Es increíble el trabajo de promoción que está realizando Nate (ahora con ayuda de otros desarrolladores) en su blog, desde hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Aplicaciones en segundo plano y escalado con zoom – Esta semana en Plasma» de Esta semana en Plasma. Espero que os guste.

Aplicaciones en segundo plano y escalado con zoom – Esta semana en Plasma

Nota: Artículo original en Blogs KDE. Traducción realizada utilizando Perplexity. Esta entrada está llena de novedades de la Comunidad KDE. Mis escasos comentarios sobre las mejoras entre corchetes.

Mejoras notables

Plasma 6.7

Se implementó compatibilidad con el portal de “Aplicaciones en segundo plano”. Esto permite que las aplicaciones, especialmente las aplicaciones GNOME más recientes, que usan este portal puedan ponerse en segundo plano y aparecer como iconos en la bandeja del sistema, junto a los iconos similares de otras aplicaciones que usan la funcionalidad existente de icono en la bandeja del sistema. (David Redondo, plasma-workspace MR #5703)

Se implementó una función de escalado para el contenido de la pantalla al usar el efecto Zoom de KWin. El filtro hace todo lo posible por enfocar y reescalar el contenido, lo que da como resultado una apariencia más suave y menos pixelada, especialmente en niveles de zoom relativamente altos. Si este efecto no es para ti, puedes desactivarlo. (Ritchie Frodomar, KDE Bugzilla #509770)

El widget de impresoras ahora muestra una insignia con el número de trabajos de impresión activos y en cola. (Mike Noe, print-manager MR #323)

Mejoras en la interfaz de usuario

Plasma 6.7

El software que usa XWayland y solicita poder enviar eventos sintéticos de teclado y ratón, como xdotool —que, al parecer, varias aplicaciones invocan—, ahora se identifica por su nombre para que sepas qué está pidiendo. Además, ahora puedes ver una lista de las aplicaciones a las que has concedido este permiso y revocarlo más adelante. (David Redondo, kwin MR #9123) [Mejorando la gestión de permisos].

Se aplicó un estilo de KDE al componente genérico MessageDialog de Qt, lo que resuelve el problema de que estos diálogos se vieran muy feos y desentonaran en distintas aplicaciones, incluido el diálogo de confirmación de eliminación del widget de notas adhesivas. (Tobias Fella, KDE Bugzilla #499562) [Mejorando la integración].

Se mejoró el funcionamiento de Discover cuando se inicia sin conexión a Internet. (Tobias Fella, KDE Bugzilla #511002)

Se mejoró la forma en que Discover informa de que una actualización de firmware ha quedado en cola para instalarse después del próximo reinicio. (Tobias Fella, KDE Bugzilla #422498) [Mejorando Discover a todos los niveles].

Se eliminó el efecto de “doble botón Atrás” visible en el widget de redes al mostrar el código QR de una red. (Tobias Fella, plasma-nm MR #541)[Esto ya se hizo con los enlaces].

La función automática de brillo de pantalla ahora tiene en cuenta más datos, con la esperanza de que responda mejor a tus preferencias y sea menos inestable en entornos donde la iluminación de fondo cambia mucho. (Prajna Sariputra, kwin MR #9145) [Lo cual puede llegar a ser tan irritante que al final se desactiva].

Los botones situados en la parte superior de la barra lateral del explorador de widgets ahora respetan la ley de Fitts, lo que te permite activarlos pegando el puntero al borde de la pantalla contiguo y haciendo clic. (Tobias Fella, plasma-desktop MR #3511 y libplasma MR #1479)

Se simplificó la presentación de la notificación sobre el teléfono conectado mediante KDE Connect cuando tiene poca batería. (Kai Uwe Broulik, powerdevil MR #619)

Ahora dispones de más de 25 segundos para elegir un color una vez que has invocado esta función desde el widget Selector de color. Ahora puedes tomarte todo el tiempo que quieras. (Kai Uwe Broulik, kdeplasma-addons MR #1013) [Por que a veces las decisiones necesitan más tiempo].

Frameworks 6.28

Se mejoró la apariencia de la transición de fundido cruzado al moverse entre páginas en muchas aplicaciones basadas en Kirigami. (HeCheng Yu, kirigami MR #2079)

Corrección de errores importantes

[No comento las correcciones de errores ya que son bastante evidentes].

Plasma 6.6.5

Se corrigió un problema que hacía que el Gestor de inicio de sesión de Plasma no se lanzara correctamente en ciertos dispositivos con determinado hardware gráfico, en particular portátiles con Apple Silicon. (Matthias Kurz, plasma-login-manager MR #130)

Se corrigió un problema que hacía que los toques en una pantalla táctil dejaran de aplicarse a la parte correcta de la pantalla cuando la pantalla táctil se reflejaba en otra pantalla con geometría distinta. (David Edmundson, KDE Bugzilla #514688)

Ahora es posible seleccionar un tema de sonido mediante el teclado. (Nicolas Fella, KDE Bugzilla #519194)

Se corrigió un fallo visual en la página Tableta de dibujo de Configuración del Sistema que hacía que las líneas que indican las asignaciones de los botones del lápiz salieran disparadas hacia la esquina superior izquierda de la ventana con algunas tabletas. (David Redondo, KDE Bugzilla #519600)

Plasma 6.7

Se corrigió un caso en el que KWin podía bloquearse al activar un elemento en un panel oculto mientras se usaba el backend de renderizado Vulkan, todavía en desarrollo. (Vlad Zahorodnii, KDE Bugzilla #518721)

Se corrigieron dos casos en los que algunos controles de la página Ajustes rápidos de Configuración del Sistema no eran leídos por el lector de pantalla Orca. (Nicolas Fella, KDE Bugzilla #519433)

Desactivar globalmente los complementos de KRunner ahora también los desactiva en el widget del menú de aplicaciones Kicker. (Christoph Wolk, KDE Bugzilla #501200)

Mejoras de rendimiento y aspectos técnicos

Plasma 6.6.5

Se corrigieron algunos problemas de rendimiento experimentados en una variedad de GPUs NVIDIA que fueron introducidos por la versión 595 del controlador propietario de NVIDIA. (Xaver Hugl, KDE Bugzilla #517987)

Plasma 6.7

Se implementó compatibilidad para renombrar o reubicar la nueva carpeta estándar «Proyectos» que ha empezado a aparecer en las carpetas personales de los usuarios. (Jakob Dev, plasma-desktop MR #3657)

Cómo puedes ayudar

KDE se ha vuelto importante en el mundo, y tu tiempo y contribuciones han ayudado a llegar hasta aquí. A medida que crecemos, necesitamos tu apoyo para mantener KDE sostenible.

¿Te gustaría ayudar a preparar este informe semanal? Preséntate en la sala de Matrix y únete al equipo.

Más allá de eso, puedes ayudar a KDE involucrándote directamente en cualquier otro proyecto. Donar tiempo es realmente más impactante que donar dinero. Cada colaborador marca una gran diferencia en KDE — ¡no eres un número ni un engranaje en una máquina! No tienes que ser programador, existen muchas otras oportunidades.

También puedes ayudar haciendo una donación. Esto ayuda a cubrir costes operativos, salarios, gastos de viaje para colaboradores y, en general, a mantener KDE llevando Software Libre al mundo.

La entrada Aplicaciones en segundo plano y escalado con zoom – Esta semana en Plasma se publicó primero en KDE Blog.

¡Este mayo de 2026 es el mes de LibreLocal! La Free Software Foundation (FSF) invita a partidarios del software libre como tú a organizar un meetup para reunir a la gente y intercambiar ideas, aprender unos de otros y celebrar el software libre

Los meetup de LibreLocal se organizaron por primera vez en 2025. Partidarios del software libre organizaron 29 encuentros de LibreLocal en cinco continentes el año pasado. Este año de nuevo la FSF repite llamamiento.

Aquí en España se celebrarán 6 encuentros en los que se hablará y difundirá el software libre, pero también servirá para conectar personas con una misma afición. Echemos un vistazo:

Islas Canarias

• Ciudad: Santa Cruz de Tenerife – Islas Canarias – España
• Fecha: 30 de Mayo de 2026 a las 10:15
• Ubicación: Local de Canarias GoRetro Avenida de los Menceyes 263, 2ª planta, oficina 12. La Cuesta (La Laguna) – Tenerife
• Registro: El registro es libre y gratuito. Visita la página oficial https://librecan.com
• Organización: LibreCan Comunidad de Software Libre y Cultura Libre de Canarias – Lucio Albenga
• Descripción: Encuentro de mentes curiosas sobre software libre, cultura libre, derechos digitales y tecnología ética en Canarias

Sobre este evento ya pudiste leer en el blog una entrevista en exclusiva a su organizador:

• https://victorhckinthefreeworld.com/2026/04/15/librecan-2026-el-encuentro-de-software-libre-en-canarias-crece/

LibreCan es el evento de software libre y cultura libre en Canarias. Es un encuentro informal para personas que tienen curiosidad e interés por la cultura libre, el software libre, los derechos digitales, las redes sociales descentralizadas, el derecho a reparar, el libre acceso a la información y otros temas afines. Si te interesa o tienes curiosidad por alguno de estos temas este es tu evento. Este año tendremos ponencias sobre diversos temas y como siempre también sesión de conversación libre y sin formalidades, entro todos los asistentes. Solo ideas y buena compañía. Conecta con gente con tus mismas inquietudes en la segunda LibreCan y participa en el foro ¡Esta comunidad también es tuya!

Oviedo

• Ciudad: Oviedo (Asturias – España).
• Fecha: 5 de mayo a las 19:00 h, mas opcionalmente algún sábado de mayo (quizás el 12).
• Ubicación: El Olivar (Calle Oscura, 1/3 – Oviedo – Asturias – España).
• Organización: PicaHack https://www.picahack.org
• Description: Charla de iniciación a la informática libre, instalación de sistemas operativos libres a quien quiera, taller de iniciación al uso de sistemas operativos libres, reparación de ordenadores.

Salamanca

• Ciudad: Salamanca (España)
• Fecha: 7 de mayo a las 17:00 h
• Ubicación: Aula D1 (Facultad de Ciencias, Pz de los Caídos S/N, Salamanca).
• Organización: Rodrigo Santamaría (http://vis.usal.es/rodrigo)
• Description: Charla-debate sobre software libre de uso común y funcional para los asistentes, compartición de experiencias y toma de contacto, tal vez poner las bases para establecer un grupo local de difusión.

Tarragona

• Ciudad: Tarragona (Catalunya)
• Fecha 8 de mayo de 15:00h a 20:00h.
• Ubicación: CRAI Biblioteca Campus Sescelades, URV Avinguda Països Catalans, 26 43007 Tarragona
• Registro: Aún pendiente. Por favor, contacta en la dirección xavi92 @ disroot org si tienes interés.
• Description: El evento será una LAN party dedicada a los videojuegos libres. La comunidad del software libre ha dedicado mucho esfuerzo a crear grandes videojuegos (0 A.D., SuperTuxKart, Hurry Curry, Xonotic… ¡hay tantos por elegir!) y creemos que puede ser una forma divertida e interesante de difundir el mensaje del software libre a los estudiantes.

Valencia

• Ciudad: València (España)
• Fecha: 16 de mayo desde las 10:30
• Ubicación: COiP (Casal Obrer i Popular) Carrer Olimpia Arozena Torres 42 46018, València.
• Registro: https://mobilizon.fr/events/523c1407-f38f-4ac8-9726-499cfa8f34a4
• Organización: Associació GNU/Linux València
• Description: El evento LibreLocal València 2026 será una jornada de encuentro, debate y acción para colectivos y simpatizantes de la cultura libre. Organizado por GNU/Linux València bajo el lema «¡Colectivos y simpatizantes del software libre, organicémonos!», el objetivo es vertebrar el movimiento tecnológico crítico local mediante charlas relámpago, una asamblea abierta y la planificación colaborativa de estrategias de futuro.

Si tienes la suerte de que alguno de estos eventos está cerca o puedes desplazarte, no dudes en asistir y formar parte de una comunidad que se desvirtua e interactúa cara a cara compartiendo conocimientos e intereses por el software libre.

Tienes más información en este enlace sobre otros encuentros en otros países:

• https://libreplanet.org/wiki/Group:Librelocal/2026

Como es tradicional, aunque me salté el 2021, hoy quiero comentar que un año más KDE participa en Google Summer of Code (GSoC) en su edición del 2024 . A lo largo de muchos años, esta simbiosis entre la Comunidad KDE y el gigante multicolor ha sido muy provechosa para ambos, como hemos visto en muchas ocasiones en el blog, esperemos que éste también lo sea.

KDE participa en Google Summer of Code 2024

El equipo de KDE es uno de las Comunidades que siempre intentan colaborador con los proyectos sobre Software Libre que suele organizar cualquier compañía, y Google no es ninguna excepción.

Este año tenemos bastantes estudiantes mejorando sus habilidades al tiempo que mejoran las aplicaciones del ecosistema KDE. De esta forma según leemos en el blog de mentorías de KDE, qua acabo de descubrir, tenemos un articulo de Carl Schwan que nos cuenta que los estudiantes van a trabajar en mejorar aplicaciones como KDE Connect, Labplot, Arianna (un visor de ePub), Frameworks, Okular, Snaps, Krita, KDE Games y Kdenlive.

Más información: KDE Mentorship

¿Qué es GSoC?

Vía Somos Libres he encontrado esta magnífica descripción del programa GSoC:

Google Summer of Code (GSoC) es un evento organizado por Google, cuyo objetivo es hacer participar a varios estudiantes en el desarrollo de determinados proyectos Open Source elegidos por Google. Cada grupo debe cumplir con una lista de tareas específicas que deben realizar y elegidas por el representante del proyecto, también conocido como mentor.

Los objetivos del GSoC son:

• Crear y liberar código Open Source para el beneficio de todos.
• Inspirar a los jóvenes desarrolladores a participar en el desarrollo de aplicaciones Open Source.
• Ayudar a los proyectos Open Source a identificar a nuevos y posibles desarrolladores.
• Dar a los estudiantes la oportunidad de trabajar en algo relacionado a sus estudios. Dar a los estudiantes una mayor exposición a situaciones del mundo real de desarrollo de software.

En definitiva, una excelente iniciativa que beneficia a todo el mundo.

La entrada KDE participa en Google Summer of Code 2027 se publicó primero en KDE Blog.

Como es tradicional, aunque me salté algunas ediciones como las del 2021 o 2025, hoy quiero comentar que un año más KDE participa en Google Summer of Code (GSoC) en su edición del 2026 . A lo largo de muchos años, esta simbiosis entre la Comunidad KDE y el gigante multicolor ha sido muy provechosa para ambos, como hemos visto en muchas ocasiones en el blog, esperemos que éste también lo sea.

KDE participa en Google Summer of Code 2026

El equipo de KDE es uno de las Comunidades que siempre intentan colaborador con los proyectos sobre Software Libre que suele organizar cualquier compañía, y Google no es ninguna excepción.

Este año tenemos bastantes estudiantes mejorando sus habilidades al tiempo que mejoran las aplicaciones del ecosistema KDE. De esta forma, según leemos en el blog de mentorías de KDE, esta Comunidad ha conseguido la aprobación 12 proyectos, cuyo listado es el siguiente donde entre paréntesis tenemos al alumno que participa:

• Marknote (Prayag Jain): Implementación de un editor de bloques de alto rendimiento y un analizador de Markdown mejorado.
• digiKam (Srirupa Datta): Integración de un modelo de lenguaje (LLM) basado en IA con el motor de búsqueda de la base de datos de fotos.
• Drawy (Abdelhadi Wael): Mejora de los elementos de texto mediante la gestión de texto enriquecido (rich text).
• Kdenlive (Yash Bavadiya): Optimización de los efectos de curvas, degradados y la herramienta de mapeo de tiempo.
• Kirigami (Shubham Shinde): Mejoras generales en el framework y optimización de la experiencia para otros desarrolladores.
• Okular (Ojas Maheshwari): Implementación de la función de subconjunto de fuentes (font subsetting) al guardar archivos PDF a través de la librería Poppler.
• Lokalize (Navya Sai Sadu): Rediseño de la pestaña de memoria de traducción para facilitar el trabajo de los traductores.
• KStars (Pavan Kumar S G): Desarrollo de un asistente de guiado asistido por IA para el ecosistema Ekos.
• KeepSecret (Roshani Kumari): Añadido de funciones de importación/exportación y un generador de contraseñas integrado, además de mejoras en la interfaz.
• Mentorship Portal (Ansh Singhal): Creación del nuevo portal join.kde.org para centralizar los puntos de entrada a la comunidad KDE.
• Plasma Mobile (Tushar Gupta): Adaptación de módulos de configuración de red (KCM) para mejorar la usabilidad en dispositivos móviles.
• Mankala (Sayandeep Dutta): Creación de una nueva interfaz dedicada a la gestión y organización de torneos en el juego.

Más información: KDE Mentorship

¿Qué es GSoC?

Vía Somos Libres he encontrado esta magnífica descripción del programa GSoC:

Google Summer of Code (GSoC) es un evento organizado por Google, cuyo objetivo es hacer participar a varios estudiantes en el desarrollo de determinados proyectos Open Source propuestos por la Comunidad KDE (aunque evidentemente hay otras comunidades que proponen)y elegidos por el gigante de la información.

Cada grupo debe cumplir con una lista de tareas específicas que deben realizar y elegidas por el representante del proyecto, también conocido como mentor. Los nuevos colaboradores del código abierto deberán trabajar en proyectos durante un periodo de entre 175 y 350 horas.

Los objetivos del GSoC son:

• Crear y liberar código Open Source para el beneficio de todos.
• Inspirar a los jóvenes desarrolladores a participar en el desarrollo de aplicaciones Open Source.
• Ayudar a los proyectos Open Source a identificar a nuevos y posibles desarrolladores.
• Dar a los estudiantes la oportunidad de trabajar en algo relacionado a sus estudios. Dar a los estudiantes una mayor exposición a situaciones del mundo real de desarrollo de software.

En definitiva, una excelente iniciativa que beneficia a todo el mundo.

KDE

KDE participa en Google Summer of Code 2026

baltolkien May 1, 2026 4 min read

Leer más

KDE

KDE participa en Google Summer of Code 2024

baltolkien May 5, 2024 2 min read

Leer más

KDE

Avances de Okular fruto de la colaboración con el programa Google Summer of Code 2023

baltolkien Nov 29, 2023 3 min read

Leer más

KDE

Avances de Tokodon fruto de la colaboración con el programa Google Summer of Code 2023

baltolkien Nov 27, 2023 3 min read

Leer más

KDE

Avances de KDE Eco fruto de la colaboración con el programa Google Summer of Code 2023

baltolkien Nov 22, 2023 3 min read

Leer más

La entrada KDE participa en Google Summer of Code 2026 se publicó primero en KDE Blog.

Copy Fail (tracked as CVE-2026-31431) is a critical vulnerability in the Linux kernel that allows a local non-root user to gain full root access to the system. It is considered extremely dangerous because it is a pure logic error – unlike other known holes like Dirty Pipe or Dirty COW, it does not require complex […]

The post SUSE responds to the copy.fail vulnerability appeared first on SUSE Communities.

Hace unas semanas que fue lanzado KDE Gear 26.04, la primera gran actualización de este año de la rama de aplicaciones de la Comunidad. Es hora de seguir el repaso, que empecé con Dolphin, de las novedades de esta nueva versión, y nada mejor que continuar con las mejoras en la gestión de información personal, uno de los aspecto claves para aquellos para los que nuestro ordenador es nuestra herramienta de trabajo diaria.

Mejoras en la gestión de información personal en KDE Gear 26.04, Edición «KDE a los 30»

Hace unas semanas ya realicé la presentación de KDE Gear 26.04, Edición «KDE a los 30», que los desarrolladores presentaban así:

¡KDE ya lleva 30 años de existencia! Muchos de los proyectos de KDE también son maduros y consolidados: Okular tiene 21 años, KOrganizer tiene 23 y Kdenlive tiene 24.
Otros proyectos son jóvenes y prometedores, como NeoChat, Merkuro y AudioTube, ya que nuestra comunidad genera constantemente nuevas ideas y las convierte en productos para que los disfrutes.
Hoy traemos nuevas versiones de muchas de estas aplicaciones, tanto antiguas como nuevas. Sigue leyendo y descubre todas las funciones y mejoras que pronto estarán disponibles en tu escritorio.

Es hora de continuar con el repaso de las novedades, que inicié con Dolphin, el gestor de archivos y carpetas de KDE, y siguiendo el anuncio del equipo de promoción ahora me toca hablar de las mejoras en la gestión de información personal.

Y es que con el software de la Comunidad KDE tenemos cubiertas casi todas las necesidades en cuanto a correo electrónico, contactos, calendarios, etc., y encima con opciones.

Empezamos hablando de Merkuro Calendar, el cual cuenta en esta nueva versión de una vista de programación y un editor de eventos rediseñados ofreciendo un aspecto más moderno, mostrando la información más relevante de una manera más atractiva.

Por otro lado, la venerable y veterana aplicación de calendarios KOrganizer integrada en Kontact se ha renovado y ahora es más ordenada y ofrece más información.

Y para finalizar, Itinerary, el gestor de viajes que te ayuda a planificarlos, gestionando todos tus billetes y reservas, y te ayuda a no perderte cuando viajas mejora los diálogos y añade nueva información para cuando viajes por Suiza.

Y, recuerda, todo este software es gratuito y sin publicidad en todos los sentidos: no te cuesta ni un euro y no se cobra en en forma de datos personales. No obstante, si quieres ayudar a su desarrollo siempre puedes participar en su campaña de recaudación de fondos.

• 
  Lanzado KDE Gear 26.04, Edición «KDE a los 30»
  Lanzado KDE Gear 26.04, Edición «KDE a los 30»
• 
  Novedades de Dolphin en KDE Gear 26.04, Edición «KDE a los 30»
  Novedades de Dolphin en KDE Gear 26.04, Edición «KDE a los 30»
• 
  Mejoras en la gestión de información personal en KDE Gear 26.04, Edición «KDE a los 30»
  Mejoras en la gestión de información personal en KDE Gear 26.04, Edición «KDE a los 30»

La entrada Mejoras en la gestión de información personal en KDE Gear 26.04, Edición «KDE a los 30» se publicó primero en KDE Blog.

Copy Fail (CVE-2026-31431) é uma vulnerabilidade de escalonamento local de privilégio no kernel Linux QUE TOMOU CONTA DAS REDES SOCIAIS. Ela foi divulgada publicamente em 29 de abril de 2026 e está ligada ao subsistema criptográfico do kernel, especialmente à interface AF_ALG / algif_aead e ao template criptográfico authencesn. Em termos práticos: um usuário local sem privilégios pode abusar de uma falha lógica para fazer uma escrita controlada de poucos bytes no page cache de um arquivo legível e, a partir disso, alterar o comportamento de binários privilegiados para obter root.

O conceito central é que o kernel permite que programas em userspace usem algoritmos criptográficos via sockets AF_ALG. A falha apareceu em uma lógica de operação “in-place” em AEAD, isto é, quando a origem e o destino da operação criptográfica são tratados de forma inadequada como se pudessem compartilhar o mesmo espaço/mapeamento. O patch oficial basicamente remove essa complexidade e volta a operar “out-of-place”, porque não havia benefício real em operar in-place nesse caso.

O nome Copy Fail vem justamente dessa ideia: uma cópia que deveria cair em um destino seguro acaba afetando um local errado/controlável. A exploração pública descreve uma cadeia envolvendo AF_ALG, splice(), page cache e uma escrita controlada de 4 bytes em arquivo legível. Isso é perigoso porque muitos binários privilegiados do sistema, como su, sudo, pkexec, passwd, mount, chsh e chfn, normalmente são executáveis setuid-root e, em várias distribuições, também são legíveis por usuários comuns.

O impacto é alto porque não é uma exploração remota: o atacante precisa ter acesso local ao sistema, por exemplo uma conta shell, usuário em servidor compartilhado, container mal isolado ou ambiente multiusuário. Mas, uma vez dentro, a falha pode permitir virar root sem depender de race condition, offsets específicos por distribuição ou tentativas instáveis. Os pesquisadores afirmam ter testado em Ubuntu, Amazon Linux, RHEL e SUSE, incluindo SUSE 16.

Nós como membros da OWASP Capítulo São Paulo, temos a missão de ajudar a mitigar este problema…

A mitigação principal e correta é atualizar o kernel para uma versão que contenha o patch/revert de algif_aead. A mitigação com chmod é uma defesa emergencial: ela reduz a superfície de ataque removendo permissão de leitura de binários setuid sensíveis, mantendo a execução e o bit setuid. Então abaixo o comando de autoria do Raphael Bastos A.K.A. coffnix para executar o chmod removendo o direito de leitura dos comandos passwd chsh chfn mount sudo pkexec

for b in passwd chsh chfn mount sudo su pkexec; 
   do p=$(readlink -f "$(command -v "$b")"); 
   [ -n "$p" ] && chmod 4711 "$p"; done

O brinquedo funciona assim: ele percorre a lista de binários sensíveis (passwd, chsh, chfn, mount, sudo, pkexec), encontra o caminho real de cada um com command -v e readlink -f, e aplica chmod 4711 no arquivo encontrado.

O modo 4711 significa:

4 = ativa o bit setuid
7 = dono/root pode ler, escrever e executar
1 = grupo só pode executar
1 = outros usuários só podem executar

Ou seja, o binário continua funcionando como setuid-root, mas deixa de ser legível por usuários comuns. Como a exploração depende de atingir arquivos legíveis no page cache, remover a permissão de leitura desses binários dificulta ou bloqueia essa cadeia específica contra esses alvos.

Em sistemas de produção, eu usaria assim:

sudo sh -c 'for b in passwd chsh chfn mount sudo pkexec; do p=$(readlink -f "$(command -v "$b")"); [ -n "$p" ] && chmod 4711 "$p"; done'

Depois valide:

ls -l /usr/bin/passwd /usr/bin/chsh /usr/bin/chfn /usr/bin/mount /usr/bin/sudo /usr/bin/pkexec

Você deve ver algo parecido com:

-rws--x--x root root ...

Resumo: patch de kernel é a correção real; chmod 4711 nos binários setuid é uma mitigação rápida para reduzir o alvo explorável enquanto o kernel corrigido não é aplicado.

Hace mucho tiempo que no hablo de cursores para vuestro PC. La última vez fueron Moga Neon, una creación de Moyash, el cual no deja de crear variantes como el que hoy os presento. Se trata de los cursores Lighted Pixel otra variante de los Moga de tamaño fijo pero igualmente efectivos.

Cursores Lighted Pixel para tu PC

Creados por la mano y de la mente de Moyash os traigo el tema de cursores para nuestro PC que llevan por nombre Lighted Pixel que comparten con los Moga la simpleza y limpieza de trazo pero que tiene la característica de no ser escalables, pero no por ello dejan de tener su nicho de usuarios.

Sus características principales son:

• Base gris oscuro con 14 bordes luminosos diferentes.
• Cursores de tamaño fijo de(32 x 32 px
• Recomendado para portátiles y pantallas sin escalado («No Scaling»).

Y como siempre digo, si os gusta este conjunto de cursores Lighted Pixel podéis «pagarlo» de muchas formas en la página de KDE Store, que estoy seguro que el desarrollador lo agradecer?: puntúale positivamente, hazle un comentario en la página o realiza una donación. Ayudar al desarrollo del Software Libre también se hace simplemente dando las gracias, ayuda mucho más de lo que os podéis imaginar, recordad la campaña I love Free Software Day 2017 de la Free Software Foundation donde se nos recordaba esta forma tan sencilla de colaborar con el gran proyecto del Software Libre y que en el blog dedicamos un artículo.

Más información: KDE Store

Cómo cambiar el tema de los cursores en Plasma

Al igual que con los iconos hay varias formas de cambiar el tema de cursores en Plasma, pero la más fácil es:

• Abrir las Preferencias del Sistema
• Ir a la sección Tema de Cursor
• En esta ventana pinchar en «Obtener nuevos temas»
• Buscar Lighted Pixel.
• Seleccionar el paquete y dar a instalar.
• Seleccionar el tema y aplicar.

Rápido, sencillo y efectivo, como la mayoría de cosas en en el escritorio Plasma de la Comunidad KDE.

La entrada Cursores Lighted Pixel para tu PC se publicó primero en KDE Blog.

Table of Contents

• 0) TL;DR
• 1) Introduction
• 2) Issues with current SELinux policy packaging
• 3) Solution: migration from /var to /etc
  • Packages involved in the migration
• 4) Troubleshooting
• 5) Closing Remarks
• 6) References

0) TL;DR

• The SELinux policy packaging had long-standing issues on systems using BTRFS snapshots: files under /var/lib/selinux were not covered by snapshots and could not be rolled back.
• These files have now been migrated to /etc/selinux, which allows the SELinux policy to be fully covered by snapshots.
• The migration applies to openSUSE Tumbleweed and MicroOS systems using SELinux.
• The migration is transparent to the user and automatic on default setups. If you have a non-standard filesystem setup, or if you observe issues, read the full post below.

1) Introduction

SELinux has been the Mandatory Access Control mechanism on openSUSE distributions such as MicroOS and Leap Micro since 2022, and most recently openSUSE Tumbleweed switched the default MAC to SELinux in February 2025.

The files installed on a system by the SELinux policy package have traditionally been split between /var/lib/selinux, /usr/share/selinux and /etc/selinux on most Linux distributions, including openSUSE. The separation across these directory trees conflicts with the modern Linux concept of atomic/image-based updates, which in openSUSE has been implemented as a snapshot and rollback mechanism based on BTRFS. This mechanism only snapshots the /usr and /etc trees, intended for packages and configuration respectively. Other directory trees are meant for user files or, as in the case of /var, for mutable system state files, and as such are not covered by snapshots.

Installing SELinux policy files under /var violates this requirement, and can result in inconsistency in case of rollbacks: policy files under /etc and /usr would be rolled back, but files under /var would not be touched.

To resolve this issue, we have migrated SELinux policy files under /var to /etc. The migration is automatic and does not require any user interaction in standard setups. This blog post explains the issue in more detail, documents the steps taken to migrate the files, and describes known issues and how to resolve them.

2) Issues with current SELinux policy packaging

Atomic/image-based update systems have become increasingly relevant in recent years. In openSUSE, this concept has been realised as both fully transactional systems (e.g. MicroOS, Leap Micro) and as regular distributions with automatic snapshots and the possibility to rollback broken updates (e.g. Tumbleweed). In both of these cases, the traditional SELinux policy packaging causes some issues.

In case of a rollback of an update containing a change to the SELinux policy, if there is a mismatch between what was rolled back (/usr/share/selinux and /etc/selinux) and what could not (/var/lib/selinux), this could lead to policy build issues, external module installation issues, and could bring the SELinux policy and the whole system into a state which is difficult to recover from automatically.

In practice, these issues are very rare, since they require a particular set of circumstances:

1. installing a policy update which contains backwards-incompatible changes (e.g. adding or removing SELinux types, attributes, modules …)
2. rolling back this update
3. performing some action which requires the SELinux policy items affected by the rollback, such as rebuilding the policy or an affected external policy module (either manually or e.g. via RPM package installation).

As a matter of policy, these kinds of backwards-incompatible policy updates are never performed on distributions such as Leap Micro (except possibly during migration between major distribution versions), thus preventing the issue. On Tumbleweed and MicroOS these updates can happen, albeit rarely, and when combined with the probability of a rollback and the further triggering actions they become exceedingly rare.

Manually reinstalling the SELinux policy package (and any affected external policy modules) is sufficient to fix the issues, but this is still an undesirable characteristic of this legacy packaging structure.

3) Solution: migration from /var to /etc

To permanently address the aforementioned issues, we decided to migrate SELinux policy files under /var/lib/selinux to /etc/selinux. As mentioned, this location was already used for other SELinux policy files, and is covered by the snapshot and rollback mechanism.

The migration was tracked in bsc#1221342. After a long period of automated and manual testing over the past few months, the migration will be performed in an upcoming Tumbleweed snapshot.

Some of the challenges encountered during the implementation of the migration process were:

• different rollback and update behaviour on classical and transactional systems (also transactional-update before version 5 used overlayfs for /etc)
• preserving existing local modifications to the SELinux configuration
• migrating custom modules (installed by packages or manually created by the user)
• packaging changes or rebuilds of some packages to properly reflect location changes, including RPM SELinux macros
• cleanup of /var/lib/selinux once no snapshot is using the old path
• installation on a fresh system, without migrating an existing system
• observability of discrepancies between migrated modules in /etc/selinux and last pre-migration state in /var/lib/selinux

The migration process is automatic and in most situations will not be visible to the user, except for information printed in the zypper output during the update. The process takes care not only of the migration of policy modules provided by the system SELinux policy (e.g. selinux-policy-targeted), but also of custom modules installed by other packages (see below) and local modifications to SELinux configuration (booleans, users, ports, …).

To allow the migration to be fully reverted, the process temporarily preserves the “old” /var/lib/selinux/ directory tree even after the migration. Once no snapshots are found which still refer to /var/lib/selinux, the whole directory tree is safely deleted.

Most of the steps are done during package update, except for the final cleanup step which is performed on the system after the migration has been completed. During package update, the migration process will:

• print information about the migration process and inform the user if the system satisfies the migration requirements (root BTRFS subvolume present) or if a non-standard setup was detected (e.g. /etc on different BTRFS subvolume or no BTRFS at all), and what to do in this case.
• check if the system has already been migrated and skip migration in this case (using marker files in /etc/selinux/selinux_modules_migrated-*)
• backup the old location (/var/lib/selinux) to preserve state (marker files selinux_modules_pending-* and temp_selinux_modules_dir_created)
• install package (modules) into the new location (/etc/selinux)
• copy local changes and custom modules (*.local files, 200, 400 and disabled folders) from the old location to the new location, show diff in case of missing custom modules from /etc/selinux (marker file selinux_modules_migrated-*)
• install cleanup systemd service (cleanoldsepoldir.service) and script(/usr/libexec/selinux/cleanoldsepoldir.sh) to remove the old /var/lib/selinux location once no snapshot is using it

After package update:

• at boot, the cleanoldsepoldir service checks if any snapshot still requires /var/lib/selinux. If not, it removes the directory, and creates marker file var_lib_selinux_deleted to stop the cleanoldsepoldir service from running again.
• the cleanup script also allows the user to check if there are some custom SELinux modules missing in the new location, and has some heuristics to find the RPM packages of non-migrated modules to reinstall them

$ /usr/libexec/selinux/cleanoldsepoldir.sh -h
This script checks if it is safe to remove the old /var/lib/selinux directory.

Usage:
  /usr/libexec/selinux/cleanoldsepoldir.sh (Checks snapshots and deletes /var/lib/selinux if safe)
  /usr/libexec/selinux/cleanoldsepoldir.sh --check-custom-selinux-modules (Checks for unmigrated custom modules)
  /usr/libexec/selinux/cleanoldsepoldir.sh -h|--help (Displays this help message)

Packages involved in the migration

These packages contain the SELinux policy packaging and were the main object of the migration:

• libsemanage-conf (store-root set to /etc/selinux/semanage.conf)
• selinux-policy (service cleanoldsepoldir.service and script cleanoldsepoldir.sh)
• selinux-policy-* (actual migration and marker files in /etc/selinux)

All packages which set SELinux booleans were rebuilt:

• selinux-policy-targeted-gaming
• selinux-policy-sapenablement
• container-selinux
• libvirt

Packages which ship custom SELinux modules were also fixed and rebuilt:

• cockpit-ws-selinux
• drbd-selinux
• google-guest-oslogin-selinux
• swtpm-selinux
• tigervnc-selinux
• tpm2.0-abrmd-selinux

We tried to identify all packages affected by this migration, but if you should find other packages in Tumbleweed which need to be migrated, please report a bug.

4) Troubleshooting

• If you have a non-standard filesystem setup (e.g. using custom BTRFS subvolumes, not using BTRFS at all, …) the migration may not work for you fully. You can find out if the migration was successful by checking for the presence of the directory /etc/selinux/selinux_modules_migrated-* corresponding to your installed policy (e.g. /etc/selinux/selinux_modules_migrated-targeted). If the directory exists, the migration has been successful. If not, please open a bug.
• If you observe any issues resembling those described in Section 2, you can resolve them by reinstalling the selinux-policy* package and any affected external modules:

  $ sudo zypper in -f selinux-policy selinux-policy-targeted
  

• After the migration, only the last state of /var/lib/selinux is preserved, which means that some older snapshots may still be inconsistent with it. If rolling back to one of these older snapshots is necessary, you can fix the issues after rolling back by reinstalling the policy and any affected external modules as detailed above.

5) Closing Remarks

The openSUSE SELinux team is committed to keeping openSUSE users safe with SELinux, and to fixing problems that SELinux may cause to the community. To facilitate changes with SELinux we rely on users to work with us and provide feedback, so that we understand what the current problematic areas are. If you encounter problems with SELinux feel free to open a bug or reach out over the mailing list.

6) References

• Tumbleweed Adopts SELinux as Default
• Policy migration tracker bug
• openSUSE Bugreport SELinux
• openSUSE SELinux Mailing List