ThereforeeAutorytet
12piorunówpocs/fragnesia at main · v12-security/pocs
Kolejny tydzień, kolejny exploit LPE ( ͠° ͟ʖ ͡°)
Pół biedy, że takie samo mitigation
ThereforeeAutorytet
12piorunówpocs/fragnesia at main · v12-security/pocs
Kolejny tydzień, kolejny exploit LPE ( ͠° ͟ʖ ͡°)
Pół biedy, że takie samo mitigation
30ohmFanatyk
65piorunów
@30ohm powinno być: in Windows you are f….ed
Poza tym jesteś taki admin, że aby uruchomić proces jako realny administrator komputera musisz się bawić z psexec, bo nie ma normalnej opcji uruchomienia czegoś z prawami roota.
30ohmFanatyk
33piorunówKojarzycie raspberry pi? To dzisiaj będzie opowieść jak twórcy tego SBC zrobili własny system pod swój produkt i mają na niego wywalone. Jest on oznaczony na stronie jako zalecany, więc każdy nawet bez pojęcia o linux ma go zainstalowanego.
Rpi jako system bootowania jest oparny o gpu a nie cpu jak w większości komputerowego świata więc wymaga specjalne przygotowanej wersji dystrybucji linux. Architektura procesora nie jest problemem, tylko sam firmware.
Pierwszą styczność z tym sprzętem miałem w 2012 roku. Obecnie najstarszy działający egzemplarz mam z 2013 roku. Na początku system przygotowany przez twórców elektroniki bazował na debianie armel, który był pod armv4 a sbc miało procesor armv6.
W 2013 roku wydali własny zmodyfikowany debian armhf określony jako raspbian, z różnicą do debiana który był pod armv7. Systemy nie były ze sobą zgodne, ponieważ paczki skompilowane pod debiana armhf nie działały na raspbianie armhf z powodu braku instrukcji procesora.
Przy swoich projektach zauważyłem, że mają mocno wywalone na aktualizacje swojego systemu. Jedno czy 3 egzemplarze były do przeżycia przy ręcznej własnej kompilacji. Z debiana na którym system bazował nie dało się wziąć bo by nie działało.
Pracowałem w firmach które wykorzystywały to SBC do różnych rzeczy i tam przy efekcie skali już było odczuwalne. Trzeba było ogarniać samemu aktualizacje do softu i je utrzymywać.
Ten stan rzeczy trwał do 2020 roku aż wydali bety 64 bitowej wersji swojego systemu. Oczywiście dało się już wcześniej używać innej dystrybucji, bo te już 5 lat wcześniej ogarniały 64 bitowe procesory jak i samą kompatybilność ze sobą w 32 bitowych wydaniach dla tego SBC.
Od 2022 wydanie 64 bit stało się oficjalne. Jest to czysty debian arm64 ze zmodyfikowanym jądrem i firmware.
Zatem gdzie widzę problem? Minęło 12 lat odkąd pierwszy raz zauważyłem, że coś jest nie tak z aktualizacją oprogramowania, a tam nic się nie zmieniło. Od ponad tygodnia są dostępne w sieci exploity na 3 różne bugi w samym jądrze linux a oni podchodzą to tego tak: https://github.com/raspberrypi/linux/issues/7346
The next apt kernel will be 6.18 and is imminent, but we are just finalising testing.
Fajne podejście, nie? Cały świat się łata a oni podchodzą: robimy nowe rozwiązanie i testujemy, więc starego nie załatamy.
Jądro to nie jedyny problem np. ja kodowałem w php i wersji 8.2 obecnie nikt przez 3 lata nie zaktualizował w 32 bitowym wydaniu gdzie debian zrobił to już wielokrotnie.
W moim przypadku stare egzemplarze przerobiłem na alpine linux, gdzie dostarczają w miarę na bieżąco aktualizacje. Z częścią softu jest problem, ale można skompilować samemu. Lepsze to niż włam na urządzenie wystawione do internetu.
W przypadku komercyjnych rozwiązań, to duża część używało ubuntu już 10 lat temu ale tylko w przypadku nowszych płytek. Stare poszły w niepamięć. Kiedy był kryzys z dostępnością raspberry pi wybrali inne rozwiązania i obecnie te pewnie zastąpiły już SBC co do którego nie ma się pewności na poziomie bezpieczeństwa.
#elektronika #linux #cyberbezpieczenstwo #raspberrypi

Od zawsze traktuję ten system jako Arduino do embedded linuxa albo quick start w tej dziedzinie, generalnie amatorskie użycie. Komercyjnie nikt tego nie używa i nie widzę ani powodu by używać, ani sensu.
Ile to zarobiłem na odsprzedaży "uszkodzonych" malin to moje :grinning:
Firma zmieniała płytę główną w wyciskarkach do lodu na nowsza wersje płyty wraz z budowanym wyświetlaczem. Więc stare wg nich uszkodzone leciały do kosza.
A uszkodzenie polegało na tym że , były sprawne w 100% tylko soft zapisany na karcie nie chciał się wczytywać, bo karta potrafiła się zapisać w innym formacie i przez to maszyna nie działała.
Więc zaproponowałem darmowe pozbycie się elektroniki (za utylizację trzeba płacić).
Karty po łączeniu partycji I formacie miały pełną sprawność i szły od razu na allegro
A maliny to co najwyżej wytarłem z kurzu.
I szły w cenie dumpingowej na portalach.
Kart sprzedałem prawie 600
I podobną ilość malin po 350 sztuka.
Pandemia to był piękny czas na zarabianie pieniędzy :grinning:
30ohmFanatyk
15piorunówZnów krytyczna podatność w jądrze linux. Na błąd istniejący od 2017 roku. CVE jeszcze nie ma, a exploit został wydany
Źródło: https://github.com/V4bel/dirtyfrag
Aktualizujcie systemy, o tym popołudniu dodam jeszcze jeden wpis.

@30ohm Środki zaradcze wykonane. Teraz tylko jeszcze czekać na łatki.
Bardzo wygodna funkcja, odpaliłem na swoim Ubuntu i wskoczyło na roota bez pamiętania hasła, 10/10
ZwalistyInspirator
16piorunówMoże w końcu się uda zainstalować na tym tablecie kupionym za 50 zł XD
Przyklejone dlatego, że instalator potrafi sobie usnąć. No i zdarzyło się, że przy budzeniu zerwała się łączność z pendrive na moment i od razu ekran śmierci.
Sporo nietypowych problemów z tą instalacją. Gdy jest podpięty pendrive to nie ma jak podłączyć klawiatury (przez huba usb nie widzi pendrive) ani myszy i czy wiecie, że na dotykowym ekranie jest praktycznie niemożliwe dwukrotne kliknięcie na ikonie w tym samym miejscu tak, aby się program uruchomił? Bo ja już wiem :)
Pomógł onboard, ale potem instalacja się wywalała z powodu braku pamięci RAM, a jest 2GB. Ja już wiem, że ten instalator rozpakowuje pliki, ale to ja bym wolał większe ISO bez spakowanych plików, żeby ten linux, który ma być "lightweight", dał radę się instalować na 2GB bez problemu. Jak teraz się nie uda to kolejna próba będzie ze swapem na dysku.
Docelowo ten tablet to ma być customowa stacja pogody jak na drugim obrazku z prognozą dodatkowo zawierającą prędkość wiatru oraz wiatr w porywach pod kątem latania #drony . Ten pasek pod zielonkawymi "górkami", z lewej biały, a pod "Pon." kolorowy pokazuje właśnie wiatr w porywach w dniach, które się nie mieszczą w tabeli poniżej, więc jeden rzut oka pozwala się zorientować, kiedy można polatać. Ja pracuję z domu, więc często mogę sobie zrobić przerwę o dowolnej godzinie.
Ta pogoda jest z serwisu windy.com z danymi o pogodzie dla lotnictwa. Niestety wersja webowa nie posiada tych bardzo przydatnych "górek" oraz tego ww. paska, to pokazuje tylko aplikacja. Więc zastanawiam się, jak to ugryźć.
Więcej pracy to byłoby zrekonstruowanie tego obrazu z danych z www lub z API. Wtedy to bym nawet mógł gdzieś wrzucić w neta i tablet tylko by pokazywał tę stronę www na pełnym ekranie. Mógłbym nawet dodać wybór miasta i każdy z dostępem mógłby sobie takie coś wyświetlić chociażby właśnie na starym tablecie nawet z Androidem bez większego problemu, tylko pewnie po chwili dostęp bezpłatny do danych by się wyczerpał.
Z kolei zasobożernym i być może niemożliwym do zrobienia na tym staruszku z 2GB RAM sposobem byłby uruchomiony emulator Androida z apką windy i fragment z tą mapą powiększony na cały ekran i aktualizowany.
Myślałem też o usłudze renderowania stron www w chmurze i na chama wyświetlanie fragmentu takiego obrazu na tablecie, ale próbowałem z tą usługą w Cloudflare i nic nie udało mi się wyrenderować nie bardzo wiem, dlaczego.
Generalnie chciałbym szybko to odpalić jakkolwiek, żeby już pokazywało tę pogodę, a bawić się w rekonstrukcję tej tabeli np. jesienią. Ale tak czy inaczej całkiem nieźle się bawię w porównaniu do kupienia gotowej stacji pogody.
#linux #pogoda

@Zwalisty Jakiego tam Linuxa pchasz, że ma problem z 2GB RAM'u już przy instalacji? oO
Edit: Aha, za szybko. Jednak apka używa konkretnie Javascript API i tam pewnie można dodać takie dalekozasięgowe paski, niekoniecznie da się je uzyskać z opcji przy embed...
Więc poniższe może być przydatne, ale nie jest rozwiązaniem. Bez płacenia za bardzo nie poszalejesz https://api.windy.com/
Tak czy owak, aplikacja używa tej samej wersji webowej co przeglądarka. Po prostu wysyła odpowiednie zapytanie. W stopce masz "embed widget", chwila konfiguracji i możesz mieć własny widok. W tym porywy, wysokość pomiaru etc: https://embed.windy.com/embed.html?type=map&location=coordinates&metricRain=mm&metricTemp=°C&metricWind=kt&zoom=5&overlay=wind&product=ecmwf&level=100m&lat=49.923&lon=16.919&detailLat=52.408&detailLon=16.934&detail=true
A jak chcesz pozbyć się też mapy to jeszcze trochę więcej zabawy z usuwaniem węzłów (np. F12 > inspektor w Firefoxie) i możesz sobie ogarnąć które węzły wyłączyć aby mieć samą tabelkę. Wrzucasz tą listę w skrypt Tampermonkey i strona może się np. odświeżać co 5 minut i "strzyc" z mapy do samej tabelki.
Windy APIWindyAmebcioFenomen
11piorunówOt taka mała aktualizacja
Edit: Swoją drogą widzę tu małego buga: W linuksie rozmiar liter ma znaczenie, system nie powinien przyjąć małego 't' jako akceptacji działań

@Amebcio a ta duża litera to nie oznacza może po prostu domyślnej akcji, tzn. która opcja zostanie wybrana jak naciśniesz Enter bez podawania żadnej litery?
@Amebcio To czy przyjmuje małe "t" jako akceptacje czy nie to jest wyłącznie decyzja osoby która napisała ten program, w tym wypadku pacmana a nie całego systemu operacyjnego. I to jest zrobione dla wygody po prostu, komu by się chciało pisać duże T. W ogóle nie musiałeś nic pisać i mogłeś dać Enter i też by przeszło btw bo jak ktoś napisał wyżej, dużą literą w tym wypadku oznacza się domyślną akcje. I wydawało mi się, że to jest standardem lol bo w wielu programach takie coś widzę.
Miedzyzdroje2005Gruba ryba
8piorunówStronka pokazująca korzyści z wykorzystania alternatywnych, do systemd initów. Takie plusy jak prostota, niski narzut czy większa transparentność. Plus oczywiście baza dystrybucji #linux #init #systemd #technologia #informatyka #systemyoperacyjne

koszotoroburFanatyk
11piorunówNa PS5 zagrasz w gry z Windowsa na Linuksie :rolling_on_the_floor_laughing:
Wystarczy mieć stary firmware 😉
https://youtu.be/4Iix8SaJtaM

@koszotorobur jak z ps4 i ps3. Moderzy/hakerzy pchali temat od jakiegos czasu.
30ohmFanatyk
7piorunówSerwery Ubuntu obrywają ddosem, wszystkie ppa są niedostępne.
https://www.theregister.com/2026/05/01/canonical_confirms_ubuntu_infrastructure_under/

To by wyjaśniało te wszystkie warningi przy próbie aktualizacji
30ohmFanatyk
11piorunówStarzy linuksiarze narzekają, że kde jest za trudno i ma za dużo opcji. Stało się obecnie nr 1. Używanie gentoo czy freebsd i rzeźba trudna nie jest. Dlatego przestałem się udzielać po forach i grupach.

Wydaje mi się, że to już nawet nie to że KDE staje się jakieś lepsze (a staje ale po trochu) ale że bardziej główna konkurencja staje się coraz gorsza xD. W sensie GNOME usuwa i upraszcza coraz więcej funkcji jednocześnie mając coraz większe wymagania. Mają jakieś powalone zasady co do projektowania UI i UX przez co może ich apki systemowe są spójne wyglądem ale UI nie jest przemyślane i dopasowane do każdej apki. No i ta ilość marnowanego miejsca wszędzie.
A z innych środowisk to zarówno Xfce jak i Cinnamon nie zmieniają się za bardzo. Dla jednych to zaleta, dla innych wada ale faktem jest, że do KDE im brakuje sporo funkcji a wcale nie są jakoś dużo lżejsze od niego żeby warto było na nowym sprzęcie je poświęcać.
Reszta się praktycznie nie liczy, albo to są jakieś ultra lekkie desktopy, albo forki starych wersji innych desktopów albo jeszcze jakieś dziwne projekty które istnieją nie wiadomo dla kogo xD. No i jest jeszcze nowy gracz COSMIC i jestem w sumie pod wrażeniem, że ma już więcej userów niż cinnamon. Nie miałem jeszcze okazji się nim pobawić ale na pewno sprawdzę.
Podsumowując KDE po prostu działa, jest podobne do starego UI Windowsa ale wygląd można upodobnić do prawie wszystkiego, ma wszystkie funkcje które potrzeba, jak czegoś brakuje to jest masa rozszerzeń które nie psują się co miesiąc jak w GNOME, devowie nie prowadzą UI/UX-owego faszyzmu, wymagania nie są z czapy no i ciągle dodają do niego coraz to nowsze funkcje i usprawnienia. Korzystam z KDE od paru lat i jestem fes zadowolony. Jak kogoś przytłacza ilość funkcji to zwyczajnie nie musi z nich wszystkich korzystać i uczyć się po trochu. Ja tak zrobiłem jak zaczynałem, w większości apek systemowych można ukryć praktycznie wszystkie dodatkowe przyciski, toolbary oraz menu i wtedy apki wyglądają jak te z innych DE.
redveFanatyk
49piorunów
Ogólnie nawet jak ktoś nie jest linuxiarzem to powinien na to patrzeć pozytywnie bo w końcu Windows zaczyna mieć realną konkurencję w gamingu a to oznacza dla nas lepszy produkt.
Swoją drogą założę się, że zaczęli się teraz tym martwić ponieważ następny Xbox ma mieć opcje odpalania gier z PC czyli już faktycznie będzie po prostu PCtem w obudowie konsoli. A to oznacza, że jego największym rywalem może wcale nie być Playstation tylko SteamMachine xD.
Mimo mrocznej strony valve związanej z hazardem duży szacunek ze nie jest na NASDAQ. Po prostu jest to spółka kolesi co robi fajne rzeczy i nie ma dupościsku ze trzeba zwolnić x areczków żeby wykazać większe zyski niz w zeszłym roku a potem ich trzeba znowu zatrudniac
30ohmFanatyk
20piorunówA trzeciego dnia zastali pusty grub. Robię instalacje pod bieda nas i grub na efi postanowił się zainstalować na błędnym dysku z raid. Terminal umie bootowac tylko z jednego z dwóch dysków.

@30ohm używaj systemd-boot zamiast grub. no ale - nie jest taki memiczny jak coś pójdzie nie tak :smiley:
30ohmFanatyk
52piorunówPotężny błąd w Linux. Znalazcy udostępniają też kod exploita. Uruchomienie go na podatnej maszynie daje atakującemu prawa roota.
Występuje od 2017 roku w jądrze i wystarczy jeden prosty skrypt aby przejąć maszynę. Lokalnie, nie zdalnie. Druga opcja też jest możliwa jak się wie jak to zrobić. W ubuntu 24.04 czy też popularnym tutaj mincie wchodzi jak w masło.
Wyobraźcie sobie co się będzie działo na serwerach #hosting gdzie większość ma wywalone na aktualizacje.
Opis niebezpiecznika z szybką łatą: https://niebezpiecznik.pl/post/copyfail-linux-exploit/

@30ohm - jak jądro to nie tylko Ubuntu czy Mint ale jak źródło podane przez Ciebie podaje:
Praktycznie każdy Linuks wydany po 2017 roku jest podatny.
Patch i opis są przecież na stronie z przykładem exploita, po co spamować niebezpiecznikiem?
Miedzyzdroje2005Gruba ryba
22piorunówJedziemy z Artixem na OpenRC. Zanim systemd zapyta mnie o wiek i zablokuje mi dostęp do pornoli 😛

Jestem zbyt leniwy żeby mi się chciało uczyć żyć bez systemd tylko dlatego, że zaczynają pytać o wiek.
@Catharsis a zaczynają? Z tego, co kojarzę to po prostu dodali pole do informacji o użytkowniku i wsio.
@szatkus-4 Nie wiem tbh xD. Jak już coś to zapewne dystrybucje używające systemd będą się pytać podczas instalacji ale nie wiem. Przestałem się interesować tą "aferą" jak tylko doczytałem, że chodzi o wiek xd. Wydaje mi się, że są teraz poważniejsze rzeczy w świecie IT do interesowania jak np. Google zamykające Androida na aplikacje od niezweryfikowanych twórców itp. Przy tym pytanie się o pełnoletność użytkownika to naprawdę pikuś.
@Catharsis to był żart. Ale systemd się rozwija coraz bardziej puchnąc i to już zabawne nie jest
Ja pojechałem grubiej i ćwiczę #freebsd xD
30ohmFanatyk
13piorunówWiecie co jest najgorsze w tworzeniu oprogramowania opensource?
Użytkownicy.
Martwy program od lat, mam forka na github bo robiłem patche do niego. Oczywiście ustawiony jako zarchiwizowany, bo nikt tego współcześnie nie używa. Przez to, że opis jest po polsku trafia się on janusz zapewne radiowiec krótkofalowiec z pytaniami na maila. Ciekawe jak go znalazł bo po paru takich akcjach usunąłem gdzie się dało.
Jak to zainstalować, bo mu na debianie 13 nie działa, czy jak zmieni dystrybucje to będzie działać. Dlaczego nie rozwijam.
Weź mu nie odpisz to będzie spamował przez tydzień codziennie.
Za każdym je⁎⁎⁎ym razem tacy sami, jak nie hindusi to polskie janusze. A chciałem w erze gówno AI wrócić do pomysłu sprzed 20 lat i prowadzić gówno technologicznego bloga. To nie ma sensu.
@30ohm szczerze :grinning: nie odpowiadaj. Olej i elo!
@30ohm - stawiam na bezpośrednie uczenie ludzi, którzy chcą się nauczyć 🤷
A w swoich repozytoriach na GitHubie mam ustawiony adres no-reply: https://docs.github.com/en/account-and-profile/reference/email-addresses-reference#your-noreply-email-address i jedyne interakcje w jakie wchodzę z użytkownikami są przez Issues - na które odpowiadam jak mi się chce.
W ogóle to nie mam zamiaru dawać darmowego kontentu korporacjom, by uczyły swoje ejai na nim i sam sobie teraz hostuję swoje repozytoria i kolaboracja z nikim mnie już właściwie nie interesuje.
Jedyne jeszcze od wielkiego dzwonu dodam jakiś PR do otwartoźródłowego softweru, który lubię i z którego sam korzystam.
Email addresses reference - GitHub DocsFind information about your email addresses on GitHub, including verification, privacy, and commit attribution.GitHub Docs@koszotorobur to mam już ustawione od dawna, stawiam na wyszukanie po jakiś mega starych bugach, bo dostałem na spam maila używanego lata temu. Obecnie wpada tylko spam
kim_jestesmy_dokad_zmierzamyOsobistość
3piorunówPotrzebuje na starym lapku zainstalować linuksa, i pytanko, bo moja kariera linuksiarza zakończyła się z 20 lat temu.
Jaki lekki wm? Kiedyś używałem fluxboxa, ale widzę, że nie jest aktualizowany od 10 lat.
@kim_jestesmy_dokad_zmierzamy - ściągaj gotowe desktopowe spiny Fedory i sam potestuj co Ci z obecnie dostępnych środowisk graficznych i menadżerów okien pasuje: https://fedoraproject.org/spins/
Fedora SpinsFedoraproject@kim_jestesmy_dokad_zmierzamy Pytasz o WM, a ludzie Ci całe distro polecają. Lekki w miarę xfwm, przychodzący razem ze środowiskiem XFCE. Bardzo, bardzo lekkie są jakieś tilingi w stylu i3 - ale do tiling window managerów trzeba się przyzwyczaić bo to zupełnie inny user experience.
@LondoMollari wiem, ja to rozróżniam, a widać że inni nie.
Spróbuję hyprland, jeśli będzie działać dobrze, to zostanie, a jeśli nie, to wrzucę jakieś xfce czy coś podobnego.
Szkoda ze fluxbox nie jest rozwijany od 10 lat, bo mi to najbardziej pasowało.
MarchewGruba ryba
19piorunówMijają dwa tygodnie odkąd przeniosłem się na linuxa.
openSUSE Tumbleweed
Co prawda Instalacja na drugim fizycznym dysku, windows wciąż na pierwszym dysku. Ile razy go odpaliłem od momentu instalacji linuxa?
Dwa razy. Pierwszy raz ponieważ nie zapisałem adresu IP bieda serwera w szafie. Drugi raz ponieważ nie wykonałem poprawnie backupu playlist w foobar2000.
Jestem przekonany że największym problemem "roku linuxa" to użytkownicy i ich przyzwyczajenia.

@Marchew jak szukasz jakiegoś zamienniki foobara 2000 na linuksie to spróbuj Deadbeef
szatkus-4Osobistość
10piorunówWeekend się zaczął, więc można szaleć.

Uu ryzykant.
Śpij słodko aniołku [°]
30ohmFanatyk
13piorunówLinux News
1. Wczoraj wyszło ubuntu 26.04 lista zmian https://www.omgubuntu.co.uk/2026/04/ubuntu-26-04-lts-changes-since-24-04
Zaktualizowałem na jednej z maszyn i standardowo poszło jak zwykle. Z powodu zaszyfrowanego dysku system nie startuje, błąd niby załatany https://bugs.launchpad.net/ubuntu/+source/cryptsetup/+bug/2084251 ale zrobiony jak to w ubuntu czyli dla obcego. Ogólnie duża rzeźba z upgrade. A ja mam stosunkowy pusty system, bo tylko do testowania softu służy. Trzeba z pół roku poczekać z aktualizacją.
2. Dzisiaj wychodzi Fedora 44, gdzie nie ma takich problemów jak z ubuntu które często jest przestarzałe. Jako, że to mój główny system i nie wszystko jeszcze jest dostępne z oprogramowania 3rd part, to czekam z aktualizacją.

@30ohm "Resolute Raccoon" bo wyciągnęli kod ze śmietnika? ( ͡° ͜ʖ ͡°)
30ohmFanatyk
12piorunówDebian wybrał nowego lidera. Została nim Sruthi Chandran.
Według opisu z konferencji https://debconf21.debconf.org/users/srud/ A feminist, a librarian turned Free Software advocate and a Debian Developer.
Ładne combo wylosowało, feministka z Indii.
https://www.youtube.com/watch?v=aEDlCoHKs0M
Już ta dystrybucja stała się gówniana, bo błędy głównie w postaci starego softu od dłuższego czasu nikt nie łata. To może być gwóźdź do trumny.
@30ohm - debian idzie w ideologię w ślad za archem, rhel i fedora stawiają na kod generowany przez AI i korpo praktyki :face_exhaling:
Trzeba chyba wrócić do źródła i zacząć używać Slacka :thinking_face:
@koszotorobur albo gentoo