Shared posts

07 Nov 21:21

NGINX: Cómo aumentar el tiempo de espera de las solicitudes

by davidochobits

En el popular servidor web NGINX, de forma predeterminada, el tiempo de espera de las solicitudes son de 60 segundos. En algunos casos es posible que necesitemos aumentar este tiempo, para atender solicitudes de...

La entrada NGINX: Cómo aumentar el tiempo de espera de las solicitudes se publicó primero en ochobitshacenunbyte.

07 Nov 16:47

Estrategia en GCompris – A fondo @g_compris (15)

by baltolkien

Finalizo la serie de que inicié inspirado por una publicación de Valencia Tech en la que se realizaba un listado completo de juegos que ofrece GCompris. Para concluir cierro con la sección de «Estrategia» en GCompris, la cual complementa las actividades de juegos de la suite educativa.

Estrategia en GCompris – A fondo @g_compris (15)

Para poder tener claro lo que hacen las aplicaciones de GCompris he pensado hacer una revisión a su enorme colección de juegos y actividades, realizando una simple captura de pantalla y una breve descripción.

Ya hemos descrito la secciones de:

Y ya es hora de hablar de la actividades de la sección «Estrategia» de GCompris donde nos encontramos con miniaplicaciones pensadas para desarrollar nuestro raciocinio.

Juegos de mesa contra Tux o contra tu amigo: intenta no colocar una ficha en la casilla roja decidiendo cuantas pones antes. Juego más complicado de lo que parece.

Estrategia en GCompris – A fondo @g_compris (15)

Cuatro en raya contra Tux o contra un oponente humano: clásico y adictivo juego donde debes alinear 4 fichas de tu color.

Estrategia en GCompris – A fondo @g_compris (15)

Juego del Molino contra Tux o contra un amigo: No conocía este juego, pero según leemos en la Wikipedia: cada jugador dispone de nueve piezas, u «hombres», que se mueven en el tablero entre veinticuatro intersecciones. El objetivo del juego es dejar al oponente con menos de tres piezas o sin movimiento posible.

Estrategia en GCompris – A fondo @g_compris (15)

Tres en raya contra Tux o contra un oponente humano: clásico juego donde debes alinear 3 fichas de tu color para ganar. Elemento fundamental del clásico del cine Juegos de Guerra.

Damas contra Tux o contra un oponente humano: Otro clásico con los que afinar tus dotes estrategas.

Estrategia en GCompris – A fondo @g_compris (15)

Ajedrez contra Tux o contra un oponente humano: ¿qué se puede decir de este juego milenario?

Estrategia en GCompris – A fondo @g_compris (15)

Final de partida de ajedrez: soluciona los típicos problemas de ajedrez que suelen aparecer en los periódicos.

Colores avanzados: aprende los colores más complejos, pon a prueba tu agudeza distinguiendo matices.

Colores avanzados: aprende los colores más complejos, pon a prueba tu agudeza distinguiendo matices.

Y, con esto, queda finalizado el repaso de GCompris, una suite educativa espectacular, funcional, variada y en constante desarrollo.

07 Nov 16:24

El comando wc de #GNU

by victorhck

Veamos qué puede hacer y cómo se usa el comando wc de las herramientas coreutils del sistema GNU

Los comandos de GNU coreutils son las herramientas básicas de nuestros sistemas GNU con kernel Linux similares a las de sistemas Unix, para gestionar desde la línea de comandos el sistema y operaciones con archivos de texto.

En este caso vamos a repasar las opciones del comando wc que sirve para contar las líneas, caracteres y palabras de un archivo u archivos, para utilizarlo en nuestra consola o incorporarlo a nuestros scripts.

En muchos sitios quizás habréis leído sobre este comando que lo que hace es contar el número de líneas de un archivo (o archivos) ¿verdad? ¡Pues es falso! o al menos no es correcto del todo.

El comando cuenta los caracteres de líneas nuevas de un archivo, normalmente representado por \n, además de también contar, palabras y caracteres.

¿Y por qué esa distinción entre líneas y caracteres de nuevas líneas? Vayamos por pasos y poco a poco.

El símbolo $ delante del comando, no es parte del comando y no hay que escribirlo, esto significa que el comando es ejecutado por un usuario sin privilegios de root.

Contador de saltos de línea en un archivo

Para empezar vamos a crear un archivo (sin un salto de línea \n al final del archivo) mediante este comando:

$ echo -n "este archivo tiene 5 palabras" > archivo

Si ahora ejecutamos el comando cat para mostrar el contenido del archivo veremos lo siguiente:

$ cat archivo
este archivo tiene 5 palabras

Como he dicho el comando wc cuenta el número de líneas, el número de palabras y el número de caracteres y los saca por la salida estándar que en este caso sería mostrarlos por pantalla en ese orden junto con el nombre del archivo.

En este caso debería mostrar que el archivo tiene 1 línea, 5 palabras y 29 caracteres ¿no? Veamos qué sucede al ejecutar el comando

$ wc archivo
0 5 29 archivo

Nos dice que no tiene ninguna línea y sí 5 palabras y 29 caracteres. Sucede esto, porque hemos creado el archivo con el comando echo pero sin salto de línea final.

Veamos la diferencia, volviendo a crear el archivo con el comando echo, pero ahora de esta manera (lo que haríamos de manera normal):

$ echo "este archivo tiene 5 palabras" > archivo

A priori el archivo sería igual y si volvemos a mostrarlo con el comando cat, no veríamos ninguna diferencia, pero sí las hay si volvemos a ejecutar el comando wc anterior:

$ wc archivo
1 5 30 archivo

Ahora nuestro archivo sí tiene un salto de línea al final de la única línea que contiene y como verás también ha sumado 1 al contador de caracteres, ya que ahora ese caracter de salto de línea es tomado como tal en la cuenta.

Al editar archivos con un editor de texto, este automáticamente suele añadir esos saltos de línea al final de cada línea.

Palabras para wc

¿Y a qué se refiere una palabra cuando hablamos del comando wc? Una palabra es una secuencia de caracteres delimitadas por espacios en blanco (saltos de línea, tabuladores, etc). Veamos un ejemplo:

$ echo "¿Esto son (¡5 palabras!)?" > archivo
$ wc -w archivo
4 archivo

El contador de palabras del comando wc (más adelante veremos cómo mostrar solo las palabras de un archivo) nos dice que este archivo tiene 4 palabras, para el comando wc los signos de puntuación son irrelevantes.

Vamos a modificar esto añadiendo algunos espacios en blanco para “crear” más palabras para el comando wc:

$ echo "¿Esto son ( ¡5 palabras! ) ?" > archivo
$ wc -w archivo
7 archivo

El añadir más espacios en blanco a los espacios en blanco, no aumenta el número de palabras encontradas:

$ echo "¿Esto son (    ¡5 palabras!     )    ?" > archivo
$ wc -w archivo
7 archivo

Bueno, la introducción ha sido un poco larga, pero me parecía interesante dejar claro el concepto antes de continuar viendo más opciones del comando.

wc con varios archivos

El comando puede ser ejecutado pasándole varios archivos a la vez y mostrará las sumas de líneas, palabras y caracteres mas el nombre del archivo de cada uno de ellos y además un total con la suma de todos. Por ejemplo, en mi caso:

$ wc archivo1 archivo2 archivo3                                       
  1   5  30 archivo1
  4   8  36 archivo2
  4   8  36 archivo3
  9  21 102 total

Filtrando qué muestra el comando wc

Pero quizás no queremos que nos muestre toda esa información porque para nuestro script o nuestra necesidad solo queremos que muestre uno o varios de esos valores, para ello le podemos decir al comando wc qué valor queremos que nos muestre con estas opciones:

  • -c → muestra el valor de bytes del archivo
  • -m → muestra el valor de caracteres del archivo
  • -w → muestra el valor de palabras del archivo
  • -l → muestra el valor de líneas (ya sabes caracteres de nueva línea \n) del archivo

Los valores no son excluyentes, es decir, especificar un valor no elimina que se muestre otro y siempre se mostrarán en orden de líneas, palabras y caracteres, por ejemplo podemos utilizar cualquiera de estos comandos para mostrar los números de lineas y palabras del archivo:

$ wc -wl archivo
$ wc -w -l archivo

Mostrar el valor de la linea mas larga con wc

Otra funcionalidad interesante del comando wc es la de mostrar el valor del número de caracteres de la línea mas larga del archivo con la opción -L

Si especificamos varios archivos, mostrara el valor de la linea mas larga de cada archivo y un total que no es tal, ya que no es la suma de todos los valores, si no el valor mas grande de todos los mostrados:

$ wc -L archivo1 archivo2 archivo3                                       
  30 archivo1
  8 archivo2
  42 archivo3
  42 total

Omitir el nombre del archivo en la salida del comando wc

Al usar este comando, en la salida del resultado nos muestra el nombre del archivo, si queremos utilizar este comando en un script, quizás esa información no nos interesa, por lo que tendríamos que procesar la salida para eliminar el nombre del archivo.

Pero existe una manera para hacer que no se muestre directamente el nombre, utilizando la redirección. El comando muestra el nombre cuando es una opción del comando en la línea de comandos, pero no cuando proviene de la entrada estándar (el teclado) u otra fuente y eso es lo que haremos

Usando el redireccionamiento con <

$ wc -w < archivo
7

Usando la entrada estándar

Hasta ahora hemos visto que el comando wc de GNU cuenta el número de líneas, palabras y caracteres de un archivo o archivos, pero también puede hacerlo de las palabras que introduzcamos desde el teclado con la opción –

Usando la entrada estándar (para acabar de introducir texto usaremos la combinación de teclas Ctrl+d):

$ wc -w -
Introduciendo texto
desde el teclado
(Ctrl-d)
5 -

Y estas serian las opciones mas interesantes del comando wc de GNU. ¿Conocías el comando y su uso? ¿Te parecen interesantes estas series de artículos? Usa los comentarios para comentar sobre ello.

26 Oct 17:41

Usando WGET con ejemplos (y un extra)

by masgnulinux
Wget es una de tantas utilidades que tiene el proyecto GNU. Esta herramienta tiene un uso mediante la terminal aunque son muchos proyectos con interfaz gráfica que lo usa junto a cURL para obtener archivos. Wget es la composición de World Wide Web + la palabra inglesa Get, obtener. Entonces es fácil entender para qué […]
26 Oct 17:41

Firefox podría llegar a Ubuntu 21.10 en formato Snap en lugar de Deb

by Eduardo Medina

firefox wayland

Canonical está dispuesta a convertir a Snap, como mínimo, en el nuevo formato de paquetes para las aplicaciones de Ubuntu (y a ser posible del resto de distribuciones), así que después de los ríos de tinta que corrieron por el caso de Chromium, ahora nos llega una “secuela” con Firefox, que en Ubuntu 21.10 apunta a que será servido en formato Snap.

Olivier Tilloy, empleado de Canonical, ha enviado una excepción de congelación de funciones (FFE) para que el paquete Deb de Firefox sea reemplazado por otro en formato Snap. Al parecer la decisión de proponer este cambio no ha sido tomada de forma unilateral por la compañía desarrolladora de Ubuntu, sino que deriva de un acuerdo con Mozilla según se puede leer en el correspondiente bug en Launchpad:

Según el acuerdo de distribución de Canonical con Mozilla, vamos a convertir el complemento en la instalación predeterminada de Firefox en los ISO de escritorio a partir de Ubuntu 21.10.

El complemento está compilado y publicado para amd64, armhf y arm64. Mozilla y el equipo de escritorio de Ubuntu lo mantienen conjuntamente, y Mozilla lo publica.

La información que hemos obtenido da a entender que Mozilla va a tener un papel activo en el mantenimiento de Firefox en formato Snap, lo que limaría una situación que el navegador ha arrastrado durante mucho tiempo y que la fundación no decidió atajar hasta hace relativamente poco: la falta comunicación con las distribuciones para mejorar la resolución de errores en Firefox para Linux.

El impulso de Firefox en formato Snap como un esfuerzo conjunto de Canonical y Mozilla queda reforzado con las explicaciones dadas por Ken VanDine en Discourse, quien ha motivado el cambio en la mejora del soporte multiplataforma al suministrar un paquete que puede funcionar sobre cualquier distribución que haga uso de snapd, la recepción de una aplicación sin adulterar, la mayor facilidad a la hora de actualizar y en el menor tiempo necesario para mantenerlo.

La distribución de Firefox en formato Snap en Ubuntu 21.10 tiene muchas posibilidades de hacerse realidad, porque aparte de todo lo mencionado por Canonical, en las notas de lanzamiento de Firefox 92 se puede leer lo siguiente: “Canonical ahora está construyendo un Snap oficial de Firefox. Ahora también está disponible en dos arquitecturas adicionales, ARMhf y ARM64 (que sumaron a x86 de 64-bit)”.

En resumidas cuentas, que el suministrar Firefox en formato Snap es, al menos sobre el papel, una gran ventaja para los usuarios de snapd en general y Ubuntu en particular, pero mucho nos tememos que a partir de ahora llegarán las discrepancias, muy posiblemente siguiendo la misma línea que vimos con Chromium.

Primero, habrá que ver cómo se toman las derivadas de Ubuntu esta noticia. Linux Mint levantó bastante polvareda en su momento con Chromium, y si bien al principio hubo muchas quejas y pocas soluciones, luego los responsables de la derivada decidieron empaquetar el navegador ellos mismos. En esta ocasión la situación es diferente, ya que Linux Mint cuenta y preinstala su propio paquete de Firefox, pero hay que tener en cuenta que derivadas de Ubuntu hay decenas y no todas tienen los medios para mantener un paquete propio de Firefox, así que habrá que ver si deciden apoyarse en lo ofrecido por Linux Mint.

Por otro lado tenemos los múltiples debates en torno a los formatos de paquetes. Algunos rechazan de plano tanto Snap como Flatpak debido a razones técnicas, otros defienden a Flatpak sobre Snap por temor a que el segundo dé demasiado poder a Canonical sobre la distribución de aplicaciones para Linux, y otros defienden a Snap sobre Flatpak porque el primero permite recopilar estadísticas y cuenta con una mayor cantidad de compilaciones oficiales de aplicaciones procedentes de empresas, como Spotify y Visual Studio Code.

En resumidas cuentas, que el cambio de Firefox a formato Snap en Ubuntu 21.10 tiene aparentemente bastantes probabilidades de materializarse, aunque a nivel técnico quedan puntos por pulir como la instalación de extensiones para GNOME (cosa que no soporta de momento), el hecho de no use la carpeta de descargas predeterminada y que los temas, los iconos, los colores y las fuentes personalizados no siempre se aplican correctamente.

¿Y tú, qué opinas de este cambio propuesto por Canonical (con la bendición de Mozilla)? Es cierto que técnicamente existe la posibilidad de que la compañía mantenga el paquete Deb mientras pone la versión Snap por defecto, pero viendo el precedente de Chromium, lo lógico es pensar en un proceso de sustitución.

AVISO: El artículo ha sido corregido el 17 de septiembre de 2021 a las 21:40 aproximadamente.

26 Oct 17:19

Disponible herramienta gratuita descifrado víctimas ransomware REvil

by Unknown

La buena noticia es que se ha publicado un descifrador gratuito del ransomware REvil / Sodinokibi, que permite a las víctimas de ataques realizados antes del 13 de julio de 2021 restaurar sus archivos sin tener que pagar a los ciberdelincuentes. Y la mala noticia es que los responsables de Sodinokibi,  uno de los grupos más longevos de su historia, que habían estado un tiempo inactivos (unos 2 meses), están de nuevo en funcionamiento , en búsqueda de nuevas víctimas. Con su vuelta uno ya se puede uno imaginar que el parón fue debido a la policía incautó parte de su infraestructura y por eso consiguió las claves maestras del cifrado y ahora el grupo ha vuelto con una nueva infraestructura, y con nuevas claves de cifrado que harán inútil la herramienta para las nuevas víctimas.

 

Leer más »
26 Oct 17:16

Tuxedo se convierte en patrocinador de KDE

by J.Pomeyrol

tuxedo

Tuxedo se convierte en patrocinador de KDE. O lo que es lo mismo, el proyecto de software libre suma a su lista de mecenas a la segunda marca especializada en ordenadores con Linux en lo que llevamos de año, después de que la española Slimbook hiciese lo propio.

En el caso de Tuxedo, hay que trasladarle a Alemania, de donde es oriunda esta compañía, muy del estilo de la mencionada Slimbook o, en menor medida, de la más veterana System76, que como sabéis cuenta incluso con su propia distribución Linux, Pop!_OS. Por lo demás, el perfil es similar y sus productos también, lo cual es normal, teniendo en consideración que no hablamos de gigantes del sector tecnológico.

A Tuxedo hace menos tiempo que le seguimos la pista ya que tardó un poco más en asomar la cabeza, al menos fuera de Alemania, pero desde entonces lleva una marcha de lanzamientos de nuevos equipos y renovaciones de catálogo constantes. En lo que va de año, por ejemplo, nos hemos hecho eco de los nuevos InfinityBook S 15 y, hace apenas unas semanas, de los portátiles gaming Polaris.

«Nuestros equipos Linux personalizados (para trabajar o jugar) están equipados con KDE Plasma, lo que lleva a una respuesta positiva de nuestros clientes. Además, hacemos nuestro propio trabajo de desarrollo, lo que también podría beneficiar a KDE. Estamos felices de compartir nuestro conocimiento y nos gustaría asegurar y expandir el trabajo de desarrollo de KDE a largo plazo». Herbert Feiler, CEO de Tuxedo.

«Para KDE, alcanzar y servir a los usuarios finales es parte de nuestra razón de existir y Tuxedo puede ser un gran aliado en este esfuerzo. Juntos podremos expandir nuestras fronteras y crear sistemas y herramientas para servir aún más a nuestros usuarios. Es especialmente alentador ver el compromiso de Tuxedo al unirse a nuestras comunidades de desarrollo y colaborar para mejorar los productos KDE». Aleix Pol, presidente de KDE e.V.»

Tuxedo se une así a otros patrocinadores corporativos como Blue Systems, Canonical, Enioka, Google, Pine64, Slimbook, SUSE y The Qt Company.

26 Oct 16:59

Facebook admite en documentos internos que Instagram es tóxico y adictivo entre adolescentes

by Unknown

Los detalles surgen de una investigación del periódico estadounidense The Wall Street Journal llamada Los archivos de Facebook. La información sobre Instagram es la segunda entrega. El caso de Instagram y las adolescentes es especialmente sangrante porque afecta a un grupo más delicado. Los menores apenas usan Facebook: un 40% de usuarios de Instagram en Estados Unidos tiene menos de 22 años

 


Leer más »
26 Oct 16:36

Disponible nueva versión de Kali Linux 2021.3

by Unknown

Los desarrolladores han publicado la primera versión de Kali NetHunter para un reloj inteligente: el TicHunter Pro (con Wear OS). Kali Linux 2021.3 también viene con una serie de nuevas herramientas, e incluye soporte mejorado de virtualización, soporte ARM y adición de protocolos / cifrados inseguros a OpenSSL.



Leer más »
26 Oct 16:04

¿Quien fue el precursor de la Wikipedia? Oh, wait..

by masgnulinux
La Wikipedia es quizás, uno de los ejemplos del éxito del software libre y del trabajo y aporte colaborativo, abierto y libre. No es el único, pero sí probablemente sea la herramienta más utilizada para cualquier tipo de consulta, pues la Wikipedia es el banco más grande que existe de información. Y esta información lo […]
24 Oct 17:58

Programa secreto de Facebook permite a usuarios VIP saltarse las reglas

by Unknown

 Facebook tiene un programa interno secreto (hasta hoy) que permite a millones de usuarios vip (atletas, políticos y otras celebridades) saltarse las normas de la red social sin consecuencias, según informa The Wall Street Journal. La existencia de este programa conocido internamente como XCheck liquida uno de los pilares de Facebook, que hasta ahora se había vanagloriado de tratar a todos sus clientes por igual independientemente de su popularidad o estatus.


Leer más »
24 Oct 17:11

GNOME, KDE Plasma y la pesadilla de grabar desde Wayland

by Eduardo Medina

GNOME, KDE Plasma e Intel

Como usuario, fan y defensor de Linux, he chocado muchas veces con la opinión de la comunidad. Uno de los principales puntos en los que suelo chocar con los demás es la experiencia con los gráficos, un aspecto que a la mayoría no le importa debido a que ha dado por buena una pila mediocre en la que la mayoría los drivers eran muy mejorables hasta hace poco y en la que el diseño de Xorg hace imposible la eliminación del tearing. Aquí es donde entra uno de los temas más candentes, Wayland, ya que el protocolo ha generado a su alrededor un agrio debate entre sus defensores y detractores.

Mi postura en torno a Wayland no es ningún secreto. Por un lado defiendo el protocolo porque me parece un avance en la dirección correcta en lo que respecta al despliegue de gráficos en GNU/Linux. Una vez se haya asentado, la pila será más simple al encargarse el compositor de muchas de las funciones de Xorg (Wayland es un protocolo que se implementa en el compositor).

Por otro lado es obvio que el diseño de Wayland se ha quedado corto en muchos aspectos, haciendo que sea difícil de implementar y trabajar y que se haya necesitado de soluciones externas para mitigar algunas de sus carencias, destacando aquí PipeWire.

KDE Plasma Vs GNOME en Wayland: Proyección frente consolidación

En lo que respecta a mi uso personal, Wayland se ha convertido en una de las razones de por qué mi distrohopping ha bajado muchos enteros. Desde hace tiempo uso Fedora Workstation, que destaca por el uso de GNOME en su configuración base y es uno de los sistemas de referencia del entorno.

No es ningún secreto que la sesión de Wayland sobre GNOME es la implementación más avanzada del protocolo vista en un escritorio, pero eso podría cambiar dentro de poco, lo que ha hecho que me pregunte si debería de volver a KDE Plasma.

Cierto es que la implementación de Wayland en Mutter (el compositor de GNOME) sigue estando más pulida que la de Kwin, pero es innegable que en este 2021 el compositor de KDE Plasma ha metido turbo a su adaptación del protocolo, lo que ha llamado poderosamente mi atención porque a mí lo que me encandila del mundo de la tecnología no es lo que existe, sino aquello que atesora un enorme potencial que a veces no todo el mundo ve. Esto ya lo viví en su momento con AMDGPU y lo vivo ahora con las gráficas dedicadas de Intel y la proyección de Wayland en Kwin.

La meteórica proyección de Wayland en KDE durante el presente año no solo se ha traducido en una mejora en la experiencia de usuario, sino también en características que están siendo implementadas antes en Kwin que en Mutter. Por ejemplo, la sesión sobre Wayland de KDE Plasma ya soporta FreeSync/tasa de refresco variable, mientras que el código para hacer lo mismo en GNOME todavía no ha sido fusionado.

Si bien la implementación de Wayland en Mutter sigue estando más pulida, el escenario podría cambiar radicalmente una vez que Kwin haya conseguido ponerse a la altura en ese sentido, ya que nos podríamos encontrar con que el compositor de KDE Plasma es más avanzado en cuanto a características.

Mi pesadilla con DMA-BUF en GNOME

Soy un asiduo usuario de Wayland. De hecho, uso Wayland para absolutamente todo menos la grabación de gameplays, cosa que no puedo hacer debido a que el soporte de DMA-BUF para Radeon no está consolidado en GNOME y a una regresión que afecta específicamente a Fedora 34 Workstation.

El tema de la implementación de DMA-BUF para Radeon en GNOME es algo que me tiene un poco quemado al ser una característica necesaria para la grabación de gameplays y otros contenidos que funcionan a pantalla completa. Debido a que el soporte todavía no está estable para Radeon, me veo obligado a hacer dichas grabaciones desde Xorg, y es una pena porque, como ya he dicho en otras ocasiones, es lo único que impide mi migración total (sí, hasta juego desde la sesión de Wayland).

De hecho, el uso de DMA-BUF es lo que despierta mi interés por las gráficas dedicadas de Intel, ya que el soporte de dicho búfer para esas GPU fue consolidado en GNOME 3.38. Por otro lado, GNOME 41 está a la vuelta de la esquina y el problema con Radeon sigue presente y no pinta que vaya a ser resuelto a corto plazo.

GNOME Vs KDE Plasma Vs gráficas dedicadas de Intel: ¡La carrera de los ratones!

A estas alturas creo que ha quedado claro que la posibilidad de que vuelva a KDE Plasma dependen de DMA-BUF y las posibilidades de grabar desde Wayland. No voy a negar que cada vez que veo “more Wayland patches” o algo similar en las noticias sobre KDE Plasma se me ponen los dientes largos, y es que la proyección de Wayland en Kwin está siendo tan grande que el año que viene podríamos ver un vuelco en su competencia con Mutter.

He convertido a las gráficas dedicadas de Intel, a GNOME y a KDE Plasma en tres involuntarios competidores de una carrera para ver qué paso doy. Las gráficas dedicadas de Intel tienen la ventaja de garantizarme el buen soporte de Wayland (si Intel cumple las expectativas a nivel de drivers) y me harían ganar un soporte decente para la codificación por hardware, pero tienen el inconveniente de tener que tirar de la tarjeta de débito. GNOME sigue por ahí, y salvo el punto mencionado, su sesión de Wayland es bastante usable, pero su principal fuerte son sus aplicaciones para la organización personal, las cuales me son muy difíciles de sustituir. Por su parte, KDE Plasma tiene a su favor el empuje de Wayland en Kwin, pero habrá que ver si es capaz de cumplir con mis exigencias.

Veremos cómo termina esto, pero viendo cómo se las están gastando los mineros, me temo que el resultado será arriesgarme con la compra de una gráfica dedicada de Intel de salida, a pesar de que ANV, el driver de Vulkan para Intel incluido en Mesa, pinta que no estará del todo listo para la ejecución de videojuegos desde Linux cuando llegue el momento.

Pese a todo, mi posible regreso a KDE Plasma no sería a corto plazo, sino que será algo que me plantee cuando KDE neon haya migrado a la base de Ubuntu 22.04 LTS, con Manjaro KDE y el spin de Fedora con KDE como los otros aspirantes a gobernar mis ordenadores.

24 Oct 17:02

OpenSSL 3.0.0 llega con una gran cantidad de cambios importantes y mejoras

by Darkcrizt

Después de tres años de desarrollo y 19 versiones de prueba se dio a conocer hace poco el lanzamiento de la nueva versión de OpenSSL 3.0.0 la cual tiene más de 7500 cambios aportados por 350 desarrolladores y que tambien representa un cambio significativo en el número de versión y que se debe a la transición a la numeración tradicional.

De ahora en adelante, el primer dígito (Mayor) en el número de versión cambiará solo cuando se viole la compatibilidad en el nivel de API / ABI, y el segundo (Menor) cuando se aumente la funcionalidad sin cambiar la API/ABI. Las actualizaciones correctivas se enviarán con un cambio de tercer dígito (parche). Se eligió el número 3.0.0 inmediatamente después de 1.1.1 para evitar colisiones con el módulo FIPS en desarrollo para OpenSSL, que tenía el número 2.x.

El segundo cambio importante para el proyecto fue la transición de una licencia dual (OpenSSL y SSLeay) a una licencia Apache 2.0. La licencia OpenSSL nativa utilizada anteriormente se basaba en la licencia Apache 1.0 heredada y requería una mención explícita de OpenSSL en los materiales promocionales cuando se usaban las bibliotecas OpenSSL, y una nota especial si OpenSSL se envió con el producto.

Estos requisitos hicieron que la licencia anterior fuera incompatible con la GPL, lo que dificultaba el uso de OpenSSL en proyectos con licencia GPL. Para eludir esta incompatibilidad, los proyectos GPL se vieron obligados a aplicar acuerdos de licencia específicos, en los que el texto principal de la GPL se complementó con una cláusula que permitía explícitamente que la aplicación se vincule con la biblioteca OpenSSL y mencionando que la GPL no se aplica a la vinculación con OpenSSL.

Novedades de OpenSSL 3.0.0

Por la parte de las novedades que se presentan en OpenSSL 3.0.0 podremos encontrar que se ha propuesto un nuevo módulo FIPS, que incluye la implementación de algoritmos criptográficos que cumplen con el estándar de seguridad FIPS 140-2 (el proceso de certificación del módulo está planeado para comenzar este mes, y la certificación FIPS 140-2 se espera el próximo año). El nuevo módulo es mucho más fácil de usar y su conexión a muchas aplicaciones no será más difícil que cambiar el archivo de configuración. De forma predeterminada, FIPS está deshabilitado y requiere que la opción enable-fips esté habilitada.

En libcrypto se implementó el concepto de proveedores de servicios conectados que reemplazó el concepto de motores (la API ENGINE quedó obsoleta). Con la ayuda de proveedores, se puede agregar sus propias implementaciones de algoritmos para operaciones como cifrado, descifrado, generación de claves, cálculo MAC, creación y verificación de firmas digitales.

Tambien se destaca que se agregó soporte para CMP, que se puede usar para solicitar certificados del servidor de CA, renovar certificados y revocar certificados. El trabajo con CMP se realiza mediante la nueva utilidad openssl-cmp, que también implementa el soporte para el formato CRMF y la transmisión de solicitudes a través de HTTP/HTTPS.

Además se ha propuesto una nueva interfaz de programación para la generación de claves: EVP_KDF (API de función de derivación de claves), que simplifica la incorporación de nuevas implementaciones de KDF y PRF. La antigua API EVP_PKEY, a través de la cual estaban disponibles los algoritmos scrypt, TLS1 PRF y HKDF, se ha rediseñado en forma de capa intermedia implementada sobre las API EVP_KDF y EVP_MAC.

Y en la implementación del protocolo TLS ofrece la posibilidad de utilizar el cliente y el servidor TLS integrados en el kernel de Linux para acelerar las operaciones. Para habilitar la implementación de TLS proporcionada por el kernel de Linux, se debe habilitar la opción «SSL_OP_ENABLE_KTLS» o la configuración «enable-ktls».

Por otra parte se menciona que una parte importante de la API se ha movido a la categoría de obsoleta: el uso de llamadas obsoletas en el código de los proyectos generará una advertencia durante la compilación. Las API de bajo nivel vinculadas a ciertos algoritmos han sido declaradas oficialmente obsoletas.

El soporte oficial en OpenSSL 3.0.0 ahora se proporciona solo para las API de EVP de alto nivel, extraídas de ciertos tipos de algoritmos (esta API incluye, por ejemplo, las funciones EVP_EncryptInit_ex, EVP_EncryptUpdate y EVP_EncryptFinal). Las API obsoletas se eliminarán en una de las próximas versiones principales. Las implementaciones de algoritmos heredados, como MD2 y DES, disponibles a través de la API de EVP, se han movido a un módulo «heredado» separado, que está deshabilitado de manera predeterminada.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

24 Oct 16:51

Spook.js, una nueva técnica para explotar las vulnerabilidades de Spectre en Chrome

by Darkcrizt

Un grupo de investigadores de universidades estadounidenses, australianas e israelíes dieron a conocer que describieron una nueva técnica de ataque que permite poder explotar las vulnerabilidades de clase Spectre en los navegadores con tecnología Chromium.

El ataque, con nombre en código Spook.js, permite al ejecutar código JavaScript evitar el mecanismo de aislamiento del sitio y leer el contenido de todo el espacio de direcciones del proceso actual, es decir, acceder a los datos de las páginas que se ejecutan en otras pestañas, pero que se procesan en el mismo proceso.

Dado que Chrome lanza diferentes sitios en diferentes procesos, los ataques prácticos se limitan a los servicios que permiten a diferentes usuarios alojar sus páginas. El método de ataque de Spook.js hace posible desde una página en la que un atacante puede incrustar su código JavaScript, determinar la presencia de otras páginas abiertas por el usuario del mismo sitio y extraer información confidencial de ellas, por ejemplo, credenciales o datos bancarios sustituidos por el autocompletado sistema en formularios web.

Otra aplicación del método es un ataque a los complementos del navegador, que permite, cuando se instala un complemento controlado por un atacante, extraer datos de otros complementos.

Spook.js es aplicable a cualquier navegador basado en el motor Chromium, incluidos Google Chrome, Microsoft Edge y Brave. Los investigadores también creen que el método se puede adaptar para trabajar con Firefox, pero dado que el motor de Firefox es muy diferente de Chrome, el trabajo de crear un exploit de este tipo se deja para el futuro.

Para protegerse contra los ataques relacionados con la ejecución especulativa de instrucciones a través del navegador, la segmentación del espacio de direcciones se implementa en Chrome: el aislamiento de la zona de pruebas permite que JavaScript funcione solo con punteros de 32 bits y comparte la memoria del controlador en montones de 4 GB no superpuestos.

Para organizar el acceso a todo el espacio de direcciones del proceso y evitar la limitación de 32 bits, los investigadores utilizaron la técnica de confusión de tipos, que permite que el motor de JavaScript procese un objeto con un tipo incorrecto, lo que hace posible formar un código de 64 bits basado en una combinación de dos valores de 32 bits.

La esencia del ataque es que al procesar un objeto malicioso especialmente diseñado en el motor de JavaScript, se crean condiciones que conducen a la ejecución especulativa de instrucciones que acceden a la matriz. El objeto se selecciona de tal manera que los campos controlados por los atacantes se colocan en el área donde se usa el puntero de 64 bits.

Dado que el tipo de objeto malicioso no se corresponde con el tipo de matriz que se está procesando, en condiciones normales dichas acciones se bloquean en Chrome mediante el mecanismo de deoptimización del código utilizado para acceder a las matrices. Para resolver este problema, el código del ataque Type Confusion se coloca en un bloque condicional «if», que no se activa en condiciones normales, pero se ejecuta en modo especulativo, si el procesador predice incorrectamente más ramificaciones.

Como resultado, el procesador accede especulativamente al puntero de 64 bits generado y revierte el estado después de determinar la predicción fallida, pero los rastros de ejecución se establecen en la caché compartida y se pueden restaurar usando métodos para determinar el contenido de la caché a través de canales terceros, analizando el cambio en el tiempo de acceso a los datos en caché y no en caché.

Para analizar el contenido de la caché en las condiciones de insuficiente precisión del temporizador disponible en JavaScript, se utiliza un método propuesto por Google que engaña la estrategia de desalojo de datos de la caché Tree-PLRU utilizada en procesadores y permite, al aumentar el número de ciclos, para aumentar significativamente la diferencia de tiempo en presencia y ausencia de un valor en la caché.

Los investigadores han publicado un exploit prototipo que funciona en Chrome 89 en sistemas con Intel i7-6700K e i7-7600U. El exploit fue creado utilizando prototipos de código JavaScript previamente publicados por Google para llevar a cabo ataques Spectre.

Finalmente los investigadores mencionan que lograron preparar exploits de trabajo para sistemas basados ​​en procesadores Intel y Apple M1, a los que se les da la oportunidad de organizar la lectura de la memoria a una velocidad de 500 bytes por segundo y una precisión del 96%. Se supone que el método es aplicable a los procesadores AMD, pero no fue posible preparar un exploit completamente funcional.

Fuente: https://www.spookjs.com

24 Oct 16:44

Fueron encontradas vulnerabilidades en la mayoría de los clientes de Matrix

by Darkcrizt

Hace poco se dio a conocer la noticia de que fueron identificadas vulnerabilidades (CVE-2021-40823, CVE-2021-40824) en la mayoría de aplicaciones cliente para la plataforma de comunicaciones descentralizadas Matrix, las cuales permiten obtener información sobre las claves utilizadas para transferir mensajes en chats cifrados de extremo a extremo (E2EE).

Un atacante que haya comprometido a uno de los usuarios del chat puede descifrar los mensajes enviados previamente a este usuario desde aplicaciones cliente vulnerables. La operación exitosa requiere acceso a la cuenta del destinatario del mensaje y el acceso se puede obtener tanto a través de una filtración de los parámetros de la cuenta como mediante la piratería del servidor Matrix a través del cual el usuario se conecta.

Se menciona que las vulnerabilidades son más peligrosas para los usuarios de salas de chat cifradas a las que están conectados los servidores Matrix controlados por los atacantes. Los administradores de dichos servidores pueden intentar hacerse pasar por usuarios del servidor para interceptar los mensajes enviados al chat desde aplicaciones cliente vulnerables.

Las vulnerabilidades son causadas por errores lógicos en las implementaciones del mecanismo para otorgar re-acceso a claves propuestas en los diferentes clientes detectados. Las implementaciones basadas en las bibliotecas matrix-ios-sdk , matrix-nio y libolm no son vulnerables a vulnerabilidades.

En consecuencia, las vulnerabilidades aparecen en todas las aplicaciones que tomaron prestado el código problemático y no afectan directamente a los protocolos Matrix y Olm/Megolm.

Específicamente, el problema afecta al cliente principal Element Matrix (anteriormente Riot) para la Web, el escritorio y Android, así como a las aplicaciones y bibliotecas de clientes de terceros, como FluffyChat , Nheko , Cinny y SchildiChat . El problema no aparece en el cliente oficial de iOS, ni en las aplicaciones Chatty, Hydrogen, mautrix, purple-matrix y Siphon.

Las versiones parcheadas de los clientes afectados ya están disponibles; por lo que se pide que se actualice lo antes posible y pedimos disculpas por las molestias. Si no puede actualizar, considere mantener a los clientes vulnerables fuera de línea hasta que pueda. Si los clientes vulnerables están desconectados, no se les puede engañar para que revelen las claves. Es posible que vuelvan a estar en línea de forma segura una vez que se actualicen.

Desafortunadamente, es difícil o imposible identificar retroactivamente instancias de este ataque con niveles de registro estándar presentes tanto en clientes como en servidores. Sin embargo, dado que el ataque requiere comprometer la cuenta, los administradores del servidor doméstico pueden desear revisar sus registros de autenticación para detectar cualquier indicio de acceso inapropiado.

El mecanismo de intercambio de claves, en cuya implementación se encontraron las vulnerabilidades, permite a un cliente que no tiene las claves descifrar un mensaje para solicitar claves desde el dispositivo del remitente u otros dispositivos.

Por ejemplo, esta capacidad es necesaria para garantizar el descifrado de mensajes antiguos en el nuevo dispositivo del usuario o en el caso de que el usuario pierda las claves existentes. La especificación del protocolo prescribe de forma predeterminada no responder a las solicitudes de claves y enviarlas automáticamente solo a los dispositivos verificados del mismo usuario. Desafortunadamente, en implementaciones prácticas, este requisito no se cumplió y las solicitudes para enviar claves se procesaron sin la identificación adecuada del dispositivo.

Las vulnerabilidades se identificaron durante una auditoría de seguridad del cliente Element. Actualmente, las correcciones ya están disponibles para todos los clientes con problemas. Se recomienda a los usuarios que instalen urgentemente las actualizaciones y desconecten a los clientes antes de instalar la actualización.

No hubo evidencia de explotación de la vulnerabilidad antes de la publicación de la revisión. Es imposible determinar el hecho de un ataque mediante los registros estándar del cliente y el servidor, pero dado que el ataque requiere comprometer la cuenta, los administradores pueden analizar la presencia de inicios de sesión sospechosos mediante los registros de autenticación en sus servidores, y los usuarios pueden evaluar la lista de dispositivos vinculados a su cuenta para reconexiones recientes y cambios de estado de confianza.

Fuente: https://matrix.org

24 Oct 16:29

yt-dlp, un fork de youtube-dlc con bastantes mejoras

by Darkcrizt

Hace algunos dias se dio a conocer el lanzamiento de la nueva versión de yt-dlp, la cual es una utilidad para descargar audio y video de servicios como YouTube. La utilidad es una bifurcación de youtube-dl basada en el proyecto youtube-dlc, que no se está desarrollando actualmente.

Ya que hasta el momento podemos notar el estancamiento del desarrollo del proyecto original youtube-dl, pues su último lanzamiento tuvo lugar el 5 de junio de 2021 y desde entonces no ha habido nuevos lanzamientos, a pesar de la presencia de una serie de nuevas confirmaciones en la rama maestra.

Al mismo tiempo, quedan sin corregir algunos errores desagradables (por ejemplo, problemas con la descarga de videos de YouTube con restricciones de edad), lo que, junto con la falta de actividad notoria, provoca diversas preguntas por parte de los usuarios.

Sobre yt-dlp

El enfoque principal del desarrollo de yt-dlp es agregar nuevas características y correcciones, así como mantener todas las características relevantes del proyecto original, como por ejemplo la clasificación de formato: las opciones de clasificación de formato predeterminadas se han cambiado para que ahora se prefieran codecs de mayor resolución y mejores en lugar de simplemente usar una tasa de bits mayor. Además, ahora puede especificar el orden de clasificación utilizando-S. Esto permite una selección de formato mucho más fácil de lo que es posible simplemente usando–format.

Asi mismo de que la mayoría de las características de otras bifurcaciones de youtube-dl se han importado, en particular la opción «–write-comments» (carga de comentarios de video en infojson), incrustación de vistas previas en mp4/ogg/opus y otros.

Entre las nuevas características de yt-dlp que faltan en el original se encuentran:

  • Usar la API SponsorBlock para eliminar / marcar inserciones patrocinadas en videos de YouTube.
  • Posibilidad de descargar álbumes de YouTube Music.
  • La capacidad de importar cookies fácilmente desde el navegador.
  • Divide el video por capítulos.
  • Descarga multiproceso de fragmentos de video.
  • Posibilidad de usar aria2c para descargar DASH (mpd) y HLS (m3u8).
  • Nuevos extractores de video
  • Todos los feeds ( :ytfav, :ytwatchlater, :ytsubs, :ythistory, :ytrec) y soporta listas de reproducción privada descarga de múltiples páginas de contenido
  • La búsqueda ( ytsearch:, ytsearchdate:), las URL de búsqueda y la búsqueda en el canal funcionan
  • Mixes admite la descarga de varias páginas de contenido
  • Solución parcial para el problema de limitación
  • Redirigir la URL de inicio del canal automáticamente/video para preservar el comportamiento anterior
  • Extracción de subtítulos de manifiestos : los subtítulos se pueden extraer de manifiestos de medios de transmisión.
  • Varias rutas y plantillas de salida : puede proporcionar diferentes plantillas de salida y rutas de descarga para diferentes tipos de archivos.
  • También puede establecer una ruta temporal donde se descargan los archivos intermediarios usando –paths( -P)
  • Configuración portátil : los archivos de configuración se cargan automáticamente desde los directorios root y de inicio.
  • Mejoras en la plantilla de salida: las plantillas de salida ahora pueden tener formato de fecha y hora, desplazamientos numéricos, recorrido de objetos, etc.
  • Otras nuevas opciones: –print, –sleep-requests, –convert-thumbnails, –write-link, –force-download-archive, –force-overwrites, –break-on-rejectetc.
  • Mejoras : Regex y otros operadores en –match-filter, verificación de archivos múltiple –postprocessor-argsy –downloader-argsmás rápida, más opciones de selección de formato, etc.

Principales novedades de yt-dlp 2021.09.02

En esta nueva versión se destaca que se incluyo la implementación de la interacción con la API SponsorBlock, ya que anteriormente, SponSkrub se utilizaba para este propósito.

Tambien se agregaron nuevas opciones para eliminar o incrustar capítulos de video y el soporte experimental para manifiestos DASH (necesita ffmpeg con este parche).

En cuanto a los extractores se menciona que se realizaron numerosas correcciones en extractores existentes, además de que tambien se añadieron nuevos, tales como: BannedVideo, bilibili, Epicon, filmmodu, GabTV, Hungama, ManotoTV, Niconico, Patreon, peloton, ProjectVeritas, radiko, StarTV, tiktok, Tokentube, TV2Hu, voicy.

Finalmente si estás interesado en conocer más al respecto de este proyecto, puedes consultar los detalles en el siguiente enlace.

Obtener yt-dlp

Para los que estén interesados en poder instalar esta aplicacion, pueden hacerlo con pip:

python3 -m pip install --upgrade yt-dlp

U otro metodo es con:

sudo wget https://github.com/yt-dlp/yt-dlp/releases/latest/download/yt-dlp -O /usr/local/bin/yt-dlp
sudo chmod a+rx /usr/local/bin/yt-dlp

24 Oct 15:50

GNU Anastasis, una implementación para realizar copias de seguridad de la mano de GNU Taler

by Darkcrizt

Hace ya varios dias el Proyecto GNU dio a conocer la introducción de la primera versión de prueba de «GNU Anastasis», un protocolo y aplicaciones de implementación para realizar copias de seguridad de claves de cifrado y códigos de acceso de forma segura.

El proyecto está siendo desarrollado por los desarrolladores del sistema de pago GNU Taler como respuesta a la necesidad de una herramienta de recuperación de claves perdidas tras una falla en el sistema de almacenamiento o por olvido de la contraseña con la que se cifró la clave.

Me complace anunciar la primera versión pública (alfa) v0.1.0 de GNU Anastasis. GNU Anastasis es una clave distribuida que preserva la privacidad solución de respaldo y recuperación. Puede usarlo para distribuir material clave a través de múltiples proveedores y recupere sus claves mediante la autenticación con cada proveedor para obtener las acciones clave. Los proveedores no aprenden nada sobre los usuarios en este proceso, excepto durante la recuperación cuando aprenden cantidad mínima de información requerida para autenticarlo dependiendo de el método de autenticación elegido.

La idea principal del proyecto es que la clave se divide en partes, y cada parte está encriptada y alojada por un proveedor de almacenamiento independiente. A diferencia de los esquemas de copia de seguridad de claves existentes que involucran servicios pagos o amigos/familiares, el método propuesto en GNU Anastasis no se basa en la plena confianza en el almacenamiento o en la necesidad de recordar la contraseña compleja con la que se cifra la clave. Proteger las copias de seguridad de las claves con contraseñas no se considera una solución, ya que la contraseña también debe almacenarse o recordarse en algún lugar (las claves se perderán como resultado de la amnesia o la muerte del propietario).

El proveedor de almacenamiento en GNU Anastasis no puede usar la clave, ya que solo tiene acceso a una parte de la clave, y para recopilar todos los componentes de la clave en un todo, es necesario autenticarse con cada proveedor utilizando diferentes métodos de autenticación, autenticación admitida a través de SMS, correo electrónico, recepción de una carta en papel regular, videollamada, conocer la respuesta a una pregunta secreta predefinida y la capacidad de realizar una transferencia desde una cuenta bancaria predefinida.

Dichos controles confirman que el usuario tiene acceso al correo electrónico, el número de teléfono y la cuenta bancaria, y también puede recibir cartas a la dirección especificada.

Al guardar la clave, el usuario elige los proveedores y los métodos de autenticación utilizados. Antes de transferir los datos al proveedor, se cifran partes de la clave mediante un hash calculado sobre la base de respuestas formalizadas a varias preguntas relacionadas con la identidad del propietario de la clave (nombre completo, fecha y lugar de nacimiento, número de seguro social, etc).

El proveedor no recibe información sobre los usuarios que están respaldando, excepto la información requerida para autenticar al propietario. Se puede pagar una cierta cantidad al proveedor por el almacenamiento (ya se ha agregado soporte para tales pagos a GNU Taler, pero los dos proveedores de prueba actuales son gratuitos). Para gestionar el proceso de recuperación, se ha desarrollado una utilidad gráfica basada en la biblioteca GTK.

El código del proyecto está escrito en C y se distribuye bajo la licencia GPLv3.

¿Como instalar GNU Anastasis en Linux?

Para quienes estén interesados en poder probar esta aplicacion pueden descargar esta versión de prueba desde su sitio web oficial desde el siguiente enlace y al finalizar la descarga debes de descomprimir el paquete y realizar a compilación del código en tu sistema.

O tambien puedes abrir una terminal y en ella vas a teclear el siguiente comando para descargar la versión actual (al momento de la redacción):

wget https://ftp.gnu.org/gnu/anastasis/anastasis-0.1.0.tar.gz

Ahora procedemos a descomprimir con:

tar -xzvf anastasis-0.1.0.tar.gz

Accedemos al directorio resultante y procedemos a realizar la compilación con:

cd anastasis-0.1.0

./configure
make
make install

Si quieres conocer más al respecto del proyecto, puedes consultar los detalles en el siguiente enlace.

22 Oct 18:36

Apple soluciona vulnerabilidad en iMessage permitía infectar iPhones con el spyware de Pegasus

by Unknown

Resulta que Apple no estaba al tanto del ataque hasta que los investigadores encontraron evidencia de él en el teléfono de un activista saudí. Apple ha publicado un parche urgente para corregir una vulnerabilidad importante en iMessage que se estaba utilizando para espiar infectando a los usuarios de iPhone. Varios expertos en seguridad han criticado recientemente a Apple por la reciente serie de vulnerabilidades descubiertas.


Leer más »
28 Sep 15:31

#06 - Komunidad: Adolfo

by kde_express@kde-espana.org (KDE Express Team)

Seguimos con el formato Komunidad KDE, otra vez con un compañero de Home Studio Libre, Adolfo Barrios. Hablamos de por donde ha pasado, como ha llegado a KDE Plasma y sus aplicaciones favoritas entre otras tantas cosas relacionadas con el Software Libre.

Artículo original en https://kdeexpress.gitlab.io/06/

Algunas de las aplicaciones mencionadas:


Puedes escuchar este episodio y seguir el podcast en tu propia aplicación facilmente con este enlace a Podlink o este a Podnews.

Transcripción a texto y subtítulos más abajo 👇, en la web steno.fm o en estas apps.

Este podcast tiene licencia Reconocimiento-CompartirIgual 4.0 Internacional (CC BY-SA 4.0).

19 Sep 16:07

🔴 LRS /02x25/ ¡EL PRECIO DE LA VERDAD! ¿ESTÁS DISPUESTO A PAGARLO? ...VUELVE LA REUNIÓN SECRETA

by La Reunión Secreta

HA SIDO POSIBLE CREAR EL PROGRAMA “LA REUNIÓN SECRETA” GRACIAS A TU AYUDA COMO GUARDIÁN MECENAS.

***** HAZTE MECENAS EN HTTPS://WWW.PATREON.COM/LAREUNIONSECRETA

Esta noche vive el directo de #LaReuniónSecreta​ desde la 22:00​ hora española. Te decimos lo que nadie dice: sin anestesia y sin edulcorantes.

¡La Reunión Secreta somos todos! No se lo digas a nadie… ¡PÁSALO! 🔁💪🤫

Conexiones en directo con:

- Jorge Gómez (Exmiembro del CNI. Analista de inteligencia. https://hsintelligence.es/ )
- Dra. Laurie Ann Ximénez-Fyvie (Doctora en Ciencias Médicas por la Universidad de Harvard, Jefe del Laboratorio de Genética Molecular de la UNAM (Universidad Nacional Autónoma de México)
- Dr. José Mª Martín-Moreno (Catedrático de Medicina Preventiva y Salud Pública en la Universidad de Valencia. Maestría y Doctorado en Salud Pública en la Universidad de Harvard. Doctor en Medicina y Cirugía por la Universidad de Granada. Ha sido Director de Gestión de Programas de la OMS para Europa. Es uno de los 20 científicos españoles firmantes de la carta en The Lancet sobre la situación de España ante la pandemia)
- José Manuel Nieves (Periodista especializado en ciencia y tecnología)
- Dr. Felipe García (Ingeniero Técnico en Informática. Profesor universitario)
- Fernando Sánchez (Licenciado en Física. Experto en Lenguas y Culturas de India e Irán. Profesor de meditación y mindfulness. Autor de tres libros)

Con el equipo habitual de La Reunión Secreta: Dr. José Miguel Gaona, Joan Miquel MJ, Carlos Martínez, Lourdes Martínez, Marta Vim y Olga Ralló.

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

SÍGUENOS EN REDES
Twitter: https://twitter.com/lrsecreta
Instagram: https://www.instagram.com/lareunionsecreta/
Facebook: https://www.facebook.com/LRsecreta

REDES SOCIALES DEL EQUIPO
| DR. JOSÉ MIGUEL GAONA | - https://twitter.com/doctorgaona
| DIRECTOR | - Joan Miquel MJ - https://www.instagram.com/official_joan_miquel_mj/
| PRODUCTORA | - Lourdes Martínez - https://twitter.com/chicadelaradio
| AYUDANTE DE DIRECCIÓN | - Olga Ralló - https://twitter.com/olgarallo
| AYUDANTE DE PRODUCCIÓN | - Carlos Martínez - https://twitter.com/Carlitos_martnz
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
17 Sep 17:22

B.U.G.S. núm. 60 – “Accidente con antivirus”

by Pedro Pérez Gómez
17 Sep 15:21

Un aperitivo, una pizza y un postre con higos | EL COMIDISTA

by El Comidista en EL PAÍS

Septiembre no es el mes más alegre del mundo, sobre todo para los que
tenemos las vacaciones en agosto. Pero hay algo capaz de combatir la
bajona más feroz, y que vive su esplendor justo en este mes: los higos.
En su punto óptimo de madurez, esta fruta que no se parece a ninguna
otra es una explosión de dulzor en la boca, y además su carnosidad
permite darle múltiples usos en la cocina.
Los higos funcionan muy
bien en frío pero también resisten con bastante entereza el calor, por
lo que podemos incorporarlos sin problemas en platos que pasen por el
horno. Nosotros los hemos usado para un aperitivo que se puede
transformar sin dificultad en ensalada, una pizza blanca (es decir, sin
salsa de tomate), y un pastelazo que es pura lujuria mediterránea.
RECETAS ESCRITAS: https://bit.ly/MenuHigos
Suscríbete a nuestro canal: http://cort.as/-9ysp
Visita: https://elcomidista.elpais.com
Síguenos en Facebook: https://www.facebook.com/elcomidista
Síguenos en Twitter: https://twitter.com/ElComidista
Síguenos en Instagram: https://www.instagram.com/elcomidista
¡Bienvenido al canal oficial de EL COMIDISTA en EL PAÍS! Cada semana publicamos nuevos vídeos de gastronomía, recetas, restaurantes, productos, chaladuras culinarias y mucho más. ¡Suscríbete ya a nuestro canal!: http://cort.as/-9ysp
El Comidista es una web muy maja que incluye recetas, info sobre trastos de cocina, restaurantes, productos y cualquier tontería que se les ocurra a sus autores.
16 Sep 18:31

Tus aplicaciones Android en Ubuntu con Waydroid

by atareao

Siempre pensé que dado que Android tiene Linux bajo el capó, ejecutar aplicaciones Android directamente sobre Ubuntu tenía que ser cuestión de coser y cantar. Pero, no, no es tan sencillo como yo esperaba. Y es que hay determinadas cuestiones a tener en cuenta, como es la gestión de hardware, controladores, etc. Como siempre es esa gestión del hardware la que complica las cosas. Sin embargo, no es tan complejo como te piensas. Realmente no va a ser tan complicado tener tus aplicaciones Android en Ubuntu, para ello, en esta ocasión puedes utilizar Waydroid.

De nuevo, volvemos a utilizar la magia de los contenedores para resolver un problema, como es el uso de aplicaciones Android en Ubuntu. Esto mismo, lo puedes ver en otros sistemas operativos. Sin embargo, hasta el momento, no habías tenido la oportunidad de verlo en Ubuntu, o en la distribución que tu estés utilizando.

Con esta solución, podrás ejecutar tus aplicaciones Android en Ubuntu de forma completamente transparente. Pero no solo esto, sino que además los lanzadores de estas aplicaciones los encontrarás en el menú de aplicaciones o directamente en la shell de Ubuntu. Vamos puedes utilizar estas aplicaciones de forma casi nativa.

aplicaciones Android en Ubuntu

Tus aplicaciones Android en Ubuntu con Waydroid

Sobre Waydroid

Waydroid es una aproximación desde el mundo de los contenedores para tener un sistema Android completo en un sistema GNU/Linux como puede ser Ubuntu.

Waydroid utiliza los namespaces de Linux (user, pid, uts, net, mount, ipc) para ejecutar un sistema Android completo en un contenedor y proporcionar las aplicaciones Android en cualquier plataforma basada en Linux.

El sistema Android que se encuentra en el interior del contenedor, tiene acceso directo al software, de forma totalmente transparente para el.

En este caso Android esta utilizando una imagen mínima personalizada de LineageOS, y en concreto, en el momento de preparar este podcast estaba utilizando la versión 10 del mismo.

Instalación

Los requisitos mínimos para utilizar Waydroid son los siguientes, y no te saltes ninguno, como hice yo, porque en ese caso no te funcionará.

  • Wayland. Si necesitas utilizar Wayland para correr las aplicaciones Android en Ubuntu de la mano de Waydroid. Esto es un requisito imprescindible, y de otra forma ya te garantizo que no funciona. Mas que nada, por que lo he probado. Este requisito es insalbable.
  • Python 3. Este requisito, aunque necesario como el anterior, no es nada preocupante, porque será muy raro que no lo tengas instalado en tu equipo. Así, que por este no te preocupes en exceso.
  • lxc es una interfaz de espacio de usuario para el núcleo de Linux. Se trata de una potente solución para la gestión de contenedores. Esto lo tienes que instalar previamente a Waydroid, porque de otra forma no te funcionará. De nuevo, aquí me pasé de listo, y me llevó a tener que desinstalar Waydroid, instalar lxc para volver a instalar Waydroid. Un auténtico fracaso y pérdida de tiempo.

Así el primer paso es instalar lxc,

sudo apt install lxc

El siguiente paso es añadir el repositorio, puedes utilizar las siguientes versiones de Ubuntu,

  • focal
  • hirsuite

O también puedes utilizar la siguiente versión de Debian

  • bullseye

En cualquier caso, reemplaza hirsuite por la versión de Ubuntu o Debian que utilices, de las indicadas anteriormente, y ejecuta las siguientes instrucciones,

export DISTRO="hirsuite" && \
curl https://repo.waydro.id/waydroid.gpg > /usr/share/keyrings/waydroid.gpg && \ 
echo "deb [signed-by=/usr/share/keyrings/waydroid.gpg] https://repo.waydro.id/ $DISTRO main" > /etc/apt/sources.list.d/waydroid.list && \
sudo apt update

A partir de aquí tienes que instalar Waydroid. Algo tan sencillo como ejecutar la siguiente instrucción,

sudo apt install waydroid

Inicias el proceso,

sudo waydroid init

Y a continuación inicias el servicio contenerizado,

sudo systemctl start waydroid-container

Reinstalar

En el caso de que no sigas los pasos, y te encuentres en la situación que me encontré yo, que aquello no funciona, te toca reinstalar Waydroid. Para hacerlo, primero tienes que detener la sesión y los contenedores,

waydroid session stop
sudo waydroid container stop

Y desinstalar waydroid

sudo apt remove waydroid

Por último tienes que eliminar /var/lib/waydroid. Para ello,

sudo rm -rf /var/lib/waydroid

Instalar y ejecutar aplicaciones Android

Llegados a este punto, y una vez tengas instalado Waydroid correctamente, el siguiente paso es instalar aplicaciones. Mi recomendación es que instales F-Droid.

Si no conoces F-Droid, indicarte que es un catálogo instalable de aplicaciones de Open Source gratuitas (FOSS Free and Open Source Software). Se trata de un sencillo cliente con el que podrás navegar entre todo el catálogo de aplicaciones disponibles, instalar las que necesites y en su caso actualizar aquellas que tengan nuevas versiones.

Puedes descargar el apk desde la página o ejecutando el siguiente comando en un terminal,

wget https://f-droid.org/F-Droid.apk

Una vez descargado llega el momento de instalar tu primera aplicación, y probablemente la última desde la terminal. Y te digo que será la última en instalar desde la terminal, porque desde el momento en que instales F-Droid el resto las puedes instalar fácilmente desde el propio catálogo de esta aplicación,

waidroid app install F-Droid.apk

waydroid en la línea de comandos

Casi que sería preferible ni que le dieras un vistazo, porque las posibilidades que ofrece waydroid en la línea de comandos es totalmente abrumadora. En este sentido, una vez instalado F-Droid, casi que vale la pena que sigas desde el escritorio.


Espero que te haya gustado este nuevo episodio del podcast. Si puedes, te agradecería una valoración en iVoox y/o en Apple Podcast.

Imagen de portada de Matt Wojtaś en Unsplash

La entrada Tus aplicaciones Android en Ubuntu con Waydroid aparece primero en Atareao.

16 Sep 14:22

Fairphone + Ubuntu Touch: Hardware y Software en pro del código abierto

by Linux Post Install
Fairphone + Ubuntu Touch: Hardware y Software en pro del código abierto

Fairphone + Ubuntu Touch: Hardware y Software en pro del código abierto

Dado que, regularmente solemos publicar las novedades relacionadas con el Sistema Operativo para dispositivos móviles llamado Ubuntu Touch, para exponer sus nuevas características, cambios, y mejoras, hoy hablaremos un poco más también de los dispositivos móviles del Proyecto «Fairphone», que suelen usar Ubuntu Touch.

Dichos dispositivos móviles desarrollados por el Proyecto «Fairphone» son teléfonos con los que se busca generar un impacto positivo en la cadena de valor de la minería, el diseño, la fabricación y el ciclo de vida. Además, «Fairphone» es una empresa social que apuesta por el uso de Sistemas Operativos móviles libres y abiertos para sus dispositivos, en la medida de lo posible.

Android con o sin Google: ¡Liberen a Android! ¿Qué alternativas tenemos?

Android con o sin Google: ¡Liberen a Android! ¿Qué alternativas tenemos?

Para aquellos interesados en explorar algunas de nuestras anteriores publicaciones relacionadas con el tema, pueden hacer clic en los siguientes enlaces, luego de finalizar de leer esta presente publicación:

“Cada día más, es tendencia utilizar software y plataformas libres, abiertas y seguras, es decir, que ofrezcan medidas y garantías de privacidad y seguridad informática. Ya que, el público, consumidor y ciudadano, está siempre a la búsqueda de alternativas a todo lo usado. Y Android como Sistema Operativo se encuentra en el ojo de la polémica, por su estrecha vinculación con Google. Por ello existen alternativas más libres y abiertas como: AOSP (Android Open Source Project), /e/ (Eelo), GrapheneOS, LineageOS, PostmarketOS, PureOS, Replicant, Sailfish OS y Ubuntu Touch.” Android con o sin Google: ¡Liberen a Android! ¿Qué alternativas tenemos?

Fairphone + Ubuntu Touch: Dispositivo móvil y Sistema Operativo

Fairphone + Ubuntu Touch: Dispositivo móvil y Sistema Operativo

¿Qué es el Proyecto Fairphone?

Según su sitio web oficial, dicho proyecto se define de la siguiente forma:

“Fairphone es una empresa social que está creando un movimiento de personas y organizaciones a favor de los dispositivos electrónicos más justos. Fairphone produce un teléfono con el que estamos generando un impacto positivo en la cadena de valor de la minería, el diseño, la fabricación y el ciclo de vida. Junto con nuestra comunidad, estamos cambiando la manera en que se fabrican los productos.” Acerca de nosotros.

Y en cuanto a sus dispositivos móviles se puede destacar lo siguiente:

  • Actualmente ofrecen 2 modelos llamados Fairphone 3 y 3+ con excelentes prestaciones tecnológicas.
  • Los móviles tienen un diseño modular y altamente reparable, hecho para durar el mayor tiempo posible.
  • Son construidos con materiales reciclados y justos, de zonas lo más libres posibles de zonas de conflicto y explotación laboral.
  • Vienen por defecto con el Sistema Operativo Android 10, pero aclaran lo siguiente:

“Si, instalar Sistemas Operativos alternativos es posible, una vez que estén disponibles. Esperamos con interés a que las respectivas comunidades porten su Sistema Operativo (como Ubuntu Touch, Lineage OS, Sailfish OS o e-foundation) a el Fairphone 3. Todos los Fairphone 3 son enviados con el gestor de arranque bloqueado para asegurar que un atacante no pueda comprometer el dispositivo instalando su propio sistema o imagen de arranque. Si decides instalar alguna de las alternativas o contribuir puedes desbloquear el gestor de arranque de tu Fairphone 3 siguiendo esta guía paso a paso.”

Para mayor información sobre los dispositivos móviles del Proyecto «Fairphone», a los cuales se le pueden adaptar fácilmente otro Sistema Operativo móvil de código abierto, se puede hacer clic en el siguiente enlace. Y para mayor información sobre como el Proyecto «Fairphone» favorece al uso del código abierto se puede hacer clic en el siguiente enlace.

¿Qué es Ubuntu Touch?

Según su sitio web oficial, dicho proyecto se define de la siguiente forma:

“Ubuntu Touch es un Sistema Operativo de software de código abierto. Esto significa que todo el mundo tiene acceso al código fuente y puede cambiarlo, distribuirlo o copiarlo. Eso hace imposible instalar software de puertas traseras. Y no depende de la nube, y también está prácticamente libre de virus y otros programas malignos que pueden extraer sus datos. Además, se enfoca en lograr el objetivo de Convergencia entre ordenadores portátiles/de escritorio y televisores, para una experiencia completamente unificada. Ubuntu Touch se centra en el minimalismo y la eficiencia del hardware.

Ubuntu Touch está hecho y mantenido por la Comunidad UBports. Un grupo de voluntarios y apasionados de todo el mundo. Con Ubuntu Touch ofrecemos una experiencia móvil realmente única, una alternativa a los actuales sistemas operativos más populares del mercado. Creemos que todo el mundo es libre de usar, estudiar, compartir y mejorar todo el software creado por la fundación sin restricciones. Siempre que es posible, todo se distribuye bajo licencias libres y de código abierto avaladas por la Free Software Foundation y la Iniciativa de Código Abierto.”

Y como se puede ver en el siguiente enlace, actualmente Ubuntu Touch sobre los teléfonos Fairphone 2 es muy compatible y funcional. Por lo que seguramente, solo es cuestión de tiempo para que lleguen a los Fairphone 3. Al igual que otros Sistemas Operativos móviles libres y abiertos.

Resumen: Publicaciones varias

Resumen

En resumen, los móviles del Proyecto «Fairphone» en combinación con Ubuntu Touch u otros similares, son una interesante opción a explorar en cuanto a Hardware de teléfonos construidos de una forma más amigable y responsable con la sociedad y el medioambiente. Pero sobre todo, más enfocados a permitir el uso de Sistemas Operativos móviles libres y abiertos que mejoran nuestra privacidad, anonimato y ciberseguridad.

Esperamos que dicha publicación, sea de mucha utilidad para toda la «Comunidad de Software Libre y Código Abierto» y de gran contribución al mejoramiento, crecimiento y difusión del ecosistema de aplicaciones disponibles para «GNU/Linux». Y no dejes de compartirla con otros, en tus sitios webs, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería. Por último, visita nuestra página de inicio en «DesdeLinux» para explorar más noticias, y únete a nuestro canal oficial de Telegram de DesdeLinux.

16 Sep 14:13

September update: Hurdles and Successes

by Lukasz Erecinski

In this community update we’ll discuss PinePhone keyboard progress (and hurdles), add-on back cases awaiting developers approval, initial PineNote impressions and early development progress, as well as news of InfiniTime 1.4 release and a guest post about PineCubes as a part of a security system. We also have an announcement for our community developers: we will be introducing bounties to the...

Source

15 Sep 17:30

Melocotón BIO de primero, segundo y postre | EL COMIDISTA

by El Comidista en EL PAÍS

¿Sabías que la palabra "melocotón" proviene de melos, es decir, miel, y de coton,
que significa "algodón 100% reciclable e hipoalergénico"? Nosotros
tampoco, básicamente porque nos lo acabamos de inventar. Lo que sí
conocemos bien son las mil y una posibilidades que nos ofrece esta fruta
de temporada en la cocina. Eso lo tenemos investigado y comprobado
bastante bien, sí.
Para celebrar que el melocotón aún está de en
su fecha óptima de consumo, queremos compartir con todas vosotras un
menú completo en el que esta fruta es el ingrediente principal: una sopa
fría de melocotón, unas costillas asadas con melocotón y, por último,
una coca de melocotones. Así que si quieres aprovechar antes de que ya
no estén de temporada, dale al play al vídeo de arriba y prueba a hacer todas estas recetas melocotoneras.
RECETAS ESCRITAS: https://bit.ly/menumelocoton
Suscríbete a nuestro canal: http://cort.as/-9ysp
Visita: https://elcomidista.elpais.com
Síguenos en Facebook: https://www.facebook.com/elcomidista
Síguenos en Twitter: https://twitter.com/ElComidista Síguenos en Instagram:
https://www.instagram.com/elcomidista
¡Bienvenido al canal oficial de EL COMIDISTA en EL PAÍS! Cada semana publicamos
nuevos vídeos de gastronomía, recetas, restaurantes, productos, chaladuras culinarias y
mucho más. ¡Suscríbete ya a nuestro canal!: http://cort.as/-9ysp
El Comidista es una web muy maja que incluye recetas, info sobre trastos de cocina,
restaurantes, productos y cualquier tontería que se les ocurra a sus autores.
15 Sep 17:12

¿Cuál es la mejor receta de natillas? | EL COMIDISTA

by El Comidista en EL PAÍS

¿En qué momento dejamos de hacer natillas? ¿Por qué uno de los
postres más emblemáticos de nuestra infancia es cada vez más difícil de
encontrar? Sí, ya sé que en algunas casas se siguen preparando, que
contados restaurantes todavía las ofrecen, y que existen versiones
industriales en el supermercado, pero los tiempos en que eran
omnipresentes pasaron. Mientras el flan ha vuelto con fuerza, las
natillas siguen metidas en el cajón de los postres viejunos que viven más en el recuerdo que en la actualidad.
Como
acto de reivindicación de su gloriosa cremosidad, hemos comparado tres
fórmulas de cocineros ilustres y otra de una cocinera... menos ilustre.
En nuestra batalla de recetas de hoy compiten Abraham García, Simone
Ortega, los hermanos Torres e Isabel Pantoja (puede que no os acordéis,
pero la cantante tuvo un restaurante y publicó un libro de cocina). https://bit.ly/batallanatillas
Suscríbete a nuestro canal: http://cort.as/-9ysp
Visita: https://elcomidista.elpais.com
Síguenos en Facebook: https://www.facebook.com/elcomidista
Síguenos en Twitter: https://twitter.com/ElComidista Síguenos en Instagram:
https://www.instagram.com/elcomidista
¡Bienvenido al canal oficial de EL COMIDISTA en EL PAÍS! Cada semana publicamos
nuevos vídeos de gastronomía, recetas, restaurantes, productos, chaladuras culinarias y
mucho más. ¡Suscríbete ya a nuestro canal!: http://cort.as/-9ysp
15 Sep 16:11

OTA-19 Call For Testing

by UBportsNews

OTA-19 Call For Testing

OTA-19 is scheduled for release on Friday 17th Sept. To help keep that on track we need your help with testing. Full details can be found in the accompanying blog https://ubports.com/blog/ubports-news-1/post/ubuntu-touch-ota-19-call-for-testing-3777

#UBports #UbuntuTouch #OTA19 #CallForTesting #Mobilelinux #Opensource #Lomiri

15 Sep 11:13

Encontraron una vulnerabilidad en Ghostscript que era explotada a través de ImageMagick

by Darkcrizt

Hace poco se dio a conocer la noticia de que identificaron una vulnerabilidad crítica (la cual ya está catalogada como CVE-2021-3781) en Ghostscript (un conjunto de herramientas para procesar, convertir y generar documentos en formatos PostScript y PDF) que permite ejecutar código arbitrario al procesar un archivo con formato especial.

Inicialmente, Emil Lerner señaló que había un problema y que además fue quien habló sobre la vulnerabilidad el 25 de agosto en la última conferencia de San Petersburgo ZeroNights X (en el informe mostró cómo Emile dentro del programa de recompensas de errores para usar la vulnerabilidad para obtener premios por demostración ataques a los servicios de AirBNB, Dropbox y Yandex.Realty).

El 5 de septiembre, apareció un exploit funcional de dominio público que permite atacar sistemas con Ubuntu 20.04 transfiriendo un script web que se ejecuta en el servidor usando el paquete php-imagemagick, un documento especialmente diseñado cargado bajo la apariencia de una imagen.

Tenemos una solución en las pruebas en este momento.

Dado que este exploit aparentemente ha estado circulando desde marzo y es completamente público desde al menos el 25 de agosto (¡tanto por la divulgación responsable!), Me inclino a publicar la solución públicamente tan pronto como hayamos completado las pruebas y la revisión.

Aun que por otra parte, tambien se menciona que según datos preliminares, un exploit de este tipo se utiliza desde marzo y se dio a conocer que puede atacar sistemas que ejecutan GhostScript 9.50, pero se ha revelado que la vulnerabilidad ha continuado en todas las versiones posteriores de GhostScript, incluida la versión de desarrollo 9.55 de Git.

Posteriormente se propuso una corrección el 8 de septiembre y después de la revisión por pares, se aceptó en el repositorio de GhostScript el 9 de septiembre.

Como mencioné anteriormente, dado que el exploit ha estado «en estado salvaje» durante al menos 6 meses, ya envié el parche a nuestro repositorio público; mantener el parche en secreto en esta circunstancia parecía inútil.

Haré público este error antes del cierre de operaciones (Reino Unido) el viernes, nuevamente, a menos que haya argumentos sólidos y convincentes para no hacerlo (aún puede vincularlo, hacerlo público no cambiará la URL).

El problema se debe a la posibilidad de omitir el modo de aislamiento «-dSAFER» debido a una validación insuficiente de los parámetros del dispositivo Postscript «% pipe%», que permitía ejecutar comandos de shell arbitrarios.

Por ejemplo, para ejecutar la utilidad de identificación en un documento, solo necesita especificar la cadena «(% pipe%/tmp/& id) (w) archivo» o «(% pipe%/tmp/;id) (r) expediente».

Como recordatorio, las vulnerabilidades en Ghostscript son de mayor gravedad, ya que este paquete se usa en muchas aplicaciones populares para procesar formatos PostScript y PDF. Por ejemplo, se llama a Ghostscript al crear miniaturas en el escritorio, al indexar datos en segundo plano y al convertir imágenes. Para un ataque exitoso, en muchos casos, basta con descargar el archivo de explotación o navegar por el directorio con él en un administrador de archivos que admita la visualización de miniaturas de documentos, por ejemplo, en Nautilus.

Las vulnerabilidades en Ghostscript también se pueden explotar a través de controladores de imágenes basados ​​en los paquetes ImageMagick y GraphicsMagick, pasando un archivo JPEG o PNG, que contiene código PostScript en lugar de una imagen (dicho archivo se procesará en Ghostscript, ya que se reconoce el tipo MIME por el contenido, y sin depender de la extensión).

Como solución para protegerse contra la explotación de la vulnerabilidad a través del generador automático de miniaturas en GNOME e ImageMagick, se recomienda deshabilitar la llamada evince-thumbnailer en /usr/share/thumbnailers/evince.thumbnailer y deshabilitar el procesamiento de PS, EPS, Formatos PDF y XPS en ImageMagick,

Finalmente se menciona que en muchas distribuciones, el problema aún no se soluciona (el estado de la publicación de actualizaciones se puede ver en las páginas de Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).

Tambien se menciona que está previsto que el lanzamiento de GhostScript con la eliminación de la vulnerabilidad se publique antes de fin de mes. Si quieres conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

15 Sep 11:13

Vulnerabilidad en Ghostscript explotada a través de ImageMagick

by Unknown

Vulnerabilidad crítica (la cual ya está catalogada como CVE-2021-3781) en Ghostscript (un conjunto de herramientas para procesar, convertir y generar documentos en formatos PostScript y PDF) que permite ejecutar código arbitrario al procesar un archivo con formato especial. 

 


 

Leer más »