DOFH - DevOps from hell

Теперь не нужно ждать часами пока сбилдится Flash Attention 🤗 запилили репозиторий кернелов, которые они сбилдили под кучу сочетаний видеокарт, ОС и версий PyTorch. Прирост по сравнению с автоматически сгенерированными кернелами вплоть до 2.5x, всё совместимо с torch.comple(). huggingface.co/kernels @ai_newz

Взлом SynthID или как не спалить свои генерации Тут хваленый SynthID от Google пал жертвой простого реверс-инжиниринга. Напомню, что это лишь хитрый слой структурированного шума. Глаз его не видит, а сжатие не убивает, но на чисто белом или черном фоне этот фильтр палится мгновенно. Так вот, умелец смог вытащить шаблон шума, прогнав через Nano Banana Pro абсолютно черные и белые фоны, а затем спектральным анализом сняв координаты частот и упаковав их в словарь. Тулза стирает вотермарку с хирургической точностью — ломает 90 процентов защиты и выдает 43 dB PSNR, то есть визуально качество вообще не страдает. Единственный нюанс в том, что несущие частоты меняются вместе с разрешением картинки, поэтому сейчас разработчик призывает комьюнити кидать пулл-реквесты и пополнять базу словаря. Кажется, любые потуги корпораций скрыто пометить свой контент всё ещё сносятся опенсорсным скриптом на питоне в два счета. GitHub @ai_newz

Реализация криптографических алгоритмов ГОСТ на языке Java Опубликована библиотека crypto-gost с реализацией криптоалгоритмов ГОСТ на языке Java, не использующей дополнительных зависимостей. В отличие от реализации алгоритмов ГОСТ из библиотеки Castle Bouncy Castle, в crypto-gost повышена производительность шифрования алгоритмом Кузнечик, решены отдельные проблемы с безопасностью и предоставлены простые обёртки, не требующие глубоких знаний в криптографии. Код поставляется под собственной разрешительной лицензией, разрешающей распространение, модификацию и создание производных работ без ограничений. Подробнее: https://opennet.ru/65312/ https://opennet.me/65312/

В Ubuntu намечена интеграция AI Джон Сигер (Jon Seager), вице-президент компании Canonical по инжинирингу и технический лидер проекта Ubuntu, обобщил планы по интеграции в дистрибутив функциональности на основе больших языковых моделей. На первом этапе разработчики Ubuntu намерены задействовать AI-модели для улучшения существующей функциональности дистрибутива, после чего добавить в дистрибутив отдельные AI-возможности и рабочие процессы для пользователей, заинтересованных в использовании AI. AI-возможности будут интегрироваться в дистрибутив постепенно в течение 2027 года, без принуждения и по мере доведения их до готовности. Подробнее: https://opennet.ru/65306/ https://opennet.me/65306/

В демоне PackageKit обнаружена новая уязвимость, получившая название Pack2TheRoot, которая позволяет локальным пользователям Linux устанавливать или удалять системные пакеты и получать права root. Уязвимость отслеживается как CVE-2026-41651 (CVSS 8,8 из 10) и сохраняется в демоне PackageKit уже почти 12 лет. Ранее некоторая информация об уязвимости была опубличена вместе с PackageKit 1.3.5, устраняющей ее. Однако технические подробности и PoC до сих пор не раскрыты, оставляя временной лаг для распространения исправлений. Согласно расследованиюDeutsche Telekom, причиной ошибки является механизм, используемый PackageKit для обработки запросов на управление пакетами. В частности, исследователи обнаружили, что команды типа pkcon install могут выполняться без аутентификации при определенных условиях в системе Fedora, что позволяет им устанавливать системный пакет. Используя Claude Opus, исследователи дополнительно изучили потенциал использования этого поведения и, собственно, обнаружили уязвимость CVE-2026-41651. Red Team компании Deutsche Telekom сообщила о своих выводах разработчикам Red Hat и PackageKit 8 апреля, заявив с уверенностью, что все дистрибутивы, в которых PackageKit предустановлен и включен по умолчанию, уязвимы для CVE-2026-41651. Согласно уведомлению по безопасности, уязвимость присутствовала в версии PackageKit 1.0.2, выпущенной еще в ноябре 2014 года, и затрагивает все версии вплоть до 1.3.4. Проведенные исследователями тесты подтвердили, что злоумышленник может использовать CVE-2026-41651 в следующих дистрибутивах: Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta); Ubuntu Server 22.04 – 24.04 (LTS); Debian Desktop Trixie 13.4; RockyLinux Desktop 10.1; • Fedora 43 Desktop и Fedora 43 Server. Однако этот список не является исчерпывающим, и любой дистрибутив Linux с PackageKit, следует рассматривать как потенциально уязвимый для атак. Пользователям следует как можно скорее обновить PackageKit до версии 1.3.5 и убедиться, что любое другое ПО, использующее этот пакет в качестве зависимости, переведено в безопасную версию. Несмотря на то, что подробности о характере эксплуатации не разглашаются, исследователи отметили наличие явных признаков компрометации, поскольку эксплуатация приводит к ошибке утверждения в демоне PackageKit и его сбою. Даже если systemd восстановит работу демона, сбой будет виден в системных журналах.

Багбаунтеры, смотрите. Есть в убунте ErrorTracker Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com Код бекенда конечно открыт, и код этот воняет. Например есть там такое место: https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366 crash_signature = report.crash_signature() ... cql_crash_sig = crash_signature.replace("'", "''") _session.execute( SimpleStatement("INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '%s')" % ('OOPS', hex_oopsid, cql_crash_sig))) Так формируется crash_signature на клиенте: https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292 Последний коммит намекает, что там есть проблема с бекслешем: https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907 Похоже там такое: INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '\''[SQLI]')

Спасибо, Клод!

Выпуск GNU Coreutils 9.11 Доступна стабильная версия набора базовых системных утилит GNU Coreutils 9.11, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Подробнее: https://opennet.ru/65280/ https://opennet.me/65280/

В Rust Coreutils выявлено 113 уязвимостей Компания Canonical опубликовала предварительные итоги независимого аудита безопасности инструментария uutils coreutils (Rust Coreutils), написанного на языке Rust и частично применяемого в Ubuntu вместо пакета GNU Coreutils. Аудит был выполнен компанией Zellic, имеющей опыт анализа уязвимостей в проектах на языке Rust. В ходе проверки было выявлено 113 проблем с безопасностью. Подробнее: https://opennet.ru/65278/ https://opennet.me/65278/

Не клонируйте в доверенную папку вашей IDE незнакомые git репы. Иначе все ваши дела станут не вашими. https://habr.com/ru/articles/1025624/ В settings.json VSCode можно отключить автозапуск (MCP серверы это не заденет): task.allowAutomaticTasks: off

Ubuntu 26.04 (LTS) выходит завтра… и компания Canonical опубликовала обновление по своему плану замены GNU Coreutils на реализации, переписанные на Rust. Основные моменты: - После того как разработчики выразили "серьёзные опасения", Canonical привлекла стороннюю компанию по security-исследованиям для аудита Rust-реализаций (известных как uutils). - Эта security-компания быстро обнаружила 113 существенных проблем, причём значительная часть из них оказалась серьёзными уязвимостями безопасности, тянущими на присвоение CVE. - Лишь часть этих проблем в Rust-реализациях была исправлена к релизу Ubuntu 26.04. - Повторим: Ubuntu 26.04 выходит с заметным количеством известных серьёзных багов в новых Rust-версиях coreutils. - В некоторых из наиболее критичных утилит, переписанных на Rust (cp, mv, rm), обнаружено большое количество серьёзных проблем класса TOCTOU (Time-of-Check to Time-of-Use) — это тип уязвимостей, приводящих к race condition. Именно такие баги часто эксплуатируются злоумышленниками. - В итоге cp, mv и rm не будут включены в Ubuntu 26.04. Даже с их довольно либеральным подходом "ок, если в Rust-реализациях для 26.04 есть серьёзные баги" – проблемы в этих утилитах оказались слишком критичными. - Несмотря на этот, без преувеличения, провальный rollout Rust-версий Coreutils, команда Ubuntu планирует в следующем релизе (через 6 месяцев, 26.10) полностью (на 100%) заменить GNU Coreutils на текущие (и пока откровенно сырые) реализации на Rust. https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773 @linuxos_tg

Доступен дистрибутив Ubuntu 26.04 Опубликован дистрибутив Ubuntu 26.04 Resolute Raccoon, который отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых формируются в течение 15 лет (5 лет - общедоступные, плюс ещё 10 лет для пользователей сервиса Ubuntu Pro). Установочные образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Budgie, Ubuntu Studio, Xubuntu, UbuntuKylin (редакция для Китая), Ubuntu Unity, Edubuntu и Ubuntu Cinnamon. Подробнее: https://opennet.ru/65274/ https://opennet.me/65274/