Jia Tan” в течение двух лет постепенно внедрялся в небольшой проект XZ Utils – библиотеку сжатия, которая используется практически во всех крупных Linux-дистрибутивах.
Бэкдор находился не в исходниках. Он был зарыт глубоко в build-скриптах. Если бы была использована специально сформированная SSH-ключевая пара, атакующий получил бы удалённый root-доступ к миллионам серверов.
Фройнд обнаружил это за считаные дни до того, как заражённая версия ушла бы в Debian, Fedora, Ubuntu и другие дистрибутивы
Один человек, одна аномалия, один обычный сеанс дебага – и потенциальная катастрофа для интернета была предотвращена
Респект🫡
@linuxos_tg
liblzma (часть XZ Utils) жрала подозрительно много CPU, и он продолжил копать. В итоге он вскрыл многоходовую supply-chain-атаку, которая готовилась несколько лет.Атакующий под именем “Jia Tan” в течение двух лет постепенно внедрялся в небольшой проект XZ Utils – библиотеку сжатия, которая используется практически во всех крупных Linux-дистрибутивах.
Бэкдор находился не в исходниках. Он был зарыт глубоко в build-скриптах. Если бы была использована специально сформированная SSH-ключевая пара, атакующий получил бы удалённый root-доступ к миллионам серверов.
Фройнд обнаружил это за считаные дни до того, как заражённая версия ушла бы в Debian, Fedora, Ubuntu и другие дистрибутивы
Один человек, одна аномалия, один обычный сеанс дебага – и потенциальная катастрофа для интернета была предотвращена
Респект
@linuxos_tg
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤541👍260🔥107🫡54😱10
Forwarded from IT Portal
Франция начала разрабатывать план по переводу правительственных рабочих станций с Windows на Linux
Каждое министерство должно представить формальный план внедрения к осени 2026 года в рамках курса страны на усиление цифрового суверенитета и снижение зависимости от иностранных технологических провайдеров
@IT_Portal
Каждое министерство должно представить формальный план внедрения к осени 2026 года в рамках курса страны на усиление цифрового суверенитета и снижение зависимости от иностранных технологических провайдеров
@IT_Portal
🥰249🔥116😁47👍41
This media is not supported in your browser
VIEW IN TELEGRAM
🔥214❤72
Forwarded from CтепГоу IT
Иногда можно путать эти команды, потому что кажется, что они делают одно и то же. Но когда запускаешь их – бум! И понимаешь, что это не так 😏
Чтобы не просто заучивать команды, а реально понимать, как Git работает под капотом, мы сделали новый курс по Git на Stepik
Внутри вся основа, которая реально нужна на практике: от основ системы контроля версий и архитектуры Git до работы с ветками, merge, конфликтами и GitHub. Всё сразу закрепляется на практике с помощью заданий с автопроверкой
Сейчас действует скидка 25% на 48 часов
Цена со скидкой: 2900 ₽ → 2 175 ₽
Забрать курс со скидкой тут
@stepgo_it
Чтобы не просто заучивать команды, а реально понимать, как Git работает под капотом, мы сделали новый курс по Git на Stepik
Внутри вся основа, которая реально нужна на практике: от основ системы контроля версий и архитектуры Git до работы с ветками, merge, конфликтами и GitHub. Всё сразу закрепляется на практике с помощью заданий с автопроверкой
Сейчас действует скидка 25% на 48 часов
Цена со скидкой: 2
Забрать курс со скидкой тут
@stepgo_it
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31🔥19
Little Snitch теперь доступен в Linux
Команда Objective Development, создавшая популярный сетевой монитор Little Snitch для macOS, выпустила версию этого инструмента для Linux.
Это приложение показывает все сетевые соединения и позволяет сразу блокировать нежелательный трафик прямо из интерфейса
https://github.com/obdev/littlesnitch-linux
https://obdev.at/products/littlesnitch-linux/index.html
@linuxos_tg
Команда Objective Development, создавшая популярный сетевой монитор Little Snitch для macOS, выпустила версию этого инструмента для Linux.
Это приложение показывает все сетевые соединения и позволяет сразу блокировать нежелательный трафик прямо из интерфейса
https://github.com/obdev/littlesnitch-linux
https://obdev.at/products/littlesnitch-linux/index.html
@linuxos_tg
🔥131👍58❤21
Страница XLibre в Arch Linux Wiki была удалена по следующей причине:
Похоже, удаление выполнил Alad Wenter, мейнтейнер пакетов Arch и администратор Wiki.
https://wiki.archlinux.org/title/Xlibre
@linuxos_tg
«Проект Xlibre противоречит [кодексу поведения Arch Linux] и не должен упоминаться в ArchWiki».
Похоже, удаление выполнил Alad Wenter, мейнтейнер пакетов Arch и администратор Wiki.
https://wiki.archlinux.org/title/Xlibre
@linuxos_tg
🤣142
Совет дня по Linux
Когда-нибудь хотелось скопировать последние команды из терминала без номеров строк?
Чисто, удобно для копирования, читабельно
Нужно только несколько последних команд?
Идеально подходит, чтобы делиться шагами, писать документацию или дебажить.
Можно даже превратить последние действия в скрипт:
Ты только что превратил свою сессию в терминале в переиспользуемый код!
@linuxos_tg
Когда-нибудь хотелось скопировать последние команды из терминала без номеров строк?
fc -ln
Чисто, удобно для копирования, читабельно
Нужно только несколько последних команд?
fc -ln -10
Идеально подходит, чтобы делиться шагами, писать документацию или дебажить.
Можно даже превратить последние действия в скрипт:
fc -ln -10 > my_script.sh
Ты только что превратил свою сессию в терминале в переиспользуемый код!
@linuxos_tg
🔥145👍70❤20🥰5🤔5
This media is not supported in your browser
VIEW IN TELEGRAM
В 01.tech это знают и сейчас собирают команду
Холдинг с платформенными решениями для entertainment. Масштабные проекты, гибкий формат работы, среда где экспертиза ценится и растёт
Строить партнёрства на уровне C-level, привлекать новых партнеров на запуск White Label платформы и влиять на рост B2B-направления
Вести проекты на всех этапах от запуска до результата, прогнозировать риски и решать нестандартные кейсы
Вести продукт на in-house решении от идеи до запуска и развития, находить точки роста через метрики и гипотезы
Влиять на визуальный язык продукта, делать интерфейсы, задающие тренды в индустрии и в бигтехе
Формировать стратегию и планы развития стрима, быть центром дизайн-экспертизы и принимать ключевые дизайн-решения
01.tech продолжает масштабироваться, и вместе с этим открываются новые роли
Следи за актуальными вакансиями в канале 01 team
Please open Telegram to view this post
VIEW IN TELEGRAM
Linux kernel 7.1 получил новый встроенный драйвер NTFS – это полностью переписанная с нуля реализация, которая обеспечивает нативный доступ на чтение и запись к томам Windows NTFS прямо из ядра, без каких-либо userspace-утилит
Он приходит на смену более медленному NTFS-3G на базе FUSE, а также предыдущему драйверу NTFS3. По производительности заявлены такие улучшения: однопоточная запись быстрее на 3–5%, многопоточная – на 35–110%, а время монтирования больших накопителей может быть до четырёх раз меньше. Драйвер также даёт меньший overhead по CPU, лучше интегрирован с современной инфраструктурой ядра и отличается более высокой надёжность
@linuxos_tg
Он приходит на смену более медленному NTFS-3G на базе FUSE, а также предыдущему драйверу NTFS3. По производительности заявлены такие улучшения: однопоточная запись быстрее на 3–5%, многопоточная – на 35–110%, а время монтирования больших накопителей может быть до четырёх раз меньше. Драйвер также даёт меньший overhead по CPU, лучше интегрирован с современной инфраструктурой ядра и отличается более высокой надёжность
@linuxos_tg
🔥349👍98❤28
Ubuntu 26.04 (LTS) выходит завтра… и компания Canonical опубликовала обновление по своему плану замены GNU Coreutils на реализации, переписанные на Rust.
Основные моменты:
- После того как разработчики выразили "серьёзные опасения", Canonical привлекла стороннюю компанию по security-исследованиям для аудита Rust-реализаций (известных как
- Эта security-компания быстро обнаружила 113 существенных проблем, причём значительная часть из них оказалась серьёзными уязвимостями безопасности, тянущими на присвоение CVE.
- Лишь часть этих проблем в Rust-реализациях была исправлена к релизу Ubuntu 26.04.
- Повторим: Ubuntu 26.04 выходит с заметным количеством известных серьёзных багов в новых Rust-версиях coreutils.
- В некоторых из наиболее критичных утилит, переписанных на Rust (cp, mv, rm), обнаружено большое количество серьёзных проблем класса TOCTOU (Time-of-Check to Time-of-Use) — это тип уязвимостей, приводящих к race condition. Именно такие баги часто эксплуатируются злоумышленниками.
- В итоге cp, mv и rm не будут включены в Ubuntu 26.04. Даже с их довольно либеральным подходом "ок, если в Rust-реализациях для 26.04 есть серьёзные баги" – проблемы в этих утилитах оказались слишком критичными.
- Несмотря на этот, без преувеличения, провальный rollout Rust-версий Coreutils, команда Ubuntu планирует в следующем релизе (через 6 месяцев, 26.10) полностью (на 100%) заменить GNU Coreutils на текущие (и пока откровенно сырые) реализации на Rust.
https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773
@linuxos_tg
Основные моменты:
- После того как разработчики выразили "серьёзные опасения", Canonical привлекла стороннюю компанию по security-исследованиям для аудита Rust-реализаций (известных как
uutils).- Эта security-компания быстро обнаружила 113 существенных проблем, причём значительная часть из них оказалась серьёзными уязвимостями безопасности, тянущими на присвоение CVE.
- Лишь часть этих проблем в Rust-реализациях была исправлена к релизу Ubuntu 26.04.
- Повторим: Ubuntu 26.04 выходит с заметным количеством известных серьёзных багов в новых Rust-версиях coreutils.
- В некоторых из наиболее критичных утилит, переписанных на Rust (cp, mv, rm), обнаружено большое количество серьёзных проблем класса TOCTOU (Time-of-Check to Time-of-Use) — это тип уязвимостей, приводящих к race condition. Именно такие баги часто эксплуатируются злоумышленниками.
- В итоге cp, mv и rm не будут включены в Ubuntu 26.04. Даже с их довольно либеральным подходом "ок, если в Rust-реализациях для 26.04 есть серьёзные баги" – проблемы в этих утилитах оказались слишком критичными.
- Несмотря на этот, без преувеличения, провальный rollout Rust-версий Coreutils, команда Ubuntu планирует в следующем релизе (через 6 месяцев, 26.10) полностью (на 100%) заменить GNU Coreutils на текущие (и пока откровенно сырые) реализации на Rust.
https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773
@linuxos_tg