Дано:

•   плата Orange Pi One;
•   карта памяти microSD объёмом не менее 4 Гб.

dnf install fedora-arm-installer

fedora-arm-image-installer --image Fedora-Minimal-armhfp-25-1.3-sda.raw.xz --target orangepi_lite --media /dev/sdb --selinux off --norootpass --resizefs --addconsole

xz -dv Fedora-Minimal-armhfp-25-1.3-sda.raw.xz

umount -f /dev/sdb*

dd if=Fedora-Minimal-armhfp-25-1.3-sda.raw of=/dev/sdb bs=1M status=progress; sync; sleep 3

xzcat Fedora-Minimal-armhfp-25-1.3-sda.raw.xz | dd of=/dev/sdb bs=1M; sync; sleep 3

(pv -n Fedora-Minimal-armhfp-25-1.3-sda.raw.2 | dd of=/dev/sdb bs=1M conv=notrunc,noerror) 2>&1 | dialog --gauge "Copy 'Fedora-Minimal-armhfp-25-1.3-sda.raw' to /dev/sdb, please wait..." 10 70 0; sync; sleep 3

partprobe /dev/sdb

echo ", +" | sfdisk -N 4 /dev/sdb

fsck.ext4 -fy /dev/sdb4

partprobe /dev/sdb

mount /dev/sdb2 /mnt/tmp &> /dev/null
 echo "Turning SELinux off ..."
 sed -i 's/append/& enforcing=0/' /mnt/tmp/extlinux/extlinux.conf
 umount /dev/sdb2

mount /dev/sdb4 /mnt/tmp &> /dev/null
 echo "Removing the root password."
 sed -i 's/root:x:/root::/' /mnt/tmp/etc/passwd
 umount /dev/sdb4

mount /dev/sdb4 /mnt/tmp &> /dev/null
 echo "Writing u-boot-sunxi-with-spl.bin ...."
 dd if=/mnt/tmp/usr/share/uboot/orangepi_lite/u-boot-sunxi-with-spl.bin of=/dev/sdb bs=1024 seek=8; sync; sleep 5
 umount /dev/sdb4

mount /dev/sdb2 /mnt/tmp &> /dev/null
 echo "Adding console ttyS0,115200 to extlinux.conf ..."
 sed -i "s|append|& console=ttyS0,115200|" /mnt/tmp/extlinux/extlinux.conf
 umount /dev/sdb2

sync

mount /dev/sdb2 /mnt/tmp/
 ln -sfv sun8i-h3-orangepi-one.dtb /mnt/tmp/dtb-4.8.6-300.fc25.armv7hl/sun8i-h3-orangepi-lite.dtb
 umount /mnt/tmp

fdisk -l Fedora-Minimal-armhfp-25-1.3-sda.raw

Диск Fedora-Minimal-armhfp-25-1.3-sda.raw.2: 2177 МБ, 2177892352 байт
 255 heads, 63 sectors/track, 264 cylinders, всего 4253696 секторов
 Units = секторы of 1 * 512 = 512 bytes
 Sector size (logical/physical): 512 bytes / 512 bytes
 I/O size (minimum/optimal): 512 bytes / 512 bytes
 Disk identifier: 0x0fbf13bf

                              Устр-во Загр     Начало       Конец       Блоки   Id  Система
 Fedora-Minimal-armhfp-25-1.3-sda.raw1            2048       61439       29696    c  W95 FAT32 (LBA)
 Fedora-Minimal-armhfp-25-1.3-sda.raw2   *       61440     1060863      499712   83  Linux
 Fedora-Minimal-armhfp-25-1.3-sda.raw3         1060864     1560575      249856   82  Linux своп / Solaris
 Fedora-Minimal-armhfp-25-1.3-sda.raw4         1560576     4059135     1249280   83  Linux

вчера, 17/01/2017, пал последний бастион свободы в сообществе SuSE: openSuSE-13.2 . официальная поддержка прекращена...

"всем похуй"(ц)(тм) новость - говно, не вопрос. если же внимательно посмотреть на трэнд - станет немного грустно и пичально.. и дело не в выпиливании "i586/i686" архитектуры как таковой. нет. жопа в том, что "базу" "stable release" окончательно и бесповоротно прикрутили к SLED/SLES. в принципе, с учётом наличия и функционирования "OBS" (OpenSuSE Build Service), любой высер в сторону сабжа есть ни что иное, как публичное признание в криворукости и безмозглости "Аффтара". хочешь сделать иначе - бери OBS/(osc) и делай, как считаешь нужным. не можешь - завали ебало и не щёлкай им попусту. так бы всё и было, если бы не некие "нюансы"..

впрочем, "звоночек" разорвало давно.. месадж, что "поддержку 'SysV Init' мы прекратили патамучтаононикамуненужно" вспоминать не буду. "пиздец"(ц)(тм) пришёл аккуратно после покупки сабжа Novell-ом и поныне уходить никуда не собирается. речь не о соглашениях с Microsoft^(c)(tm), не о пропихивании Mono в базу, и даже не о тотальной кедерастии головного мозга (SuSE стояла у истоков KDE и была первой компанией, кто включил это в дефолт). речь о тотальной (хронической) деградации конфигов.. во времена SuSE-8.0 (+/-) можно было тупо "читать" содержимое '/etc/' как крутейший ман по Linux системам. камменты, опции, варианты, объяснения почему так, а не иначе.. блядь.. какая была охуенная система..

а сейчас.. а чо сейчас? да ничё, чё.. "базу" (Leap) собрали без поддержки компрессии/xz, если захочешь пожать ядрёные модули - сходишь няхуй (или накатишь kmod + kmod-compat + libkmod2 из openSuSE-13.2.. или накатишь модули без компрессии.. Карл..). systemd.. да.. пример:

> systemd-analyze blame | head -8
7.382s systemd-udev-settle.service
6.566s dev-sda1.device
5.157s systemd-tmpfiles-clean.service
4.671s tor.service
3.299s mnt-sda4.mount
3.092s systemd-tmpfiles-setup-dev.service
2.680s ntpd.service
2.359s privoxy.service

Новый способ деанонимизации пользоватлеей Tor - путём встраивания в веб-странчки джаваскрипта, генерирующего ультразвуковой сигнал. И подслушивания этого сигнала на других соседних устройствах. (видимо с помощью тоже джаваскрипта, встроенного в баннеры).

Утверждается, что технология придумана для совершенно "мирных" целей - связать между собой устройства, принадлежащие одному пользователю, чтобы лучше таргетировать рекламу. Но оказалось что заодно это успешно давит попытки анонимизироваться онлайн.

В общем, режьте рекламу со страниц. И к микрофонам нужен аппаратный выключатель. Который включается только тогда, когда ты в микрофон говоришь, как у старых добрых раций. И о фильтрах, режущих высокие частоты стоит подумать.

Разработчику российской операционной системы Astra Linux из-за санкций не удалось получить права на популярные шрифты, в том числе на Times New Roman, пишет «Коммерсантъ».

Как сообщил директор центра «НПО РусБИТех» и руководитель коллектива разработчиков ОС Astra Linux Юрий Соснин, права на шрифты принадлежат американской Monotype Imaging, отказавшейся от договора с российской компанией из-за ее сотрудничества с Минобороны.

Компания Monotype Imaging владеет правами на такие шрифты, как Arial, Verdana, Tahoma, Times New Roman.

По словам источников издания, Monotype Imaging изначально была не слишком заинтересована в сделке, назначив «довольно высокую цену»

Язык программирования для гопников и реальных пацанов.

сабж

В ядре Linux обнаружена локальная уязвимость (CVE-2016-8655), позволяющая локальному непривилегированному пользователю выполнить код с правами root. В том числе, уязвимость может быть использована для выхода за пределы изолированных контейнеров, работающих с использованием пространств имён идентификаторов пользователей. Рабочий прототип эксплоита подготовлен для Ubuntu 14.04/16.04 c ядром Linux 4.4 и работает независимо от активации механизмов защиты SMEP/SMAP (Supervisor Mode Execution Prevention/Supervisor Mode Access Prevention).


Проблема вызвана состоянием гонки в коде net/packet/af_packet.c и присутствует, начиная с выпуска ядра Linux 3.2-rc1, представленного в августе 2011 года. Уязвимость затрагивает функцию packet_set_ring() и позволяет через манипуляции с кольцевым буфером TPACKET_V3 осуществить обращение по уже освобождённому указателю функции, что может быть эксплутаировано для запуска кода на уровне ядра Linux.


Для атаки пользователь должен иметь полномочия по созданию сокетов AF_PACKET, которые предоставляются при наличии прав CAP_NET_RAW. В Debian, Red Hat Enterprise Linux и, возможно, в некоторых других дистрибутивах (требуется уточнение информации) проблема проявляется только при предоставлении администратором прав CAP_NET_RAW и активации поддержки пространств имён идентификаторов пользователей (user namespaces, sysctl kernel.unprivileged_userns_clone=1), которая отключена по умолчанию. В Ubuntu и Fedora режим user namespaces включен по умолчанию, но для атаки по-прежнему требуется получение полномочий CAP_NET_RAW. На платформе Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.


Патч с исправлением уязвимости принят в состав ядра Linux 4.9-rc8. Обновления пакетов пока выпущены только для Ubuntu. Проблема остаётся неисправленной в Fedora, openSUSE, Debian, CentOS/RHEL 7, SUSE Linux Enerprise 12. Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.
Дополнительно можно отметить публикацию обновления для платформы Android, в котором устранено шесть критических уязвимостей, из которых три затрагивают ядро Linux, две драйвер NVIDIA и одна модуль для чипов Qualcomm). Уязвимости могут привести к выполнению кода с правами ядра. Эксплоиты для данных уязвимостей пока не сформированы, но информация о проблемах и код патчей уже доступны публично. Из проблем не отнесённых к категории критических, также отмечаются более 20 уязвимостей, которые дают возможность организовать выполнение кода с правами текущего процесса или позволяют поднять свои привилегии через манипуляции с различными подсистемами (kernel file system, HTC sound codec, MediaTek driver, Qualcomm codec, Qualcomm camera driver, NVIDIA libomx, libziparchive, Smart Lock, Telephony, Wi-Fi, Qualcomm sound driver и т.п.).


Также продолжается история с уязвимостями в GStreamer: чтобы показать, что упомянутые в первом отчёте проблемы не единичны, Крис Эванс (Chris Evans) выявил ещё шесть уязвимостей в декодировщиках форматов FLIC и vmnc, позволяющие организовать выполнение кода при открытии специально оформленных файлов. Также предложен пример создания нового работающего эксплоита для прошлой уязвимости, некорректно исправленной в Fedora Linux.


https://www.opennet.ru/opennews/art.shtml?num=45632

Опубликованы подробности и эксплоит для уязвимости (CVE-2016-1247) в пакете с nginx, в конце октября устранённой в Debian и Ubuntu. Проблема специфична для deb-пакета nginx, не касается самого nginx, и может привести к выполнению кода с правами root при наличии у атакующего прав доступа "www-data" в системе.

Проблема вызвана некорректными настройками доступа к директории с логами web-сервера. Директория с логами /var/log/nginx имеет владельца "www-data", что позволяет пользователю с данными полномочиями произвольно манипулировать файлами в данной директории. При запуске или перезапуске nginx в лог добавляются записи от процесса с правами root. Периодически скрипт ротации логов меняет владельца файлов с логами на "www-data".

Локальный пользователь с правами www-data может создать в директории /var/log/nginx символическую ссылку вместо файла с логом "error.log". Таким образом, направив символическую ссылку "/var/log/nginx/error.log" на другой файл перед перезапуском nginx, можно изменить любой файл в системе. Перезапуск nginx по сигналу USR1 осуществляется скриптом ротации логов, который по умолчанию вызывается из cron.daily каждый день в 6:25.

Для организации запуска кода с правами root в эксплоите осуществляется создание символической ссылки на файл /etc/ld.so.preload (/var/log/nginx/error.log -> /etc/ld.so.preload), который после перезапуска nginx будет создан, а после ротации лога получит владельца www-data, что позволит прописать в нём произвольную библиотеку атакующего, после чего библиотека будет активироваться при выполнении любого исполняемого файла, например, можно запустить suid root приложение /usr/bin/sudo.

Демонстрационный видос на ютубе

Источник новости

RMS тут пропагандирует систему электронных платежей GNU Taler , разработанную в \url[Inria]{http://www.inria.fr/} .

Интересным свойством этой системы является то, что, хотя покупатель анонимен, продавец не анонимен, и грубо говоря, государство может проследить, сколько подоходного налога можно брать с получателей талеров. Собственно, буква T в аббревиатуре TALER это "Taxable".

При первом прочтении этой новости у меня возникла мысль "Не взлетит. Государству интересно не только получить свои налоги, но и проследить за любой активностью. Поэтому будут талеры запрещать так же, как и биткойны".

Но с другой стороны, 30 лет назад то же самое говорили про GPL и Free Software. А оно взлетело.

То есть Столлману по крайней мере один раз удалось пройти по тонкой грани, разделяющей интересы крупных сущностей - корпораций и государств, и интересы простых пользователей.

Поэтому стоит, наверное, последить за судьбой и этого проекта.