Computers were a mistake

Доброго времени суток!

Представляю вам мини-дайджест около-айтишных новостей за прошедшую неделю (1-7 декабря). Кодовое имя дайджеста - "лучше поздно, чем никогда!". Семейные дела не дали мне возможности выпустить его днем в воскресенье, поэтому пилю его в полночь и получите вы его аккурат к утреннему кофе (для европейской части России).

* XFCE 4.20rc2. Напоминаю, что тестирование крайне приветствуется, ибо приезжает поддержка Wayland.
* Взлом web3.js, применяемый для всяких DAPPS (распределенных приложений на блохчейнах). В версиях 1.95.6 и 1.95.7 либы @solana/web3.js присутствует код, отправляющий на внешний сервер приватные ключи приложений. Поправили в 1.95.8, поэтому если вы вдруг из ЭТИХ и использовали уязвимую либу - обновляйтесь. Кстати, ломанули через социальную инженерию и фишинг 🙃.
* Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo. Разрабатываемый ими Pagure никому, кроме них самих, оказался не нужен, поэтому ищут поддерживаемую не только ими замену. Но не спешите радоваться, еще некоторое время вы будете страдать от ТОРМОЗОВ, потому что пока начались только публичные обсуждения, а еще требуется проинтегрировать новый хостинг репозиториев с тонной других систем, которые используются для разработки Fedora.
* Linux 6.12 - новый LTS. Будет поддерживаться как минимум до декабря 2026 года. А вот 4.19 ветка уходит на покой после 325 релиза.
* Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics. Просто напоминание не забывать правильно обрабатывать входящие данные в ваших приложениях, ибо тут забыли и случился "Ой-с!".
* Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt. Вкраце: при накликивании компонентов для сборки "персонализированного" образа можно было передать свою команду, которая выполнилась бы на серверах. Теоретически эту уязвимость (в сочетании с другой - обрезание sha256 до 12 символов) можно было использовать для распространения вредоносных сборок прошивок OpenWrt, однако доказательств этому не нашли. Очередное напоминание про необходимость правильно обрабатывать ввод в приложение 🫠.
* Релизы дистров и ОСей: Armbian 24.11, FreeBSD 14.2, EasyOS 6.5 (от создателя Puppy Linux), Nitrux 3.8.0, NixOS 24.11, Alpine Linux 3.20, openSUSE Leap Micro 6.1, Manjaro Linux 24.2, Azure Linux 3.0.20241203.

www.tgoop.com/coweram/412

1.7K viewsStanislav N., Dec 9 at 04:00

Доброго времени суток!

Представляю вам мини-дайджест около-айтишных новостей за прошедшую неделю (1-7 декабря). Кодовое имя дайджеста - "лучше поздно, чем никогда!". Семейные дела не дали мне возможности выпустить его днем в воскресенье, поэтому пилю его в полночь и получите вы его аккурат к утреннему кофе (для европейской части России).

* XFCE 4.20rc2. Напоминаю, что тестирование крайне приветствуется, ибо приезжает поддержка Wayland.
* Взлом web3.js, применяемый для всяких DAPPS (распределенных приложений на блохчейнах). В версиях 1.95.6 и 1.95.7 либы @solana/web3.js присутствует код, отправляющий на внешний сервер приватные ключи приложений. Поправили в 1.95.8, поэтому если вы вдруг из ЭТИХ и использовали уязвимую либу - обновляйтесь. Кстати, ломанули через социальную инженерию и фишинг 🙃.
* Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo. Разрабатываемый ими Pagure никому, кроме них самих, оказался не нужен, поэтому ищут поддерживаемую не только ими замену. Но не спешите радоваться, еще некоторое время вы будете страдать от ТОРМОЗОВ, потому что пока начались только публичные обсуждения, а еще требуется проинтегрировать новый хостинг репозиториев с тонной других систем, которые используются для разработки Fedora.
* Linux 6.12 - новый LTS. Будет поддерживаться как минимум до декабря 2026 года. А вот 4.19 ветка уходит на покой после 325 релиза.
* Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics. Просто напоминание не забывать правильно обрабатывать входящие данные в ваших приложениях, ибо тут забыли и случился "Ой-с!".
* Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt. Вкраце: при накликивании компонентов для сборки "персонализированного" образа можно было передать свою команду, которая выполнилась бы на серверах. Теоретически эту уязвимость (в сочетании с другой - обрезание sha256 до 12 символов) можно было использовать для распространения вредоносных сборок прошивок OpenWrt, однако доказательств этому не нашли. Очередное напоминание про необходимость правильно обрабатывать ввод в приложение 🫠.
* Релизы дистров и ОСей: Armbian 24.11, FreeBSD 14.2, EasyOS 6.5 (от создателя Puppy Linux), Nitrux 3.8.0, NixOS 24.11, Alpine Linux 3.20, openSUSE Leap Micro 6.1, Manjaro Linux 24.2, Azure Linux 3.0.20241203.

BY Computers were a mistake