VivaLinux!

El nuevo Fedora 12 contiene un reportado error sólo recientemente documentado producto de un cambio en la política de su PolicyKit que permite que un usuario común pueda instalar nuevos paquetes de software de repositorios sin que el sistema le pida la contraseña del superusuario (root) antes.

Aparentemente, este cambio se habría introducido para hacer que el sistema fuera más "amigable" para el usuario de la versión para el escritorio de Fedora, sólo funciona con paquetes y repositorios que tengan sus respectivas firmas digitales y sólo puede realizarse desde una consola conectada físicamente a la computadora (no en forma remota). Sin embargo, esta sorpresa ya disparó una gran polémica en la lista de correo de desarrolladores de ese proyecto.

Una rápida solución para los que quieran revertir este cambio al comportamiento estándar de siempre preguntar por la contraseña del superusuario es ejecutar este comando:

pklalockdown --lockdown org.freedesktop.packagekit.package-install

Otra solución más permante para este problema se describe aquí.

En su inmensa sabiduría (o ignorancia) la presidenta Argentina decidió desde su reciente viaje a la India no adelantar la hora oficial, como se tenía previsto hacer ayer Domingo para aprovechar el nuevo horario de verano (DST).

Ni lenta ni perezosa, nuestra Chica Debian y desarrolladora de ese proyecto Margarita Manterola se apresuró a publicar un parche para el paquete tzdata y así evitar potenciales errores en los servidores configurados con la hora Argentina. Su anuncio en la lista de reporte de errores de Debian es bastante claro:

“Para mantener el gran trabajo realizado durante los últimos dos años de decidir cosas con 2 o 3 días de anticipación, el gobierno acaba de decidir que no nos cambiaremos a DST este Domingo.

Así que preparé un parche para el tzdata actual en Sid, y ahora prepararé paquetes similares para los archivos de Etch y Lenny”.

Ubuntu también se ocupó de este nuevo "error" y las correspondientes correcciones ya están listos para sus versiones Dapper, Hardy, Intrepid, Jaunty y Karmic.

Se descubrió un grave fallo de seguridad en todos los Kernels lanzados desde el 2001 (ramas 2.4 y 2.6) que podría provocar una escalada de privilegios local, como se explica en su mensaje original:

“El problema está en como Linux reacciona con operaciones no disponibles para algunos protocolos. sock-sendpage y otros no comprueban que no haya punteros a NULL antes de "de-referenciar" las operaciones en la estructura de operaciones. En vez de eso, el kernel confía en la correcta inicialización de esas estructuras de proto-ops con esbozos (como sock-no-sendpage) en vez de punteros a NULL”.

Red Hat tiene una recomendación oficial para mitigar el problema.

Sólo 2 días después del lanzamiento de Firefox 3.0, se hizo semi-pública una nueva vulnerabilidad de seguridad que está presente en la última versión 3.0, y en las anteriores, como en la versión 2.x. Aparentemente, quienes lo descubrieron demoraron su anuncio hasta despues del lanzamiento de Firefox 3.0 para obtener más publicidad. El fallo no está disponible públicamente, sólo conocemos que es una vulnerabilidad de seguridad que permite una ejecución de código aleatorio en la máquina del atacado.

Lo único que se sabe hasta ahora es que "como en casi todas las vulnerabilidades en los navegadores hoy en día, se requiere la intervención del usuario, como hacer click en un link en un email o visitar un sitio malicioso".

Mozilla ya está investigando y trabajando para proporcionar parche para esta vulnerabilidad, que, si la consideran extremadamente crítica, tendremos una nueva versión de Firefox en poco tiempo.

Y tal como esperaban los más cautos, finalmente se confirmó que Firefox 3.0 tendrá un RC2 debido a que se detectaron alrededor de 10 bugs catalogados como críticos; casi todos son comunes a todas las plataformas y suelen tratarse de cuelgues y caídas de la aplicación. Uno es exclusivo de Linux y tiene que ver con la función fsync, otros dos ocurren solamente en Windows. Aunque ninguno de estos podría explotarse para acceder a información privada de los usuarios, todos ya han sido resueltos.

Ahora se espera que el miércoles ya estén disponibles para descargar los primeros "builds" nocturnos de la RC2. Desde Mozilla aseguran que esto no implicará un ningún retraso en el lanzamiento de la versión final de Firefox 3.0, previsto para el próximo 6 de Junio.

En los últimos días se ha venido comentando de que el beneficio que va a traer Firefox 3.0 no será tan grande, o bien que el producto no va a salir completamente depurado y libre de bugs. En este punto tenemos que ver las dos partes, por una, los blogs que comentan esta noticia. Por otra parte, la respuesta de Mozilla, de parte de Mike Shaver.

La nueva versión de Firefox guarda sus datos, como marcadores, descargas, historial y las distintas bases de datos en un formato libre y abierto como es SQLite (que es utilizado para la nueva barra de direcciones inteligente). SQLite parece ser que tiene problemas de rendimiento (a pesar de ser mucho más ligero y rápido que otras bases de datos, como MySQL u Oracle) con algunos sistemas GNU\Linux, que utilicen un sistema de archivos ext3 (que suele ser el más usado), y con una determinada configuración de montaje.

Por este motivo, Mozilla ha decidido crear una nueva preferencia oculta (las que podemos ver en about:config) llamada toolkit.storage.synchronous, que permitirá decidir qué modo de sincronización queremos utilizar en nuestro Firefox 3.0, para poder prevenir cuelgues del ordenador (no sólo de Firefox) y un mejor rendimiento de nuestro querido navegador.

Con la llegada de la versión 1.0 final de Wine planeada tentativamente para su próximo aniversario número 15 (alrededor del 1 de Junio de este 2008), sus desarrolladores identificaron aproximadamente 180 errores (bugs) dignos de corregir antes de su lanzamiento. 63 errores de Wine 1.0 ya fueron corregidos, pero otros 101 todavía están pendientes y no pueden solucionarse todos. Si tú quieres ayudar a decidir cuáles de ellos merecen corregirse antes puedes hacer escuchar tu opinión siguiendo estos pasos:

1. Registrarse en el Bugzilla de WineHQ.
2. Seleccionar tu bug favorito de la lista anterior.
3. Hacer click en el enlace "Vote for this bug" en la página del error en cuestión.

La más avanzada base de datos de código abierto se actualizó 5 veces el día de hoy para corregir un error de escalamiento de privilegios como resultado de la nueva y más minuciosa auditoría de su código por parte de agencias gubernamentales y empresas concientes de la seguridad. El error que puede explotarse maliciosamente se encuentra más específicamente en la función SECURITY DEFINER y por lo tanto todos sus usuarios son urgidos a actualizarse inmediatamente. Una vez actualizados, otros pasos más son necesarios para estar completamente resguardados, como se explica en este documento.

El próximo VMWare Workstation 6.0 (WS6) podría convertirse en una muy buena herramienta para el desarollo del Kernel Linux. Por lo menos así se desprende de una nueva características incluída en la última versión preliminar de WS6 que permite usar GDB corriendo en el sistema anfitrión para debuggear el Kernel ejecutándose en la instancia de la máquina virtual (VM) sin ninguna modificación en esta última.

De esta manera, no sería necesario KDB, ni recompilar el Kernel ni una PC extra para hacer esa engorrosa tarea: ahora sólo es necesario modificar una sóla línea en el archivo de configuración de la VM y todo está ahí: breakpoints, inspección de memoria, ejecución paso a paso, etc.

Se descubrió un serio defecto en el driver del Kernel Linux para los chipsets Wi-Fi Atheros que permitiría a un hacker malicioso ejecutar código arbritario en la PC atacada, aunque no se encuentre conectada a la red inalámbrica. El autor del descubrimiento del error que produce un desbordamiento de la pila del Kernel notificó a los autores del muy popular driver MadWi-Fi antes de hacer pública la vulnerabilidad, quienes se apresuraron a lanzar un "parche".

Sin embargo, es probable que este parche no haya sido incluído todavía por varias distribuciones GNU/Linux, así que se recomienda a los usuarios de este chipset actualizarse manualmente.