Recientemente se acomodó una vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root

La vulnerabilidad ha sido descubierta por Rafal Wojtczuk de Invisible Things Labs, la empresa de la conocida investigadora Joanna Rutkowska. Rafal descubrió el bug mientras estaba trabajando en la virtualización de la interfaz de usuario del sistema operativo Qubes. Qubes es el proyecto más ambicioso de Rutkowska, un sistema operativo que permite virtualizar procesos independientemente.

Según Rutkowska el bug descubierto podría haber estado ya presente desde la introducción de la rama 2.6 a finales de 2003. Aunque en un primer momento los investigadores reportaron el error a los desarrolladores del servidor X (X.org) finalmente se derivó a los mantenedores del kernel. Esto fue debido a que no se trataba de un fallo inherente al servidor X sino a la forma en la que el kernel maneja la memoria en determinadas circunstancias.

La explotación de la vulnerabilidad permitiría a cualquier proceso no privilegiado con acceso al servidor X escalar a root. De facto los procesos de usuario que posean GUI corren con acceso al servidor X y de ahí que, como teoriza Rutkowska, la explotación de una vulnerabilidad no relacionada en una aplicación de usuario podría ser encadenada y aprovechar ésta para elevar privilegios. La puerta a una ejecución remota de código queda abierta.

Técnicamente la explotación del bug reside en cargar de forma reiterativa en memoria pixmaps (XPM) de gran tamaño aumentando así el área de memoria mapeada. Gracias a la extensión MIT-SHM del servidor X, se posibilita y se crea un segmento de memoria compartida que será usado por el proceso del servidor X.

La idea es aumentar el tamaño de memoria mapeada y seguidamente llamar a una función recursiva que vaya creando marcos de pila llevando el segmento de pila hacia la zona de memoria compartida, ya de por sí en direcciones altas debido a la expansión de la memoria mapeada usada a alojar los pixmaps.

Durante ese instante, el puntero de pila ha llegado a la zona de memoria compartida y el atacante obtiene el control de la pila ya que puede escribir en esa área posibilitando de ésta forma la ejecución de código arbitrario.

El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-2240.

Fuente: La Flecha.net/Hispasec.com

3Zw0%07L0b0R

Ese es un gran tema en la convención anual de Linux. El kernel, por supuesto, es el producto de uno de los proyectos de software de colaboración más grande de todos los tiempos, y sigue recibiendo una parte sustancial de de las contribuciones de las compañías comerciales

Existe la preocupación, sin embargo, que el núcleo es demasiado complicado para el modelo de desarrollo existente, y la preocupación de que los intereses comerciales de desarrollo por inclinen y se distancie de lo que podría producir un kernel lo más sano posible.

Según reseña  Paula Rooney del portal ZDNet, "atraer talento para trabajar en el kernel será más difícil en el futuro, de acuerdo con James Bottomley, un desarrollador del núcleo Linux y distinguido ingeniero de 20 años (SUSE) de Novell. Ahora que el kernel de Linux y la industria está madura, las oportunidades comerciales han de ser mucho más atractivas para los nuevos desarrolladores del kernel "

Fuente: Somoslibres.org/ostatic

Crabgrass es un sitio web gratuito diseñado para la creación de redes sociales, el trabajo colaborativo y las redes sociales de las empresas. Su objetivo consiste en crear herramientas de comunicación dedicadas específicamente a las necesidades de cada usuario, desde la base

Para las redes sociales, los creadores del proyecto se basan en “la capacidad de los usuarios para establecer vínculos entre sí a través de sus contribuciones y su presencia online. (…) La capacidad de los pequeños grupos de trabajo para hacer cosas como compartir archivos, tareas y proyectos de seguimiento, tomar decisiones y desarrollar bases de conocimiento compartido. (…) La capacidad de los grupos múltiples para trabajar juntos en proyectos con un espíritu democrático“.

Crabgrass es actualmente un conjunto sólido de herramientas de colaboración que cuenta con recursos como las páginas wiki privadas, las listas de tareas, repositorios de archivos y diferentes herramientas para la toma de decisiones. Entre las mejoras previstas de la herramienta destacan: blogs, calendarios de eventos, apoyo a la colaboración y toma de decisiones entre grupos independientes.

Como es software libre, todos están invitados a revisar el código (git clone git: / / labs.riseup.net / crabgrass.git) y utilizar la documentación de su desarrollo, para ejecutar la aplicación en su propia web y hacer mejoras y cambios en el código fuente.

Crabgrass está escrito en Ruby, usando Ruby on Rails.

Fuente: AEMP.com-Octavio Ortega

Según la revista especializada en tecnología Fayerwayer, en general no se aprecian grandes cambios respecto a las versiones anteriores (3.2 y 3.2.1), aunque en esta nueva versión se espera incorporar importantes cambios en su interfaz

Los cambios "estéticos" forman parte del proyecto Renaissance, cuyo lema de batalla es: "Crear una interfaz de usuario de manera de que la elección de OpenOffice no sólo sea una elección por necesidad, sino que también por el deseo de los usuarios".

"En realidad es una frase bastante cierta, y sería bueno ver un OpenOffice que fuera más amigable" comenta Fayerwayer a su vez que asegura que la primera beta de la suite de ofimática se encuentra disponible pare descarga en versiones de 32 y 64 bits. Como es un beta, " no es recomendable su instalación en ambientes de producción, y quien quiera probarlo deberá hacerlo bajo su propio riesgo".

Para descargar OpenOffice 3.3 haga clic aquí

Fuente: La Flecha/Fayerwayer