Recomendaciones de seguridad para el viernes

Noticias de interés en la url:http://lwn.net/Articles/461165/rss:

CentOS ha actualizado C4: firefox (múltiples vulnerabilidades), C4: Thunderbird (múltiples vulnerabilidades) y C4: seamonkey (múltiples vulnerabilidades).

Debian ha actualizado iceape (múltiples vulnerabilidades) y iceweasel (múltiples vulnerabilidades).

Fedora ha actualizado F15: firefox (múltiples vulnerabilidades), F15: gnome-python2-extras (múltiples vulnerabilidades), F15: mozvoikko (múltiples vulnerabilidades), F15: xulrunner (múltiples vulnerabilidades), F15: perl-gtk2-mozembed (múltiples vulnerabilidades) y F15: networkmanager (escalada de privilegios).

Scientific Linux ha actualizado thunderbird ( SL6 ; SL4 : múltiples vulnerabilidades), SL4: seamonkey (múltiples vulnerabilidades), y SL4, 5 y 6: firefox (múltiples vulnerabilidades).

Ubuntu ha actualizado el kernel 2.6.32.x (múltiples vulnerabilidades), núcleo 2.6.35.x (múltiples vulnerabilidades), kernel 2.6.35-omap4 (múltiples vulnerabilidades), Mutt (man-in-the-middle), y firefox (múltiples vulnerabilidades).

FSF relanza Directorio de Software Libre

Noticias de interés en la url:http://lwn.net/Articles/461200/rss:

La Free Software Foundation (FSF) ha anunciado el relanzamiento de su directorio de software libre. "El directorio de la lista de más de 6.500 programas que son gratuitos para cualquier usuario de ordenador para descargar, ejecutar y compartir. Fue lanzado por primera vez hace casi una década, pero la nueva versión trae una serie de nuevas características diseñadas para hacer más útil y actual recurso para los usuarios, desarrolladores, abogados e investigadores ".

Berlios para cerrar

Noticias de interés en la url:http://lwn.net/Articles/461161/rss:

Los operadores de la Berlios repositorio de código han anunciado que será el cierre al final del año. "Por desgracia, como un instituto de investigación Fraunhofer FOKUS tiene sólo pocas oportunidades para operar un depósito como BerliOS. Este proyecto sólo funciona con un financiamiento de seguimiento, o con los patrocinadores o socios de hacerse cargo del depósito. En el campo del software libre esto es una tarea difícil. En una reciente encuesta de la comunidad indican algún tipo de apoyo de los fondos y mano de obra que nos gustaría darle las gracias por. Desafortunadamente, el resultado no es suficiente para poner el proyecto en una base financiera sostenible. Además, la búsqueda de patrocinadores o socios no tuvo éxito. " Berlios ha servido bien a la comunidad, sino que se puede perder.

Entrevista con Michael Monty Widenius (Ver ODBMS Industria)

Noticias de interés en la url:http://lwn.net/Articles/461029/rss:

La Industria ODBMS sitio Watch una entrevista con Michael "Monty" Widenius . "Quiero asegurar que los desarrolladores de MySQL tener un buen hogar donde puedan seguir desarrollando MySQL en forma de código abierto. Esto es importante porque si el ecosistema MySQL perdería los principales desarrolladores originales, no habría manera de que el producto para sobrevivir . Esta es también, en retrospectiva, se revelan importantes como Oracle ha perdido casi la totalidad de los principales desarrolladores de original, afortunadamente, la mayoría de ellos se ha unido al proyecto MariaDB ".

Actualizaciones de seguridad del jueves

Noticias de interés en la url:http://lwn.net/Articles/460975/rss:

CentOS ha actualizado thunderbird ( C5 : la ejecución de código y de cross-site falta de aislamiento) y Firefox ( C5 : múltiples vulnerabilidades).

Fedora ha actualizado django ( F14 : múltiples vulnerabilidades)

Mandriva ha actualizado wireshark (escalada de privilegios y múltiples vulnerabilidades de denegación de servicio) y openssl (revelación clave, denegación de servicio, y mucho más).

Red Hat ha actualizado seamonkey ( RHEL4 : la ejecución de código y de cross-site falta de aislamiento), Thunderbird ( RHEL4-5 : la ejecución de código y de cross-site fallo de aislamiento, RHEL6 : ídem además de tres otras vulnerabilidades de ejecución de código) y Firefox ( RHEL4-6 : múltiples vulnerabilidades).

SUSE ha actualizado quagga (múltiples vulnerabilidades), Firefox (múltiples vulnerabilidades), seamonkey (11 números CVE), y xulrunner (múltiples vulnerabilidades).

Ubuntu ha actualizado títeres (sobrescritura de archivos), Thunderbird (múltiples vulnerabilidades), y Firefox y XULRunner (múltiples vulnerabilidades).

Enseñe a sus trucos de nuevo router con DD-WRT (InfoWorld)

Noticias de interés en la url:http://lwn.net/Articles/460974/rss:

InfoWorld ha publicado una extensa introducción a DD-WRT . "En el pasado he comprado un router, actualizado fielmente las nuevas revisiones a la firmware del router sale, luego se muelen los dientes de disgusto cuando descubro, 18 meses y dos años más tarde, de repente ya no es compatible. Esto es desalentador , dado el número de fallos de seguridad que se han encontrado en los routers de nivel de consumo-no, todos los cuales se deben a una mala configuración del usuario. La única cosa peor que no tener ninguna protección en absoluto es una falsa sensación de seguridad, por lo que me gusta la idea de usar algo que tiene al menos un mínimo de supervisión de terceros ". (Aquí está la versión imprimible para aquellos que no aprecian la comodidad de un artículo dividido en seis páginas).

[$] LWN.net Edición Semanal de 29 de septiembre 2011

Noticias de interés en la url:http://lwn.net/Articles/459977/rss:

La edición semanal LWN.net del 29 de septiembre de 2011 es disponible.

GNOME 3.2 lanzado

Noticias de interés en la url:http://lwn.net/Articles/460819/rss:

El lanzamiento de GNOME 3.2 ha sido anunciado. "GNOME 3.2 es la primera gran actualización de la plataforma GNOME 3. Se basa en los cimientos que hemos puesto con 3.0 y ofrece una experiencia mucho más completa. Nuevas y emocionantes características y mejoras de esta versión incluyen nuevos contactos y aplicaciones de documentos, nueva pantalla de inicio de sesión, un teclado en pantalla, soporte de gestión de color, y muchos más. " Ver las notas de lanzamiento para más información.

Las actualizaciones de seguridad para el miércoles

Noticias de interés en la url:http://lwn.net/Articles/460802/rss:

Debian ha actualizado openjdk (siete números CVE, remendado por la mayoría de los distribuidores en junio).

Fedora ha actualizado phpMyAdmin ( F14 , F15 : cross-site scripting).

[$] Integrado de gestión de color con colord

Noticias de interés en la url:http://lwn.net/Articles/460678/rss:

Los usuarios de Linux de escritorio que solía ser fácilmente dividida en dos campos a la hora de la gestión del color: allí estaban los fanáticos de gráficos - que cuidadosamente perfilados sus escáneres, impresoras y pantallas y configurar manualmente la gestión del color en cada una de sus aplicaciones creativas - y estaba allí todos los demás, que vieron la gestión del color como un pasatiempo esotérico sin ningún valor práctico. Los chicos de color están en silencio hacerse cargo, sin embargo, gracias a un trabajo reciente que automatiza la gestión de color en el sistema y nivel de sesión. Haga clic a continuación (sólo suscriptores) para la historia completa de LWN colaborador Nathan Willis.

Kernel 3.1-prepatch rc8

Noticias de interés en la url:http://lwn.net/Articles/460764/rss:

El 3,1-rc8 prepatch está fuera. "El diffstat es bastante pequeña, con algunos parches coretemp y clock_ops destacando, junto con una pequeña perforación-herramienta de actualización y todo lo demás más o menos de uno o unos pocos radicales. Y no es que muchos de los que sea." La actual versión 3.1 no puede suceder sin embargo, para una semana o así debido a los problemas kernel.org, pero por lo demás este núcleo parece estar cerca de la lista.

MeeGo + LiMo = Tizen

Noticias de interés en la url:http://lwn.net/Articles/460741/rss:

Un nuevo proyecto llamado Tizen ha anunciado su existencia. Se trata esencialmente de la fusión de los proyectos MeeGo y LiMo, dirigida por Samsung e Intel. "Tizen apoyará categorías de dispositivos, como teléfonos inteligentes, tablets, televisores inteligentes, netbooks y dispositivos en el vehículo de información y entretenimiento. La Fundación Linux será la sede del proyecto, donde Tizen desarrollo será totalmente abierto y dirigido por un equipo directivo compuesto por técnicos Intel y Samsung. " El primer lanzamiento está prevista para el primer trimestre del próximo año.

Poettering: systemd para los administradores de la Parte XI

Noticias de interés en la url:http://lwn.net/Articles/460679/rss:

Lennart Poettering ha publicado la undécima serie de la "systemd para los administradores de" la serie. El mira a la conversión de los servicios inetd en unidades systemd. "Una de las características fundamentales de systemd (y launchd de Apple para el caso) es la activación de socket, un sistema por primera vez por inetd, sin embargo en ese entonces con un enfoque diferente. Systemd estilo de activación toma se centra en tomas de locales (AF_UNIX), no tanto Internet sockets (AF_INET), aunque ambos son compatibles. Y lo más importante aún, la activación de socket en systemd no es principalmente sobre el aspecto de la carta que fue clave en inetd, sino más bien en la paralelización en aumento (la activación de socket permite a los clientes y servidores a partir de la toma al mismo tiempo), la sencillez (ya que la necesidad de configurar dependencias explícitas entre los servicios se retira) y la robustez (ya que los servicios se puede reiniciar o se puede bloquear sin pérdida de conectividad de la toma). Sin embargo, systemd también puede activar los servicios de la demanda cuando las conexiones son de entrada, si está configurado de esa manera. "

Las nuevas versiones de Firefox están disponibles

Noticias de interés en la url:http://lwn.net/Articles/460677/rss:

Mozilla ha lanzado Firefox 3.6.23, que corrige varios problemas de seguridad . La notas de la versión contienen más información. La versión 7.0 también está disponible . Esas notas de la versión están aquí .

Recomendaciones de seguridad para el martes

Noticias de interés en la url:http://lwn.net/Articles/460663/rss:

Fedora ha actualizado F15: OpenSAML (firma XML ataque embalaje) y F15: qt (la ejecución de código).

Red Hat ha actualizado networkmanager (escalada de privilegios).

Scientific Linux ha actualizado networkmanager (escalada de privilegios).

Ubuntu ha actualizado linux-EC2 (múltiples vulnerabilidades).

Mozilla y Tor en el ataque TLS

Noticias de interés en la url:http://lwn.net/Articles/460662/rss:

Mensajes han aparecido en el blog de ​​seguridad de Mozilla y el blog del proyecto Tor en relación con el ataque a conocer recientemente en contra de TLS 1.0. El resumen es: no es el navegador Firefox, ni el servicio de Tor es vulnerable. El mensaje Tor tiene una gran cantidad de información acerca de cómo el ataque funciona y por qué no se preocupan por él. Mozilla, en cambio, dice que algunos plugins de Java pueden ser vulnerables y que Java debe estar deshabilitada.

PulseAudio 1.0 lanzado

Noticias de interés en la url:http://lwn.net/Articles/460616/rss:

El proyecto PulseAudio ha llegado finalmente a 1,0 - un hito que, dicen, en realidad no significa nada. Las nuevas características incluyen un D-Bus del protocolo de control, la capacidad de controlar el volumen de flujos de captura, directo de paso a través de los datos de audio comprimidos para dispositivos que pueden manejar, cancelación de eco, y mucho más. Ver las notas de la versión para obtener más información y planes futuros.

CentOS versión 6.0 disponible continua

Noticias de interés en la url:http://lwn.net/Articles/460617/rss:

El proyecto CentOS ha anunciado la disponibilidad del repositorio de la continua liberación de la versión 6.0. Esto significa que 6,0 usuarios, que han estado sin actualizaciones de seguridad desde julio, puede finalmente conseguir "la mayoría de los cambios" sin esperar a 6.1 a salir. Vea la página de CentOS CR para más detalles.

89 árboles que faltan desde linux-next

Noticias de interés en la url:http://lwn.net/Articles/460618/rss:

En esta breve nota de Stephen Rothwell es digno de una nota: "De los 171 árboles que representan el trabajo de la ventana de fusión que viene, 89 sólo existen en las máquinas de kernel.org Esto significa que (obviamente) que no han tenido cambios a los 89 árboles desde entonces. los servidores de kernel.org fueron retirados ". Estos árboles representan potencialmente una gran cantidad de trabajo que no ha visto más pruebas o revisión, y la ventana de 3,2 fusión no está tan lejos.

Poettering: systemd para los administradores de la Parte X

Noticias de interés en la url:http://lwn.net/Articles/460562/rss:

La décima entrega de Lennart Poettering "systemd para los administradores de" la serie está disponible. "La mayoría de los servicios en Linux / Unix son los servicios de singleton: por lo general hay sólo una instancia de Syslog, Postfix, o Apache se ejecuta en un sistema específico en el momento mismo en el otro lado, algunos servicios de seleccionar puede ejecutar en varias instancias en el mismo host.. Por ejemplo, un servicio de Internet como el servicio IMAP Dovecot puede ejecutar en varias instancias en los puertos IP diferentes o diferentes direcciones IP locales. Un ejemplo más común que existe en todas las instalaciones es getty, el servicio de mini que se ejecuta una vez para cada TTY y presenta un panel para ingresar en ella. En la mayoría de los sistemas de este servicio se crea una instancia de una vez por cada uno de los primeros seis consolas virtuales a tty1 tty6. En algunos servidores, dependiendo de la configuración del administrador o el tiempo de arranque, los parámetros de un getty adicional se crea una instancia de una serie o una consola de virtualizador. Otro servicio común de crear una instancia en el mundo systemd es fsck, el corrector del sistema de archivos que se crean instancias de una vez para cada dispositivo de bloque que necesita ser comprobada. Por último, en el zócalo systemd activado por conexión de servicios (que inetd clásico!), también se aplican a través de los servicios de instancia : una nueva instancia se crea para cada conexión entrante En esta entrega, espero explicar un poco cómo systemd implementa servicios de instancia y la forma de aprovecharse de ellos como administrador "..

MySQL.com Hacked para servir de malware (PC World)

Noticias de interés en la url:http://lwn.net/Articles/460559/rss:

PC World informes de que el sitio MySQL.com ha sido comprometida. "Los hackers se había instalado el código JavaScript que lanzó una serie de ataques conocidos en el navegador de los visitantes del sitio, por lo que las personas con navegadores fuera de fecha o versiones sin parchear de Adobe Flash, Reader o Java en su PC de Windows podrían haber sido infectadas con el silencio malicioso software. "

Actualizaciones de seguridad el lunes

Noticias de interés en la url:http://lwn.net/Articles/460534/rss:

Fedora ha actualizado foomatic ( F15 , F14 : archivos temporales inseguros), cherokee ( F15 , F14 : múltiples vulnerabilidades), Quassel ( F15 , F14 : denegación de servicio), F15: rsyslog (denegación de servicio), F14: qt (la ejecución de código ), F14: libsoup (salto de directorio), F14: nss (eliminación del certificado), y F14: openldap (múltiples vulnerabilidades).

SUSE ha actualizado libfreebl3 (eliminación del certificado).

Una actualización de estado de kernel.org

Noticias de interés en la url:http://lwn.net/Articles/460376/rss:

Los desarrolladores que trabajan en poner de nuevo juntos kernel.org han enviado una breve actualización de estado, sobre todo sobre el manejo de árboles git. "Esta nueva infraestructura ya no tendrán acceso a una consola a los repositorios git;. Vez que va a correr git usando el pegamento web gitolite Gitolite utiliza claves de ssh para empujar en ella, por lo que se iniciará el envío de nuevas credenciales de ssh a los desarrolladores activos que había kernel.org cuentas antes ". Árboles Git debería volver en línea en un futuro próximo, todo lo demás tomará más tiempo.

Garrett: Apoyo de inicio de UEFI segura en Linux: los detalles

Noticias de interés en la url:http://lwn.net/Articles/460293/rss:

Matthew Garrett sigue buscando en la función de arranque UEFI seguro. "Resumen:.. En realidad, no compatible con el arranque seguro en este momento, pero está bien porque no se puede comprar cualquier hardware que lo soporta pero añadiendo soporte es probablemente alrededor de una semana de esfuerzo en la mayoría"

Recomendaciones de seguridad para el viernes

Noticias de interés en la url:http://lwn.net/Articles/460225/rss:

CentOS ha actualizado C5: kernel (denegación de servicio), C5: libpng (múltiples vulnerabilidades), C5: libvirt (denegación de servicio), C5: libXfont (escalada de privilegios), C5: NSPR (eliminación de certificados), C5: rgmanager (privilegio escalada), C5: rsync (acceso a archivos restringidos), C5: samba (múltiples vulnerabilidades), C5: samba3x (múltiples vulnerabilidades), C5: SSSD (denegación de servicio), C5: sysstat (archivos temporales inseguros), C5: el sistema config-printer (ejecución de código arbitrario), C5: systemtap (escalada de privilegios), C5: Thunderbird (múltiples vulnerabilidades), C5: Thunderbird (certificado de retirada), C5: Thunderbird (más la eliminación del certificado), C5: xulrunner (múltiples vulnerabilidades), C5: xulrunner (eliminación de certificados), C5: xulrunner (más la eliminación del certificado), C4: cyrus-imapd (ejecución remota de código), NSS, NSPR (eliminación de certificados), C4: evolution28-pango (ejecución de código arbitrario) y C4: frysk (ejecución de código arbitrario).

Debian ha actualizado el kernel (múltiples vulnerabilidades).

Mandriva ha actualizado iproute2 (reconstrucción de iproute2 contra las últimas librerías de iptables).

openSUSE ha actualizado Flash Player (múltiples vulnerabilidades) y jakarta-commons-daemon (acceso remoto a los archivos de superusuario / directorios).

SUSE ha actualizado Flash Player (múltiples vulnerabilidades).

Ubuntu ha actualizado apt (la instalación de paquetes alterados) y qt4-x11 (eliminación del certificado).

Garrett: UEFI asegurar el arranque (parte 2)

Noticias de interés en la url:http://lwn.net/Articles/460199/rss:

He aquí una segunda entrega de Matthew Garrett en la función de arranque UEFI seguro. "Microsoft ha respondido a las sugerencias de que Windows 8 podría hacer difícil para arrancar sistemas operativos alternativos. Lo que es interesante es que en ningún momento se contradicen todo lo que he dicho. En la actualidad, Windows 8 sistemas de certificados hará que sea más difícil o imposible la instalación de sistemas operativos alternativos. Pero vamos a tener más fondo ".

Actualizaciones de seguridad del jueves

Noticias de interés en la url:http://lwn.net/Articles/459985/rss:

CentOS ha actualizado pango ( C5 : la ejecución de código), qt4 ( C5 : la ejecución de directorio transversal, cross-site scripting, y el código), cyrus-imapd ( C5 : ejecución remota de código), ecryptfs-utils ( C5 : múltiples vulnerabilidades), palomar ( C5 : denegación de servicio), Firefox ( C5 : múltiples vulnerabilidades), dhcp ( C5 : denegación de servicio), dbus ( C5 : denegación de servicio), foomatic ( C5 : la ejecución de código), bash ( C5 : archivo local sobrescribir) , y el núcleo ( C5 : múltiples vulnerabilidades).

Red Hat ha actualizado frysk ( RHEL4 : la ejecución de código), pango ( RHEL5 : la ejecución de código), evolution28-pango ( RHEL4 : la ejecución de código), qt4 ( RHEL5 : recorrido de directorio, cross-site scripting, y la ejecución de código), cuartos de galón ( RHEL6 : recorrido de directorio, cross-site scripting, y la ejecución de código) y el flash-plugin ( RHEL5-6 : múltiples vulnerabilidades de ejecución remota de código).

Scientific Linux ha actualizado frysk ( SL4 : la ejecución de código), pango ( SL5 : la ejecución de código), evolution28-pango ( SL4 : la ejecución de código), qt4 ( SL5 : recorrido de directorio, cross-site scripting, y la ejecución de código), y cuartos de galón ( SL6 : recorrido de directorio, cross-site scripting, y la ejecución de código).

Ubuntu ha actualizado gimp (la ejecución de código malicioso a través de imágenes GIF).

Banshee 2.2 lanzado

Noticias de interés en la url:http://lwn.net/Articles/460057/rss:

La versión 2.2 del reproductor de música Banshee está fuera. La función de titular parece ser la integración con el eMusic tienda, sino que también han añadido soporte para una serie de nuevos dispositivos. Ver las notas de lanzamiento para más detalles.

PacketFence 3.0 lanzado

Noticias de interés en la url:http://lwn.net/Articles/460062/rss:

PacketFence es un acceso a la red del sistema de control, la versión 3.0 acaba de ser anunciado. "En pocas palabras, tenemos un portal rediseñado en cautiverio, la gestión de invitados completa, incluyendo la inscripción de los dispositivos de activación por correo electrónico o SMS y pre-registrados creación invitado por los administradores. También se ha añadido una nueva característica para permitir PacketFence para asegurar el acceso de red en inmanejable ( los consumidores) los dispositivos (la aplicación en línea llamada). seguimiento de ancho de banda con la contabilidad RADIUS, RedHat Enterprise Linux (RHEL) / CentOS 6 de apoyo y varias mejoras en la usabilidad están ahí también. Finalmente tomamos las tres grandes puntos-ohh oportunidad de fijar varias cosas que nos molesta, pero que empezaron los cambios. " Hay un recorrido de pantalla disponibles para los más curiosos.

Mozilla reflexiona largo (central)-término comunicados de apoyo

Noticias de interés en la url:http://lwn.net/Articles/459973/rss:

El proyecto Mozilla está pensando crear una versión de Firefox ocasionales con más apoyo. "Desde que se mudó a un proceso de liberación más rápida, Mozilla entiende que algunas organizaciones se enfrentan a desafíos en la implementación de los productos de Mozilla en un entorno administrado. La cadencia más rápida liberación hace que proporciona a las organizaciones un período más corto de tiempo para certificar y el uso de las nuevas versiones, y la falta de mantenimiento en versiones anteriores se puede exponer a las organizaciones que utilizan a los riesgos de seguridad. " La propuesta de "comunicados de soporte extendido" (ESR) prevé un período de soporte técnico de 42 semanas, con superposiciones de 12 semanas entre los requisitos esenciales de seguridad sucesivas.

Kernel 3.1 prepatch-RC7

Noticias de interés en la url:http://lwn.net/Articles/459955/rss:

El prepatch 3.1 RC7 está fuera, todavía alojado en Github. Hay un par de correcciones de regresión importante y un montón de otras cosas, parece que la mayoría de los mantenedores han elaborado formas alternativas para obtener los parches de Linus en este momento. Normalmente por rc7 estaríamos mirando hacia la versión final, pero que es probable que se retrase: "Es cada vez más claro que yo como si no suelta el final de 3,1 hasta después de mis próximas vacaciones a principios de octubre - de lo contrario la próxima ventana de fusión se sólo un caos total. Una ventana de fusión con kernel.org estar fuera realmente sólo no quiere trabajar, y hacer una versión sólo para tener algo más caótico ventana de fusión seguido por los viajes parece una locura. " Entre otras cosas, que implica que la próxima ventana de fusión pueden coincidir con la Cumbre del núcleo.

[$] LWN.net Edición Semanal de 22 de septiembre 2011

Noticias de interés en la url:http://lwn.net/Articles/459065/rss:

La edición semanal de LWN.net 22 de septiembre 2011 está disponible.

Richard Hughes en la gestión de color en Linux y GNOME (Libre Gráficos Mundial)

Noticias de interés en la url:http://lwn.net/Articles/459800/rss:

Libre Graphics World ha publicado una extensa entrevista con Richard Hughes en la gestión del color en GNOME. "Esto es más o menos lo que yo hago en las conferencias - encontrar a un diseñador, calibrar la pantalla y ver como disminuye la mandíbula al suelo cuando se dan cuenta de que todas sus obras de arte creada anteriormente estaba mal".

Actualizaciones de seguridad el miércoles

Noticias de interés en la url:http://lwn.net/Articles/459771/rss:

openSUSE ha actualizado el kernel (12 números CVE) y xen (tres de denegación de servicio de vulnerabilidades).

Red Hat ha actualizado el kernel ( RHEL5 : denegación de servicio).

Scientific Linux ha actualizado cyrus-imapd ( SL4-6 : ejecución remota de código).

Ubuntu ha actualizado el kernel (múltiples vulnerabilidades) y linux-ti-omap4 (34 números CVE).

[$] PostgreSQL y el proceso de los estándares SQL

Noticias de interés en la url:http://lwn.net/Articles/459647/rss:

De código abierto y los proyectos de software libre a menudo se encuentran el choque de culturas cada vez que tiene que trabajar con los organismos de normalización. El problema más obvio es el secreto que muchos propietarios-proveedor normas impulsadas por la demanda de los procesos de los participantes, pero que no es el único desafío. El proyecto de base de datos PostgreSQL ha estado lidiando con estos problemas en las últimas semanas, en un esfuerzo por lograr un equilibrio entre sus necesidades como un proyecto y las estructuras cerradas y el proceso de la ISO, el editor de la norma oficial para SQL.

Un supuesto protocolo SSL / TLS vulnerabilidad

Noticias de interés en la url:http://lwn.net/Articles/459641/rss:

Aquí hay artículos en el Registro y post amenaza de un nuevo ataque que, según se dice, puede extraer las cookies de las corrientes de SSL. Los detalles son escasos, pero parece ser un hombre en el medio de ataque que inyecta un poco de JavaScript en el navegador de la víctima. JavaScript que puede aprovechar el hecho de que las conexiones SSL a través de la página se reutilizan se vende para llevar a cabo un ataque de texto plano conocido en contra de esa conexión. Versiones TLS 1.1 y 1.2 no son aparentemente vulnerable, pero, por desgracia, nadie usa esas versiones. Aquellos que quieran hacer algo de investigación se puede conocer un poco más de las conversaciones en la lista de TLS y Hacker News .

Garrett: UEFI asegurar el arranque

Noticias de interés en la url:http://lwn.net/Articles/459569/rss:

Matthew Garrett ha publicado un artículo sobre la UEFI "arranque seguro" característica y su impacto potencial en Linux.

Microsoft requiere que las máquinas se ajusten al programa de logotipo de Windows 8 y ejecutando una versión cliente de Windows 8 vienen con arranque de seguridad habilitado. Las dos alternativas aquí son para Windows que se firma con una clave de Microsoft y para la parte pública de que la clave para ser incluidos con todos los sistemas, o bien para cada OEM para incluir su propia llave y firmar las versiones preinstaladas de Windows. El segundo enfoque consistiría en hacer que sea imposible ejecutar copias en caja de Windows en el hardware del logotipo de Windows, y también imposible la instalación de nuevas versiones de Windows a menos que el OEM proporcionado una nueva copia firmada. El primero parece más probable.

Un sistema que se envía con sólo OEM y las teclas de Microsoft no se inicia una copia genérica de Linux.

Como él dice, no es el momento de preocuparse, sin embargo, pero vale la pena preocuparse. Aquellos que estén interesados ​​en aprender más sobre los planes de Microsoft lo desea, puede ver este video , que las describe en detalle.

Bray: Cómo prepararse para [Android] Teléfonos

Noticias de interés en la url:http://lwn.net/Articles/459566/rss:

Tim Bray señala que la crema de hielo próxima Sandwich (ICS) la liberación será un apoyo más factores de forma en comparación con el Honeycomb actual. "A principios de este año, Honeycomb (Android 3.0) puso en marcha para tablets. Honeycomb Aunque sigue siendo de sólo tablets, la crema de hielo próxima Sandwich (ICS) de liberación apoyará pantallas gigantes, pantallas pequeñas, y todo lo demás. Esta es la forma en Android se quedará a partir de ahora: la misma versión que se ejecuta en todos los tamaños de pantalla Algunas aplicaciones Honeycomb suponer que se quedará sólo en una pantalla grande, y cocido al horno que en sus diseños Esta suposición es en la actualidad es cierto, pero se convertirá en falso con la llegada de.. ICS, porque las aplicaciones de Android son compatibles con el reenvío - una aplicación desarrollada para Honeycomb es compatible con un dispositivo que ejecuta ICS, lo que podría ser un tablet, un teléfono, o cualquier otra cosa ".

Recomendaciones de seguridad para el martes

Noticias de interés en la url:http://lwn.net/Articles/459524/rss:

Fedora ha actualizado F14: librsvg2 (ejecución de código arbitrario), F14: OpenTTD (múltiples vulnerabilidades), y F14: wireshark (denegación de servicio).

Red Hat ha actualizado cyrus-imapd (ejecución remota de código).

SUSE ha actualizado el kernel (múltiples vulnerabilidades).

Ubuntu ha actualizado ffmpeg (denegación de la ejecución del servicio / código) y libav (ejecución de código arbitrario).

Tumbleweed retrocede en systemd por ahora

Noticias de interés en la url:http://lwn.net/Articles/459493/rss:

El openSUSE "Tumbleweed" distribución ha eliminado systemd (que había estado disponible como un paquete opcional) por el momento. "Debido a una serie de interdependancies en los paquetes que no están listos para Tumbleweed, y otras interacciones con el sistema que están causando problemas a algunos usuarios, me voy a quitar systemd a partir de hoy Tumbleweed para permitir a los desarrolladores a dedicar más tiempo a conseguir es estable para la fábrica y el 12,1 en lugar de tener que perseguir a los problemas que son específicos de Tumbleweed solamente. " Curiosamente, casi todos de la discusión de seguimiento se trata de si este cambio debe ser anunciado más ampliamente o silenciadas.

MyGreatFest - El iDroidProject sube al escenario (AppAdvice)

Noticias de interés en la url:http://lwn.net/Articles/459415/rss:

Los desarrolladores del proyecto iDroid anunció en la conferencia de MyGreatFest que están trabajando en portar Android a dispositivos IOS. "En 2008, el proyecto comenzó inicialmente con el nombre de" Proyecto iPhone Linux. "Este proyecto tenía como objetivo iniciar un kernel Linux, y para finales de 2008, este objetivo se había logrado. Al año siguiente, el hacker detrás de la Proyecto iPhone Linux sorprendió a todos al presentar un trabajo de primera generación iPhone con Android OS: El Proyecto iDroid nació ".

Actualizaciones de seguridad el lunes

Noticias de interés en la url:http://lwn.net/Articles/459362/rss:

Debian ha actualizado vsftpd (denegación de servicio).

Fedora ha actualizado F15: django (múltiples vulnerabilidades), F15: seamonkey (eliminación de certificados), F15: mantis (múltiples vulnerabilidades), F15: wireshark (denegación de servicio), F14: audaz-plugins (vulnerabilidad no especificada), bcfg2 ( F15 ; F14 : ejecución de comandos arbitrarios con privilegios de root), zabbix ( F15 , F14 : la divulgación de información a distancia), php ( F15 , F14 : múltiples vulnerabilidades), php-eAccelerator ( F15 , F14 : múltiples vulnerabilidades), y ManiaDrive ( F15 , F14 : múltiples vulnerabilidades).

Mandriva ha actualizado mozilla (eliminación de certificados), apache (denegación de servicio), y rsyslog (denegación de servicio).

linux-next en github

Noticias de interés en la url:http://lwn.net/Articles/459380/rss:

El árbol de linux-next no ha estado disponible desde kernel.org bajó; mantenedor Stephen Rothwell había dicho previamente que no fue capaz de publicar en una ubicación alternativa. Ese problema, evidentemente, ha sido superado; aquellos que quieran la corriente linux-next árbol se puede encontrar en github .

Asignación de registros codiciosos en LLVM 3.0

Noticias de interés en la url:http://lwn.net/Articles/459353/rss:

Los lectores interesados ​​en los detalles sucios de los compiladores pueden disfrutar de esta entrada LLVM proyecto de blog en su nuevo algoritmo de asignación de registros. "El asignador básica nueva elimina la dependencia lineal de escaneo en visitar rangos vivir en orden lineal. En su lugar, utiliza una cola de prioridad para visitar gama vivir en orden decreciente de peso del derrame. La lista de activos utilizados para el control de interferencia se sustituye por un conjunto de viven los sindicatos de intervalo. Implementado como un árbol B + por registro físico, que son una forma eficiente de comprobación de la interferencia con los rangos ya asignados en vivo. A diferencia de la lista de activos, los sindicatos viven intervalo de trabajar con cualquier orden de la cola de prioridad. "

Es un software de Android es realmente gratuito? (The Guardian)

Noticias de interés en la url:http://lwn.net/Articles/459343/rss:

Richard Stallman ha escrito un largo artículo para The Guardian sobre la libertad - o falta de ella - de Android. "Poner estos puntos juntos, podemos tolerar firmware no-libre de la red de teléfono que las nuevas versiones de que no se cargará, no se puede tomar el control de la computadora principal, y sólo puede comunicarse cuando y como el sistema operativo libre elige dejar que se comunican. En otras palabras, tiene que ser equivalente a los circuitos, los circuitos y que no debe ser maliciosa. No hay ningún obstáculo a la construcción de un teléfono Android, que tiene estas características, pero no sé de ninguna. "

Recomendaciones de seguridad para el viernes

Noticias de interés en la url:http://lwn.net/Articles/459209/rss:

Fedora ha actualizado F15: httpd (denegación de servicio).

Red Hat ha actualizado RHEL3 Soporte Extendido: httpd (denegación de servicio).

Arch Linux - "Es lo que hacen" (El H)

Noticias de interés en la url:http://lwn.net/Articles/459227/rss:

La H se ve en la simplicidad de Arch Linux y su utilidad como base para distribuciones personalizadas. "Todas las instalaciones de Arco es diferente para cada instalación y otro arco se define por su elegancia técnica y su adhesión a las exigencias de cada usuario o grupo de usuarios. El objetivo no es un Linux para cada hombre, pero un Linux que se moldea a ajustarse a las exigencias de cada usuario. Por lo tanto, como el wiki Arco expresa, la sencillez en el contexto de Arch Linux significa "sin añadidos innecesarios, modificaciones o complicaciones. En resumen, un enfoque elegante y minimalista "".

Actualizaciones de seguridad del jueves

Noticias de interés en la url:http://lwn.net/Articles/459088/rss:

Fedora ha actualizado roundcubemail ( F15 : cross-site scripting), rsyslog ( F14 : denegación de servicio), y ecryptfs-utils ( F14 , F15 : desmonte no autorizado por parte atacante local).

openSUSE ha actualizado mozilla-nss (DigiNotarectomy).

Red Hat ha actualizado httpd ( RHEL5-6 : la negación de rango de bytes de servicio) y el calamar ( RHEL6 : ejecución remota de código).

Scientific Linux ha actualizado calamar ( SL6 : ejecución remota de código).

Ubuntu ha actualizado linux-mvl-paloma (13 números CVE).

[$] LSS: El endurecimiento del núcleo mesa redonda

Noticias de interés en la url:http://lwn.net/Articles/458805/rss:

El endurecimiento del núcleo para hacer trabajos de atacantes más difícil fue el tema de un amplio debate en la Cumbre de Seguridad en Linux (LSS), celebrada el 8 de septiembre de 2011. La reducción de la superficie de ataque del kernel, que lo protege de los ataques de espacio de usuario, y encontrar maneras de mitigar clases enteras de errores explotables estaban sobre la mesa. Como era de esperar, el mayor obstáculo para obtener estos parches endurecimiento aceptado en la línea principal es a menudo problemas de rendimiento. Aunque no hay conclusiones firmes fueron dibujados, muchas ideas se discutieron algunos de los cuales puede llegar a encontrar su camino en la línea principal.

Aire fresco para openSUSE (la H)

Noticias de interés en la url:http://lwn.net/Articles/459113/rss:

El H conversaciones con Andreas Jaeger en la Conferencia de openSUSE en Nuremberg. "Sin embargo," las versiones cero "según los informes tienden a ser considerados como" cambios importantes "y generar un alto nivel de expectativas entre los usuarios. Al parecer, esto ha dado lugar a repetidas ocasiones la opinión de que una versión no estaba listo para el lanzamiento, y que nuevas características que figuran muy pocos para un lanzamiento a cero. Internamente, el equipo de openSUSE nunca ha tratado a las versiones de cero, como las versiones principales, dijo Jaeger. Los desarrolladores por lo que decidió omitir la "liberación de cero" y no lanzar una versión de 12.0 ".

La comunidad Maemo pierde Gary "lcuk" Birkett

Noticias de interés en la url:http://lwn.net/Articles/459086/rss:

La comunidad Maemo está de luto por la pérdida de Gary Birkett, también conocido como "lcuk", quien falleció recientemente. Pensamientos y recuerdos están siendo publicados en este foro maemo.org . Condolencias a todos, especialmente a la familia que dejó atrás Gary.

[$] LWN.net Edición Semanal de 15 de septiembre 2011

Noticias de interés en la url:http://lwn.net/Articles/458532/rss:

La edición semanal de LWN.net 15 de septiembre 2011 está disponible.

Actualizaciones de seguridad el miércoles

Noticias de interés en la url:http://lwn.net/Articles/458920/rss:

CentOS ha publicado ninguna actualización, pero la versión 5.7 incluirá un gran número de paquetes actualizados compensar la falta de CentOS 5 actualizaciones desde hace casi dos meses. CentOS 6 permanece sin cambios en todo.

Debian ha actualizado openssl (extirpación DigiNotar y vulnerabilidad de divulgación de claves).

openSUSE ha actualizado cyrus-imapd (ejecución remota de código).

Red Hat ha actualizado librsvg2 ( RHEL6 : la ejecución de código).

Scientific Linux ha actualizado librsvg2 ( SL6 : la ejecución de código).

Ubuntu ha actualizado librsvg (ejecución de código), tazas (ejecución remota de código), y el kernel (la negación de la revelación de servicio, una escalada de privilegios, y la información). También se han actualizado algunos específicos para la arquitectura núcleos de fijación hasta 40 números de CVE que data de 2010: linux-ti-omap4 , linux-mvl paloma , linux-FSL imx5l- , y linux-LTS-backport rebelde- .

[$] LPC: Hacer frente a la diversidad de hardware

Noticias de interés en la url:http://lwn.net/Articles/458729/rss:

Como director de tecnología Linaro, David Rusling pasa mucho tiempo observando la interacción entre la arquitectura ARM y el núcleo principal de la comunidad de desarrollo. En su conferencia inaugural fontaneros Linux 2011, David hizo el punto de que la diversidad de ARM está detrás de muchos de los problemas que se han hecho sentir en los últimos años. Se está haciendo mucho para alinear la comunidad ARM con el funcionamiento del kernel, pero el núcleo, también, va a tener que cambiar si con éxito frente a los desafíos planteados por la cada vez más distinto hardware.

Haga clic a continuación (sólo suscriptores) para el informe completo de LPC 2011.

Kernel 3.1-rc6 prepatch

Noticias de interés en la url:http://lwn.net/Articles/458896/rss:

Linus ha anunciado la prepatch 3.1-rc6. Las cosas continúan moviéndose lentamente en ausencia de kernel.org, lo que no hay muchos cambios en esta ocasión. "Nada de lo que realmente destaca. Tener en él, y háganos saber de cualquier regresión en circulación." El depósito sigue siendo alojado en Github, naturalmente.

Servidor HTTP Apache 2.2.21

Noticias de interés en la url:http://lwn.net/Articles/458901/rss:

Hay una nueva versión de Apache que hay. Esto corrige una vulnerabilidad de denegación de otro servicio (que requiere tanto mod_proxy_ajp mod_proxy_balance y, por lo que afectan a menos sitios), y añade correcciones de más de la denegación de solicitud de rango de la vulnerabilidad de los servicios.

La versión de CentOS-5.7 i386 y x86_64

Noticias de interés en la url:http://lwn.net/Articles/458840/rss:

El proyecto CentOS ha publicado CentOS 5.7. "CentOS-5.7 está basado en la versión del programa EL 5.7 e incluye paquetes de todas las variantes incluyendo Servidor y Cliente. Todos los depósitos de aguas arriba se han combinado en una sola, para hacer más fácil para los usuarios finales a trabajar". Los detalles se pueden encontrar en la notas de la versión .

Recomendaciones de seguridad para el martes

Noticias de interés en la url:http://lwn.net/Articles/458751/rss:

Fedora ha actualizado phpmyadmin ( F15 , F14 : cross-site scripting), F15: hplip (ataque de enlaces simbólicos), F14: firefox (eliminación de certificados), F14: Thunderbird (la eliminación del certificado), F14: gnome-web-foto (la eliminación del certificado) , F14: galeon (eliminación de certificados), F14: gnome-python2-extras (eliminación de certificados), F14: perl-gtk2-mozembed (eliminación de certificados), F14: mozvoikko (eliminación del certificado), y F14: xulrunner (eliminación del certificado).

Red Hat ha actualizado el kernel-rt (múltiples vulnerabilidades) y NSS, NSPR (eliminación del certificado).

Scientific Linux ha actualizado NSS, NSPR (eliminación del certificado).

SUSE ha actualizado xorg-x11 (escalada de privilegios).

[$] LPC: Una actualización sobre bufferbloat

Noticias de interés en la url:http://lwn.net/Articles/458625/rss:

Aproximadamente un año después de describir bufferbloat al mundo y comenzar su campaña para remediar el problema, Jim Gettys viajó a la Conferencia 2011 Linux fontaneros para actualizar al público sobre el estado actual de cosas. Una gran cantidad de trabajo que se está haciendo para resolver el problema bufferbloat, pero sigue siendo aún más por hacer.

Haga clic a continuación (suscriptores) de un informe de esta sesión.

Vincent: Perl 5.16 y más allá

Noticias de interés en la url:http://lwn.net/Articles/458714/rss:

Perl 5 mantenedor Jesse Vincent ha publicado una larga descripción de donde se ve la lengua va en el futuro. "Perl 5 no es América. Se trata de una lengua viva, todavía los préstamos libremente a partir de ... casi todo. A veces tomamos prestadas las cosas mal. A veces tomamos prestadas las cosas y usarlas mal. A veces se inventan cosas y luego deseamos no hubieras T. Perl ha sido siempre una especie de roedor, pero estamos en peligro de dar en el punto de haber sido diagnosticado con un problema de acumulación patológica. Tenemos que mejorar en la solución de problemas y seguir adelante sin perjudicar el código viejo. " Cualquiera con un interés en Perl 5 es probable que quiera leer todo el asunto.

El Proyecto de Qt está a punto de lanzar

Noticias de interés en la url:http://lwn.net/Articles/458635/rss:

El "Proyecto de Qt," es la nueva estructura de gobierno de Qt, ha anunciado su existencia . "Desde que se celebraron Modelo Abierto de Gobierno se inició en julio de 2010, hemos trabajado estrechamente con la comunidad para la reestructuración de la base de código, el diseño de la estructura de gobierno, preparar las herramientas, y definir un modelo de contribución para particulares y empresas. Y estamos muy contentos de tener un sistema que se pondrá en marcha tan sólo cinco semanas a partir de ahora. "

Algo más de información se puede encontrar en esta publicación complementaria por el jefe encargado Lars Knoll. "Quiero dejar muy claro que la fundación no dirigirá el proyecto de ninguna manera. La base está en el lugar sólo para cubrir los costos de alojamiento y ejecutar la infraestructura. Todas las decisiones técnicas, así como las decisiones sobre la dirección del proyecto, será tomada por la comunidad de contribuyentes, aprobadores y Mantenedores. Por ejemplo, esto significa que la gente de Nokia en Qt de trabajo comenzará a trabajar con Qt como un proyecto de aguas arriba. Todo el mundo va a utilizar la misma infraestructura, incluyendo listas de correo e IRC. "

Actualizaciones de seguridad el lunes

Noticias de interés en la url:http://lwn.net/Articles/458574/rss:

Debian ha actualizado el kernel (múltiples vulnerabilidades), ffmpeg (múltiples vulnerabilidades), cromo-browser (múltiples vulnerabilidades), squid3 (ejecución de código arbitrario) y mantis (archivo local de inclusión / cross-site scripting).

Fedora ha actualizado F15: firefox (eliminación de certificados), F15: Thunderbird (la eliminación del certificado), F15: xulrunner (eliminación de certificados), F15: mozovoikko (certificado de retirada), F15: perl-gtk2-mozembed (eliminación de certificados), F15: gnome -python2-extras (certificado de retirada), F15: librsvg2 (ejecución de código arbitrario), F15: audaz-plugins (vulnerabilidad no especificada), F14: avahi (denegación de servicio), F14: openssl (error de certificación), y F14: hplip ( ataque de enlaces simbólicos).

Ubuntu ha actualizado Quassel (denegación de servicio).

Perens: El Pacto - Un nuevo enfoque de cooperación en Abrir origen

Noticias de interés en la url:http://lwn.net/Articles/458515/rss:

Bruce Perens ha publicado una descripción de un esquema que se le ocurrió hacer que las políticas de derechos de autor asignación más aceptable para los desarrolladores. El artículo es largo, pero la idea es simple: "Una empresa puede pacto, a cada contribuyente de los derechos de autor, a que continúen apoyando y mantener un proyecto de código abierto, por un período determinado a partir de la contribución de particulares -, o eliminar la contribución de sus productos si no pueden continuar con el Open Source de su trabajo. De esta forma, el desarrollador de código abierto que estar seguros de la mano de obra permanente de desarrolladores pagados en el proyecto a cambio de su contribución, y por lo tanto la mejora continua del programa que utiliza gratuitamente como participante de la comunidad. Al hacer la promesa a cambio de la participación de la comunidad de código abierto completo, la empresa tendrá una mejor idea del valor que está gastando y el valor que recibe que si se trató de pagar poco a poco las modificaciones . Este pacto se renueva cada vez que hay una asignación de derecho de autor, en el que el contador de tres años comienza de nuevo cada vez que la empresa recibe una contribución de un desarrollador. Por lo tanto, los desarrolladores siguen siendo alentados a contribuir con sus derechos sobre la empresa. "

PostgreSQL 9.1 lanzado

Noticias de interés en la url:http://lwn.net/Articles/458520/rss:

La liberación de PostgreSQL 9.1 está fuera. Las nuevas características incluyen la replicación síncrona, colaciones por columna, invitados tablas de datos temporales, seguridad mejorada PostgreSQL , y mucho más, ver este artículo LWN para una visión general de la versión 9.1 y las notas de lanzamiento para más detalles.

Violación de la seguridad en Linux.com, LinuxFoundation.org

Noticias de interés en la url:http://lwn.net/Articles/458414/rss:

La Fundación Linux ha anunciado que las cuentas de Linux.com y LinuxFoundation.org han sido comprometidos. Se cree que la infracción se conecta con el compromiso kernel.org. "Como con cualquier intrusión y como una cuestión de precaución, se debe considerar las contraseñas y las claves SSH que ha utilizado en estos sitios comprometidos. Si usted tiene reutilizado estas contraseñas en otros sitios, por favor, cambie de inmediato. En estos momentos estamos todos los sistemas de auditoría y actualizar las declaraciones públicas, cuando tenemos más información. [...] Hemos tomado todas Fundación Linux los servidores en línea para hacer un completo re-instala. servicios de la Fundación Linux se pondrá una copia de seguridad en cuanto estén disponibles. Estamos trabajando día y noche para acelerar este proceso y estamos trabajando con las autoridades de los Estados Unidos y en Europa para ayudar en la investigación ".

Gire a la FSF estrellas en el FUDathon Android (LinuxInsider)

Noticias de interés en la url:http://lwn.net/Articles/458291/rss:

LinuxInsider está ejecutando un obstinado serie de cuatro partes sobre el "GPLv2 pena de muerte", la discusión y el papel de la Fundación del Software Libre en ella. "Si bien es cierto que el artículo 4 de la licencia GPLv2 termina su derecho a redistribuir, cuando usted se encuentra fuera de cumplimiento, el artículo 6 es igualmente claro cuando afirma que se obtiene una licencia válida de los derechos de autor-titular con cada nueva copia que usted recibe. Reanudación de la distribución es simplemente una cuestión de volver al cumplimiento y la descarga de una copia nueva Es cierto que esto no va a "arreglar" los problemas anteriores de cumplimiento;. dependiendo de su naturaleza, pueden tener que negociar con los titulares de derechos de autor o que se decida por un corte, pero la amenaza de la última "gran garrote" - de no ser capaz de reanudar la distribución con la nueva licencia concedida de forma automática en virtud del artículo 6 - es un intento de imponer restricciones que ni una simple lectura de la licencia, ni las normas que rigen con lo tomas o lo dejas contratos permite ".

Intel niega a renunciar a MeeGo, pero eso no significa mucho (Ars Technica)

Noticias de interés en la url:http://lwn.net/Articles/458264/rss:

Ryan Paul examina los rumores de la desaparición de MeeGo. "El sistema basado en Linux MeeGo operativo móvil se enfrenta a un futuro incierto en medio de rumores de que Intel planea alejarse de la plataforma. El problemático proyecto de software libre ha dejado de ganar apoyo de la industria y parece estar disminuyendo ante la débil demanda y la disminución de la participación de sus partidarios. Intel desmintió los rumores de hoy, diciendo que todavía está "totalmente comprometido" con MeeGo y pretende continuar con el desarrollo de la plataforma, mientras que la búsqueda de nuevos socios. Intel el "compromiso" no significa mucho en la práctica, sin embargo, , porque los esfuerzos de desarrollo de la compañía hasta la fecha han hecho poco para avanzar en el proyecto. A menos que Intel puede atraer a un compañero que está mejor equipada para producir software orientados al consumidor, MeeGo no tiene mucho futuro como una plataforma móvil discreto. "

Recomendaciones de seguridad para el viernes

Noticias de interés en la url:http://lwn.net/Articles/458227/rss:

CentOS ha actualizado C4: gstreamer-plugins (múltiples vulnerabilidades), C4: Thunderbird (la eliminación del certificado), C4: seamonkey (eliminación del certificado), y C4: firefox (eliminación del certificado).

Debian ha actualizado el kernel (múltiples vulnerabilidades).

Fedora ha actualizado F14: tazas (daños en la pila).

Mandriva ha actualizado rsyslog (denegación de servicio).

openSUSE ha actualizado firefox (eliminación del certificado) y Thunderbird (la eliminación del certificado).

Scientific Linux ha actualizado SL5: kernel (múltiples vulnerabilidades).

Slackware ha actualizado httpd (denegación de servicio).

SUSE ha actualizado pure-ftpd ( SLE10 SP4 ; SLE11 SP1 : recorrido de directorio).

Ubuntu ha actualizado NSS (eliminación del certificado) y ca-certificados (certificado de eliminación).

Remanente: Un proceso de liberación de nuevas versiones de Ubuntu?

Noticias de interés en la url:http://lwn.net/Articles/458233/rss:

Ha Scott James Remnant publicado un análisis detallado de los problemas que ve en el proceso de la versión actual de Ubuntu y una propuesta de mejora: publicaciones mensuales. "Mi propuesta es un cambio radical en el proceso de lanzamiento de Ubuntu, pero es sorprendente que se necesitaría un esfuerzo técnico muy poco para poner en práctica, porque todas las piezas ya están allí, incluyendo el trabajo sobre la realización de pruebas automatizadas funcionales y de verificación. Creo que resuelve el problema de aterrizaje características inestables antes de estar listos, ya que elimina casi por completo versiones como una cosa. Como desarrollador sólo tiene que trabajar en un PPA hasta que usted pasa la revisión, y la tierra una característica estable que puede reemplazar lo que había antes. "

[$] LWN.net Edición Semanal de 09 de septiembre 2011

Noticias de interés en la url:http://lwn.net/Articles/457312/rss:

La edición semanal de LWN.net 09 de septiembre 2011 está disponible.

[$] LPC: la diversidad de Desarrollo del modelo

Noticias de interés en la url:http://lwn.net/Articles/458094/rss:

Hay una gran diversidad de modelos de desarrollo utilizados por los proyectos de software libre y de código abierto. Allison Randal explorado que la diversidad en su discurso de apertura en la Conferencia de Linux fontaneros . Como era de suponer, no existe un modelo que funciona para todos los proyectos y, de hecho, los proyectos pueden aprender de los modelos utilizados por otros, que pueden ayudar a que el proyecto evolucione con el tiempo.

Suscriptores LWN puede hacer clic a continuación para un informe sobre la charla de la primera página de esta semana.

Michael Hart, fundador e-book amante del Proyecto Gutenberg, fallece (Ars Technica)

Noticias de interés en la url:http://lwn.net/Articles/458106/rss:

Michael Hart, fundador del Proyecto Gutenberg, murió en su casa en Urbana, Illinois el 6 de septiembre. "El 4 de julio de 1971, Hart intentó una nueva idea de su:. Escribir el texto de la Declaración de la Independencia en un equipo de la Universidad de Illinois en Urbana-Champaign Hizo el texto a disposición de los usuarios de computadora, y luego a usuarios de otras redes, y pronto comenzaron a entrar en más textos. A medida que el proyecto surgió en la utilidad, los voluntarios de todo el mundo lanzó en la investigación, exploración, el tipo y revisar todo, desde ensayos completos de Montaigne a la obra maestra de PG Wodehouse cómica Mi Jeeves hombre. (Este es el Internet, el derecho de título más popular ahora es el Kama Sutra de Vatsyayana.) "

Actualizaciones de seguridad del jueves

Noticias de interés en la url:http://lwn.net/Articles/458053/rss:

Debian ha actualizado bcfg2 (ejecución de comandos arbitrarios con privilegios de root).

Fedora ha actualizado perl-Data-FormValidator ( F15 , F14 : el modo de eludir la protección de corrupción), el meloncillo ( F15 , F14 : la ejecución de código arbitrario), calamar ( F15 , F14 : desbordamiento de buffer), y pl ( F15 , F14 : daños en la pila) .

Mandriva ha actualizado Firefox y Thunderbird (la eliminación del certificado).

openSUSE ha actualizado mozilla-nss (eliminación del certificado) y la ópera (múltiples vulnerabilidades).

Red Hat ha actualizado los paquetes de Red componente ( RHEL6 ; RHEL5 : escalada de privilegios).

Scientific Linux ha actualizado SL4: gstreamer-plugins (múltiples vulnerabilidades), SL4: seamonkey (eliminación de certificados), SL4: Thunderbird (la eliminación del certificado), y SL4: firefox (eliminación del certificado).

HTC Demanda a Apple mediante patentes obtenidas de Google (Bloomberg)

Noticias de interés en la url:http://lwn.net/Articles/457953/rss:

Bloomberg informa que Google ha transferido algunas de sus patentes recientemente adquiridas para HTC, que ha dado la vuelta y demandó de inmediato de Apple por infracción de las patentes. "Los nueve patentes se originó con Palm Inc., Motorola Inc. y Openwave Systems Inc., con Google toma de posesión en el último año, de acuerdo con la patente de EE.UU. y los registros de la Oficina de Marcas. Mountain View, California, Google registró la transferencia de las patentes de HTC el 1 de septiembre, según el sitio web de la agencia. "

[$] Los certificados y las "autoridades"

Noticias de interés en la url:http://lwn.net/Articles/457713/rss:

Cuanto más nos enteramos de la situación certificado DigiNotar, peor parece que se pondrá. Lo que empezó a buscar algo así como el incidente de Comodo de marzo pasado-una grave violación de su derecho propio, se ha convertido en irrefutable prueba de la seguridad casi inimaginable laxa a la autoridad DigiNotar de certificados (CA). Que los fabricantes de navegadores llevó a hacer algo sin precedentes: no sólo a la lista negra de los certificados conocidos malo que se había publicado, pero a la lista negra cualquier certificado emitido por DigiNotar. Pues resulta, que era la respuesta correcta (módulo un lista blanca de corta duración de algunos de los certificados del gobierno holandés) como el alcance del compromiso ha seguido creciendo.

Los suscriptores pueden clic a continuación para tomar LWN de la edición de esta semana.

Recomendaciones de seguridad para el miércoles

Noticias de interés en la url:http://lwn.net/Articles/457899/rss:

CentOS ha emitido la notificación de 6 meses para el C4: End Of Life .

Fedora ha actualizado rubygem-actionpack ( F15 , F14 : múltiples vulnerabilidades), rubygem-ActiveSupport ( F15 , F14 : cross-site scripting), F14: ca-certificados (certificado de eliminación), F14: libsndfile (ejecución de código arbitrario), F14: dhcp (denegación de servicio), y F14: pidgin (denegación de servicio).

openSUSE ha actualizado coreutils (inyección de comandos), otrs (acceso a archivos arbitrarios), calamar (buffer overflow), rsyslog (denegación de servicio) y dhcp (denegación de servicio).

Red Hat ha actualizado RHEL5: kernel (múltiples vulnerabilidades), RHEL4: gstreamer-plugins (múltiples vulnerabilidades), RHEL4: seamonkey (eliminación de certificados), RHEL4, 5 y 6: Thunderbird (la eliminación del certificado), y RHEL4, 5 y 6: firefox (eliminación del certificado) .

Slackware ha actualizado firefox (eliminación de certificados), Thunderbird (la eliminación del certificado), y SeaMonkey (la eliminación del certificado).

SUSE ha actualizado squid3 (buffer overflow).

Ubuntu ha actualizado Firefox y XULRunner (eliminación del certificado).

Firefox y Thunderbird actualizaciones

Noticias de interés en la url:http://lwn.net/Articles/457850/rss:

Las nuevas versiones de Firefox (6.0.2 y 3.6.22) y Thunderbird (6.0.2, 7.0 beta, y 3.1.14 están fuera. Estos lanzamientos eliminar excepciones de confianza para los certificados emitidos por Staat der Nederlanden. "cuestiones DigiNotar certificados como parte de el gobierno holandés PKIoverheid (PKIgovernment) del programa. Estos certificados son emitidos desde una perspectiva diferente DigiNotar controlado intermedios, y de la cadena hasta que el gobierno holandés CA (Staat der Nederlanden). El gobierno holandés Computer Emergency Response Team (GovCERT) indicó que estos certificados son emitido independientemente de otros procesos DigiNotar y que, en su evaluación, no se habían comprometido. El gobierno holandés por lo tanto, solicitó que eximir a estos certificados de la eliminación de la confianza, que nos pusimos de acuerdo para hacer en nuestra actualización de seguridad inicial a principios de este semana. Gobierno holandés ha auditado el rendimiento DigiNotar y rescindió esta evaluación. Ahora estamos eliminando la exención para estos certificados, lo que significa que todos los certificados se DigiNotar confianza por los productos de Mozilla. "

Más cencerro con la máquina de tambor de hidrógeno en Linux (Linux.com)

Noticias de interés en la url:http://lwn.net/Articles/457846/rss:

Carla Schroder juega con la caja de ritmos de hidrógeno . "Para la gratificación instantánea, ir a Proyecto - Demo> Abrir y elija una demo para jugar Esto le dirá de inmediato si el hidrógeno es encontrar los drivers de audio correcto, y si su sistema de sonido de trabajo son los controles de reproducción se encuentran cerca de la parte superior izquierda.. , en la fila debajo de la barra de menú. Estoy corriendo la versión 9.5 de Debian Testing, que es una versión de desarrollo, y no todo el trabajo que demos. Así que trate de varios, si no se oye nada. "

Actualizaciones de seguridad el martes

Noticias de interés en la url:http://lwn.net/Articles/457822/rss:

Mandriva ha actualizado pidgin (múltiples vulnerabilidades).

SUSE ha actualizado apache ( SLES 11 SP1 , SLES 10 Service Pack 4 ; SLES 10 Service Pack 3 : denegación de servicio).

OpenSSH 5.9 liberado

Noticias de interés en la url:http://lwn.net/Articles/457808/rss:

El OpenSSH 5.9 liberación está fuera. La lista de cambios es bastante largo, pero la característica de título parece ser un mecanismo experimental para la nueva caja de arena al proceso de hacer la autenticación inicial para evitar que haga cosas desagradables si se ve comprometida. Linux no es totalmente compatible con esta función, por desgracia, sino que necesita una función como caja de arena seccomp para una implementación completa.

Algunos Lunes actualizaciones de seguridad

Noticias de interés en la url:http://lwn.net/Articles/457737/rss:

La seguridad no conoce días festivos, el número de cambios en el buzón de correo ha crecido, por lo que parece que vale la pena ponerlos por ahí.

También vale la pena tener en cuenta un hecho significativo: CentOS, una vez más en silencio dejó de actualizaciones de envío para CentOS 5, la última actualización salió el 21 de julio. La primera CentOS 6 actualización aún no ha aparecido. Así, los usuarios de CentOS siguen siendo vulnerables a los problemas (como el tema de Apache DOS) que se han fijado en otros lugares.

CentOS ha actualizado firefox ( C4 : eliminar DigiNotar), Thunderbird ( C4 : eliminar DigiNotar), y SeaMonkey ( C4 : eliminar DigiNotar).

Debian ha actualizado los carriles (cross-site scripting, inyección SQL, y la división de respuesta, uno de 2009), NSS (quitar DigiNotar), y apache2 (fijar la regresión de la actualización anterior).

Mandriva ha actualizado libxml (posible ejecución remota de código), apache (denegación de servicio), y mozilla (quitar DigiNotar).

openSUSE ha actualizado ca-certificados (quitar DigiNotar) y samba (cross-site scripting y de falsificación de petición).

Pardus ha actualizado dhcp (denegación de servicio), libmodplug (múltiples vulnerabilidades), pidgin (denegación de servicio), samba (cross-site scripting y de falsificación de petición), la subversión (denegación de servicio y la divulgación de información), y libsoup (la revelación de información) .

Scientific Linux ha actualizado ca-certificados ( SL6 : eliminar DigiNotar).

SUSE ha actualizado openssl-certs (quitar DigiNotar)

Kernel 3.1-RC5 prepatch

Noticias de interés en la url:http://lwn.net/Articles/457711/rss:

Linus ha anunciado la prepatch 3.1 RC5 - pero se aloja en un lugar inusual. "Sin embargo, master.kernel.org aún es baja, y en realidad no ha sido una tonelada de desarrollo en marcha, por lo que considera justo saltar a la semana. Pero bueno, todo el asunto (bueno, * un * de los puntos) de desarrollo distribuido, es que ni un solo lugar es realmente diferente de cualquier otro, por lo que ya he hecho una cuenta de github para mi lo divelog, ¿por qué no ver lo bien que puede contener hasta me acaba de poner mi grano entero repo allí también? " Por razones obvias, el changelog completo no está disponible en kernel.org en este momento.

Tiny Core Linux (Linux Journal)

Noticias de interés en la url:http://lwn.net/Articles/457553/rss:

Linux Journal tiene una revisión de Tiny Core Linux. "Existen varios proyectos que pretenden ser pequeñas, de ejecución en memoria distribuciones. La más popular probablemente es Puppy Linux. Cachorro ha dado lugar a algunas variaciones, y lo he usado varias veces a mí mismo en máquinas antiguas. Sin embargo, he descubierto que rodó sobre mí núcleo completo-Tiny Linux. Esta distribución es una bestia totalmente diferente y llena de lo que creo que es hasta el momento una categoría sin cubrir ".

Actualizaciones de seguridad el viernes

Noticias de interés en la url:http://lwn.net/Articles/457521/rss:

CentOS ha actualizado C4: httpd (denegación de servicio).

Fedora ha actualizado ecryptfs-utils ( F15 , F14 : múltiples vulnerabilidades).

openSUSE ha actualizado tomcat6 (fuga de información) y Apache (denegación de servicio).

Red Hat ha actualizado RHEL6: rsyslog (denegación de servicio) y ca-certificados (extirpación DigiNotar).

Scientific Linux ha actualizado rsyslog (denegación de servicio).

SUSE ha actualizado el kernel ( SLE11 SP1 ; SLE11 SP1 extras : múltiples vulnerabilidades).

Ubuntu ha actualizado apache2 (denegación de servicio) y Thunderbird (extirpación DigiNotar).

Hemos ganado y no se dio cuenta (El H)

Noticias de interés en la url:http://lwn.net/Articles/457552/rss:

La H tiene una extensa entrevista con Jeremy Allison . "La gente estaba descuidado. Código es una chapuza, y no puede ser nunca más. Una vez más, este es el mismo para el software propietario. Si estás escribiendo algo sencillo sólo para probar algo, usted lo puede llegar con un mínimo de esfuerzo, pero tan pronto como usted tiene que escribir algo que la gente depende de -. Samba y es en esa situación, hay una enorme cantidad de trabajo y la infraestructura que tiene que estar en su lugar ".

Neary: El costo de hacerlo solo

Noticias de interés en la url:http://lwn.net/Articles/457439/rss:

En su blog, Dave Neary ha redactado las notas de una charla que dio en la Cumbre de escritorio en los costos de trabajar con la comunidad para obtener el código de arriba frente a los costos de no trabajar con la comunidad. El artículo (y hablar) tiene varios ejemplos reales de los costos. "Para evitar perderse en este trabajo, se recomienda combinar con regularidad los cambios de aguas arriba en su copia local del paquete de arriba, pero esta combinación no suele ser libre -. Y el más grande de los cambios, lo más probable es que usted encontrará importantes conflictos entre aguas arriba y la copia local. También hay un adicional, a menudo olvidado gastos relacionados con las pruebas de regresión y validación post-fusión. Cada vez que un componente de actualización a una nueva versión, tengo que comprobar que no ha roto nada, ya sea debido a un cambio de comportamiento en los puntos de integración que estoy usando, o simplemente porque algunas regresiones se introdujo la fijación de otros temas ".

Nuevas herramientas gratuitas simplificar el análisis de malware de Android (lectura Dark)

Noticias de interés en la url:http://lwn.net/Articles/457418/rss:

Lectura oscuro se ve menos dos Google Summer of Code (GSoC) proyectos destinados a Android análisis de malware: APKInspector y DroidBox. "DroidBox es una caja de arena de la clase que permite a un investigador o analista de seguridad de ejecución y observar una aplicación maliciosa." Te permite mirar y ver si la aplicación está haciendo algo [maliciosos] ... y cómo lo está haciendo, "[maestro GSoC Ryan], dice Smith. 'Una vez que haya un perfil de la misma, y desea profundizar en el cómo y en qué parte del código que está haciendo algo, entonces se utiliza APKInspector para revisar el código. [...] Ambas herramientas están dirigidas a los investigadores que llevan a cabo la ingeniería inversa de malware, así como los analistas de seguridad, dice. Y ese es un primer paso hacia una mejor sujeción de la plataforma Android, según Smith. "

Layt: tablet Diversión y juegos

Noticias de interés en la url:http://lwn.net/Articles/457407/rss:

En su blog, John Layt describe su experiencia en el uso de plasma activo en un ExoPC y lo bien que funcionó, especialmente para los niños. Parte de la razón es la disponibilidad de un montón de "aplicaciones" de KDE (y KDE Edu ) que en su mayoría corrió muy bien en un ambiente basada en el contacto. "Puede que hayamos sido [privado] de acceso a la red, pero el tablet se ha cargado completamente con las aplicaciones de la educación y los juegos y se le dio una a través de va-más, se equivocan me refiero a las pruebas de usabilidad de todos los niños. Tomó una demostración única de mi parte cómo encontrar y lanzar aplicaciones y estaban lejos, lo que demuestra hasta qué punto es útil activo:. si a 5 años de edad, puede obtener una explicación por 3 segundos Estoy seguro de que la mayoría de los adultos también se tablet A funciona muy bien en el contexto de la un grupo de niños jugando juntos, que felizmente se sentaron alrededor de la Blinken tablet jugar o KHangMan juntos, en lugar de discutir sobre quién es el próximo para jugar Angry Birds en el iPhone. Los 5 años de edad, incluso exigió a sus padres instalar algunos de los juegos en su iPad :-) Como annma ponerlo en la lista de correo kdeedu, un tablet es un ready-made niñera :-) "

Primera beta de Ubuntu 11.10 Ocelot onírico en libertad (El H)

Noticias de interés en la url:http://lwn.net/Articles/457411/rss:

La H tiene un vistazo a la primera beta de Ubuntu 11.10 ("Ocelot onírico"). "El paquete incluye actualizaciones de Python 3.2, GCC 4.6.1, CUPS 1.5.0, Shotwell 0,11, y la versión 3.4.2 de LibreOffice (3.4.3 llegó a finales de agosto). Paquetes adicionales incluyen la herramienta de copia de seguridad de Déjà Dup. La versión beta 7 de Firefox y Thunderbird se incluye 7 beta ahora es el cliente de correo predeterminado con un menú y la integración de lanzamiento, las versiones estables se estrenará el 27 de septiembre [...] Otros cambios incluyen un nuevo Alt + Tab switcher, el apoyo multiarquitectura (mejorando. biblioteca de 32 bits y el manejo de aplicaciones en sistemas de 64 bits), una pantalla de conexión nueva que utiliza LightDM y 2D Unidad, para su uso en sistemas sin aceleración 3D, se ha acercado a la versión en 3D de la Unidad. Los indicadores de la sesión de escritorio y el poder también se han renovado . " Beta 2 está programado para el 22 de septiembre y la versión final de 13 de octubre.

Recomendaciones de seguridad para el jueves

Noticias de interés en la url:http://lwn.net/Articles/457363/rss:

Actualizaciones para Thunderbird (3.1.13 y 6.0.1) se han lanzado para eliminar DigiNotar certificado raíz.

Debian ha actualizado NSS (extirpación DigiNotar).

openSUSE ha actualizado ncpfs (/ etc / mtab truncamiento).

Red Hat ha actualizado ecryptfs-utils (RHEL 5 y 6: múltiples vulnerabilidades), Firefox , Thunderbird , y SeaMonkey (extirpación DigiNotar), y httpd (negación amplia solicitud de servicio). También ha anunciado el final de la vida de Red Hat Enterprise Linux 4.7 , así como de seis meses de aviso de final de la vida de Red Hat Enterprise Linux 4 (que entrará en vigor 29 de febrero 2012).

Scientific Linux ha actualizado httpd (negación amplia solicitud de servicio), Firefox , Thunderbird , y SeaMonkey (extirpación DigiNotar), ecyrptfs-utils (SL5 y 6: múltiples vulnerabilidades), y libvirt (SL6: la ejecución de código).

SUSE ha actualizado xen (múltiples vulnerabilidades) y núcleo (múltiples vulnerabilidades).

Ubuntu ha actualizado Firefox y XULRunner (extirpación DigiNotar).

[$] LWN.net Edición Semanal de 01 de septiembre 2011

Noticias de interés en la url:http://lwn.net/Articles/456504/rss:

La edición semanal de LWN.net 01 de septiembre 2011 está disponible.

kernel.org comprometida

Noticias de interés en la url:http://lwn.net/Articles/457142/rss:

La página principal de kernel.org está llevando a un aviso de que el sitio ha sufrido un fallo de seguridad. "A principios de este mes, una serie de servidores de la infraestructura kernel.org se vea comprometida. Descubrimos este 28 de agosto. A pesar de que en la actualidad creen que los repositorios de código fuente no se vieron afectados, estamos en el proceso de verificación de esto y tomar medidas para mejorar la seguridad toda la infraestructura de kernel.org. " Como menciona la actualización, no hay mucho que ganar mediante la manipulación de los repositorios git allí de todos modos.