This report deals with HTTP basic auth issues in the darkhttpd project. Darkhttpd is a minimal HTTP web server implemented in the C programming language, for serving static files. The version under review was 1.14.

A version 1.15 bugfix release containing a bugfix and an additional warning message is available.

Basic Auth Timing Attack (CVE-2024-23771)

The issue is found in darkhttpd.c line 2272. Here the HTTP basic authentication string supplied by a client is compared against the secret configured via the --auth command line parameter. For this comparison a regular strcmp() function call is used.

Since strcmp() performs an efficient linear comparison, it will terminate earlier if the first bytes of the supplied authentication string don’t match compared to if they do match. This difference in runtime can be used for timing attacks to try and find out the correct authentication credentials to access the web server.

To fix this, a constant-time string comparison function needs to be used that always takes the same amount of computation time for the comparison independently of how many bytes of the provided data match the actual authentication secret. An example for such a function is the CRYPTO_memcmp() function provided by the openSSL library.

Darkhttp does not support SSL encrypted traffic by itself. When darkhttpd is used for unencrypted http:// over the Internet then it could be argued that the authentication data will be sent unencrypted over an untrusted channel anyway. If darkhttpd is used behind a reverse proxy that uses SSL and thus uses a secure channel, then a major security property will be violated by this issue though.

Bugfix

After discussing the available options with him, the upstream author decided to implement a custom constant-time string comparison algorithm to address the issue. This algorithm is a rather simple xor operation over the complete range of bytes.

Local Leak of Authentication Parameter in Process List (CVE-2024-23770)

The only way to configure the HTTP basic auth string in darkhttpd is to pass it via the --auth command line parameter. On Linux all local users can view the parameters of other programs running on the system. This means if there are other users or programs running in different security domains, then these can obtain the authentication credentials for the web server.

To fix this an alternative mechanism needs to be provided to pass the authentication credentials in a safe way. Typically this can be solved by using an environment variable or a protected configuration file. If the existing --auth command line switch is kept around, then the fact that this leaks the authentication credentials on Linux systems should be documented.

Bugfix

The upstream author decided to only document the security implications by adding a warning to the command line usage output.

Review Summary

Apart from these HTTP basic authentication related issues, I have not found any problematic spots in the code base of darkhttpd. I focused on the potential for log file spoofing, escaping the web root via crafted URLs and memory corruption, e.g. through specifying bad byte ranges in HTTP headers. The code is robust in these areas.

Timeline

References

• darkhttpd GitHub Repository
• darkhttpd v1.14 version tag (version that was reviewed)
• darkhttpd v1.15 release (fixed version)

Esta entrada tiene como objetivo promocionar los juegos libres, pero no quiere ser una página que quede obsoleta o sea un cementerio de proyectos muertos, así que la voy a realizar poco a poco y con conocimiento de causa. Por ello, y conciendo mis limitaciones y mi estilo de trabajo, la voy a ir actualizando de forma mensual y su contenido se irá ampliando poco a poco a. De esta forma, bienvenidos a la primera entrada de juegos libres de calidad y en desarrollo de Enero 2024 en la que recopilo los 5 juegos libres presentados en forma de entrada «tocha» en el blog.

Juegos libres de calidad y en desarrollo Enero 2024

Como decía en la entradilla, esta primera entrada de la serie Juegos Libre de Calidad y en Desarrollo, prentende ser una entrada viva y creciente, que tenga una parte fija pero dinámica en la que muestre no solo juegos libres sino también su estado de desarrollo, sus novedades principales y, si es posible, alguna noticia relevante de alguno de ellos: lanzamientos especiales, vídeos, premios, cambios notables, etc.

Para empezar utilizaré una tabla para mostrar la información y los juegos iniciales que aparecen son aquellos que he analizado a fondo en el blog dado que son los que tengo más claro su desarrollo, y cada més añadiré el siguiente que tengo en mente analizar.

La entrada Juegos libres de calidad y en desarrollo Enero 2024 se publicó primero en KDE Blog.

Inspirado en la entrada de los mejores juegos libres que realicé el 25 de diciembre, he decidido que el quinto juego de esta serie sea Xonotic, un juego de disparos en primera persona, también conocido como FPS. Con este juego continuo con la serie de grandes juegos libres que empecé con estrategia por turnos con The Battle for Wesnoth, seguí con uno de velocidad con Speed Dreams, continué con un MMORPG Ryzom y recientemente comenté SuperTux, un juego de plataformas 2D.

Xonotic, FPS libre – Juegos Linux (V)

Como decía en la primera entrada de esta serie, un buen número de jugadores se están uniendo al carro de los sistemas GNU/Linux gracias a la irrupción de la Steam Deck, y aunque eso significa la llegada de juegos privativos es un buen momento para recordar a juegos los nativos y libres que tenemos a nuestra disposición y que constituyen una buena puerta de entrada al mundo de la programación de este tipo de aplicaciones para aquellos que quieran empezar: aprendiendo al mismo tiempo que aportan algo al bien común.

Para la quinta entrada de la serie he decidido hacerlo con el juego estrella del verano del 2021 en mis vacaciones familiares, donde dirimíamos nuestras diferencias con una sano combate a muerte con armas espectaculares. Se trataba de Xonotic, que según sus desarrolladores es:
Xonotic es un adictivo juego de disparos en primera persona de estilo arena con movimientos nítidos y un amplio arsenal de armas. Combina mecánicas intuitivas con acción a raudales para elevar tu ritmo cardíaco. Xonotic siempre será libre de jugar y modificar bajo la licencia copyleft GPLv3+.

Su fácil instalación, o mejor dicho, la no necesidad de instalar este juego hace que sea muy sencillo tenerlo listo en pocos minutos y que sea un imprescindible en cualquier Lan Party que se precie. Os invito a ver uno de sus trailers aunque sea algo viejo (el equipo de desarollo no está mucho por la labor de realizar muchos).

Las características de Xonotic

Como hemos dicho Xonotic es un FPS rápido, limpio y con una clara inspiración espacial. Otras de sus características son:

• Amplio arsenal: 9 armas básicas y 16 armas completas en su arsenal. Cada una de ellas tiene un disparo primario y un disparo secundario tipo UT. Cada una de ellas es útil en situaciones concretas, por lo que la elección del arma es fundamental.
• Múltiples modos de juego: Gracias al apoyo de nuestra variada comunidad, Xonotic cuenta con una gran variedad de modos de juego. Están los modos de juego normales que esperarías de un shooter de arena como Deathmatch (FFA), Capture The Flag, y Clan Arena, además de modos más extravagantes como Nexball y Freeze Tag. También es compatible con la carrera multijugador.
• Gran variedad de mapas, tanto nuevos como clásicos: Xonotic viene listo para jugar con 25 mapas oficiales y docenas de mapas creados por la comunidad. Los mapas clásicos de Nexuiz también son compatibles, ¡incluidos los convertidos de Quake 3! Los interesados en crear sus propios mapas pueden utilizar nuestro editor de mapas, que también se incluye con el juego.
• Estadísticas de jugador integradas: puedes seguir tu progreso con XonStat, la aplicación integrada de estadísticas de jugador. Consulta estadísticas vitales como tu proporción de muertes, el daño y la precisión de tus armas y las partidas recientes. El seguimiento es totalmente opcional y no es necesario iniciar sesión.
• Display personalizable: puedes adaptar la información de tu pantalla a lo que estás acostumbrado con nuestro sencillo editor de HUD. Quédate con los valores predeterminados, añade todos los widgets de última generación o hazte minimalista: ¡tú decides!
• Adaptable a todos los niveles: Xonotic es fácil de aprender pero difícil de dominar. Nos esforzamos por ofrecer acción emocionante para el jugador ocasional, pero también oportunidades de e-sport para aquellos interesados en la competición amistosa. Características como partidas sencillas, configuraciones y servidores totalmente personalizables, un sistema anticheat que funciona, modo espectador y la oportunidad de ver y grabar partidas hacen que Xonotic sea atractivo para los jugadores competitivos.

Os dejo a continuación una breve review de Crow Gameplays que define Xonotic como «Un gran shooter»

¿Cómo conseguir Xonotic?

Las principales versiones de Xonotic están disponibles para Linux, Windows y macOS, y como ya hemos dicho, no requiere instalación alguna, simplemente debes bajarte el ejecutable y listo.
En la mayoría de las distribuciones GNU/Linux está disponible para instarlarse desde los repositorios pero el equipo de desarrollo también ha pensado que no está de más tener versiones en Faltpak y AppImage.

¿Puedo participar en su desarrollo?

Evidentemente la respuesta es que si. Cualquier proyecto libre necesita ayuda para su desarrollo bien sea programando, diseñando, organizando, etc. Además, siempre puede ayudar donando para los temas económicos como mantenimiento de servidores y, porqué no decirlo, para intentar que el juego tenga desarrolladores a tiempo completo.

En la página web tienes acceso a la página de contribuciones donde no solo comentan que necesitan gente para traducciones, modelado y texturizado, documentación, corrección de errores y testeo, sino que te explican que tienen una activa comunidad organizada en los foros y las salas de chat y que si quiere desarrollar código te incvitan a visitar la página de proyecto en GitLab.

La entrada Xonotic, FPS libre – Juegos Linux (V) se publicó primero en KDE Blog.

Tumbleweed es una distribución de GNU/Linux «Rolling Release» o de actualización contínua. Aquí puedes estar al tanto de las últimas novedades.

openSUSE Tumbleweed es la versión «rolling release» o de actualización continua de la distribución de GNU/Linux openSUSE.

Hagamos un repaso a las novedades que han llegado hasta los repositorios esta semana.

Y recuerda que puedes estar al tanto de las nuevas publicaciones de snapshots en esta web:

• https://victorhck.gitlab.io/tumbleweed_snapshots/

El anuncio original lo puedes leer en el blog de Dominique Leuenberger, publicado bajo licencia CC-by-sa, en este este enlace:

• https://dominique.leuenberger.net/blog/2024/01/opensuse-tumbleweed-review-of-the-week-2024-03/

En esta semana se han publicado 6 snapshots (0112, 0114…0118).

Los cambios más relevantes que han traído a los repositorios son:

• Linux kernel 6.6.11
• Pipewire 1.0.1
• Samba 4.19.4
• Mozilla Firefox 121.0.1
• Systemd 254.8
• KDE Frameworks 5.114.0
• ffmpeg 6.1.1
• Bash 5.2.26
• elfutils 0.190
• gnutls 3.8.3
• Wine 9.0

Y próximas actualizaciones traerán entre otros, estas actualizaciones en las que se están trabajando:

• RPM 4.19.1:
• rpm-config-SUSE
• Mesa 23.3.3
• Linux Kernel 6.7
• QEmu 8.2.0
• dbus-broker
• Ruby 3.3
• libxml 2.12.x
• openSSL 3.2.0

Si quieres estar a la última con software actualizado y probado utiliza openSUSE Tumbleweed la opción rolling release de la distribución de GNU/Linux openSUSE.

Mantente actualizado y ya sabes: Have a lot of fun!!

Enlaces de interés

• ¿Por qué deberías utilizar openSUSE Tumbleweed?
• zypper dup en Tumbleweed hace todo el trabajo al actualizar
• ¿Cual es el mejor comando para actualizar Tumbleweed?
• ¿Qué es el test openQA?
• http://download.opensuse.org/tumbleweed/iso/
• https://es.opensuse.org/Portal:Tumbleweed

——————————–

Dear Tumbleweed users and hackers,

As we can see in the number of larger and smaller things going through the staging process, the holiday season is over. To get all the changes out to the users, we have published six snapshots (0112, 0114…0118) this week.

The main changes delivered were:

• Linux kernel 6.6.11
• Pipewire 1.0.1
• Samba 4.19.4
• Mozilla Firefox 121.0.1
• Systemd 254.8
• KDE Frameworks 5.114.0
• ffmpeg 6.1.1
• Bash 5.2.26
• elfutils 0.190
• gnutls 3.8.3
• Wine 9.0

The staging projects currently show the community working on these changes:

• RPM 4.19.1: getting closer to be ready. packagers: please ensure to read/understand Ana’s announcement at https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/HG2JKUIKDTWQQIQSA43A4VWHX7YKJQT3/
• rpm-config-SUSE: enable full ksym() dependencies in Tumbleweed
• Mesa 23.3.3
• Linux Kernel 6.7
• QEmu 8.2.0
• dbus-broker: a big step forward; upgrades seem to be an issue that need to be addressed
• Ruby 3.3: all buld fails have been fixed/have a fix submitted. QA should happen next week.
• libxml 2.12.x: slow progress
• openSSL 3.2.0
• c-ares 1.21.0: nodejs build fails have been resolved, but a new cycle has formed: appstream-glib, c-ares, curl, googletest, nghttp2, python311

WebAssembly (abbreviated Wasm) is a portable binary instruction format. It has gained popularity for its portability as a compilation target that enables deployment on the web for both client and server applications.

We can leverage the portability of Wasm to run Wasm workloads alongside Linux containers by combining crun and Podman. crun supports running Wasm workload by using WasmEdge, Wasmtime, or Wasmer runtimes. While Podman defaults to runc, runc, and crun can be used interchangeably.

WasmEdge is a lightweight, high-performance, and extensible WebAssembly runtime for cloud-native and edge applications. WasmEdge was recently added to openSUSE Tumbleweed and this can give us support for Wasm workloads on containers if we enable an experimental feature in crun.

Now that we have WasmEdge in openSUSE Tumbleweed and crun experimental support for Wasm workloads we can run WebAssembly workloads on Podman. This new feature was introduced into Podman in Tumbleweed and also a new package. The blog post shows how to use it.

Preparing our environment

We first need to install crun as runc in the default OCI runtime for Podman.

zypper in crun

Once crun is installed check if you have Wasm support.

$ crun -v
crun version 1.9
commit: a538ac4ea1ff319bcfe2bf81cb5c6f687e2dc9d3
rundir: /run/user/1000/crun
spec: 1.0.0
+SYSTEMD +SELINUX +APPARMOR +CAP +SECCOMP +EBPF +CRIU +LIBKRUN +WASM:wasmedge +YAJL

In the above output, we can see that crun supports WasmEdge (+WASM:wasmedge).

Preparing our application

We are going to create a simple “Hello” application in Rust.

First, ensure you have Rust and WasmEdge installed.

zypper in rust wasmedge

Now let’s create our “Hello” application in Rust.

$ cargo new hello --bin
$ cd hello

Change the message in src/main.rs to Hello WebAssembly! or any other message you want.

Now let’s compile our application, but the target machine will be Wasm.

$ cargo build --target wasm32-wasi

We can now execute the binary we just compiled and check that it works as expected.

$ wasmedge run target/wasm32-wasi/debug/hello.wasm
Hello WebAssembly!

You have successfully built your Wasm application.

Creating a Wasm container

With our Wasm binary in hand, let’s add it to a container.

Create a file named Containerfile and add the following to it:

FROM scratch
COPY target/wasm32-wasi/debug/hello.wasm /
CMD ["/hello.wasm"]

Let’s build our Wasm container with Buildah.

$ buildah build --platform=wasi/wasm -t hello-wasm .

You should have a Wasm container by now.

Running a Wasm workload

Let’s run our Wasm container with Podman.

$ podman run --rm hello-wasm
Hello WebAssembly!

Great, we have a working Wasm container.

Conclusion

WebAssembly is a fairly recent topic, but it has gained a lot of attention because you can reuse most of what you already know or use and easily port applications.

Running a native Wasm container is another example of how portable this format is.

Results from a use case survey gave some insightful information about how people perceive openSUSE Slowroll.

Some view it as a replacement for openSUSE Leap, but recent news about a clear course set for Leap should help to explain that Slowroll has a different path.

Slowroll is an experimental distribution introduced in 2023. It was designed as a variant of openSUSE Tumbleweed when the future of openSUSE Leap was not yet clear.

The main characteristic of this distribution is a slower rolling release compared to Tumbleweed.

Some users might find value in this balance between rapid updates of Tumbleweed and a traditional stable release like openSUSE Leap. After all, the purpose and principles of open-source software is to promote software freedom, enable users to freely study, modify, and distribute software for any purpose; Slowroll is doing all of the above.

Slowroll integrates big updates every one month or so along with continuous bug fixes and security updates as they are available.

The idea behind Slowroll is to offer a distribution that improves stability without losing access to new features in the base packages such as the kernel, desktop environments and packaging. These slower update cycles allow for more extensive testing and validation of packages before their inclusion. Think of Slowroll as more of a skip than a Leap.

Regarding Slowrolls relationship with openSUSE Leap, it’s important to note that Slowroll is not a replacement for Leap. Rather, it provides an alternative for users seeking more up-to-date software at a slower pace than Tumbleweed, but much faster than Leap. This is particularly relevant in the context of the future branch of the SUSE Linux Enterprise distribution transitioning to ALP (Adaptive Linux Platform). The development of Slowroll originated from discussions among openSUSE developers about the future of the openSUSE Leap distribution, but has no other relation to the Leap release.

Slowroll is still rather new and is based on openSUSE Tumbleweed packages.

While Slowroll is a significant addition to the openSUSE family, it caters to users choosing a slightly slower up-to-date software system. The name Slowroll was chosen to reflect its slower update cycle and has been retained after a community voting process​.

Primer mes del año y otro mes que sigo la iniciativa #viernesdeescritorio con una nueva captura, con la que llegaré a más de dos años seguidos compartiendo «Mi escritorio» de forma mensual, una mirada a la intimidad de mi entorno de trabajo. De esta forma, bienvenidos a mi escritorio Plasma de enero 2024, el primero de un año que promete ser intenso en lo que se refiere a novedades kdeeras.

Mi escritorio Plasma de enero 2024 #viernesdeescritorio

Esta va a ser la cuadragésimocuarta (44 para los que nos cuesta leer esto) vez que muestro mi escritorio Plasma 5 en público, lo cual es número nada desdeñable de entradas que sigue creciendo de forma constante. Hice un recopilatorio con los 12 escritorios del 2022 y este diciembre he hecho una con los 13 del 2023. Por fin he encontrado el momento perfecto para hacer este tipo de entras.

Y sigo, tras unas entradas enseñando mi Slimbook Kymera AMD de sobremesa, realizando a captura está realizada sobre mi portátil Slimbook Pro de 13 pulgadas, el cual tiene instalado un KDE Neon con Plasma 5.27.10, sobre una versión de KDE Frameworks 5.113 y una versión de Qt 5.15.11. El servidor gráfico es Wayland y el Kernel es 6.2.0-39-generic (64 bits).

Respecto al tema general, sigo con el tema oscuro de Zayronxyo llamado Heimdall, con estilo de Plasma Frosted, colores y decoración de ventanas Deepin Dark e iconos Deepin 2022 Dark.

Respecto a plasmoides he puesto solo uno pero que me ofrece mucha información: Simple System Monitor. Si quieres más información te remito a la entrada de 29 de noviembre de 2019 donde ya hablé de él aunque en la captura ya se puede ver que ofrece mucha información del sistema.

Respecto al fondo, he de confesar que me he vuelto «adicto» a los fondos Neon y que me ha enamorado este de lynn23 que nos ofrece un entorno futurista, con colores saturados para que pueda resaltar la información del fondo.

El resultado de mi escritorio Plasma de enero de 2024 es un entorno de trabajo oscuro y, como siempre, funcional que podéis ver en la imagen inferior (pinchad sobre ella para verlo un poco más grande).

La entrada Mi escritorio Plasma de enero 2024 #viernesdeescritorio se publicó primero en KDE Blog.

This is report about a local denial of service vulnerability in the pam_namespace.so PAM module. This module is part of the core PAM modules that are found in the linux-pam project.

This report was previously shared with the linux-distros mailing list and is now published after linux-pam upstream released a new version 1.6.0 containing the bugfix on 2024-01-17.

Introduction

The pam_namespace module allows to setup “polyinstantiated directories” when setting up a user’s session during login. The typical example is setting up a private /tmp and/or /var/tmp for every user.

To achieve this a separate mount namespace is setup during login and a bind mount is performed in configured locations. Different methods are offered for this like a fixed per-user directory that is bind mounted (i.e. per-user contents are persistent and shared between sessions) or an ephemeral temporary directory (contents are lost after a session is closed).

The Vulnerability

The PAM module explicitly supports bind mounting of polyinstantiated directories in user controlled locations, like beneath the user’s home directory. Operating with root privileges in user controlled directories comes with a lot of dangers. To avoid them the function protect_dir() implements a special algorithm to protect the target path of a bind mount.

The function follows the target path for the bind mount starting from the file system root. Each path component that is under non-root control is protected from user manipulation, by bind mounting the path upon itself.

While this approach feels unusual, it should be effective to prevent any shenanigans on the side of the unprivileged user for whom the directory is mounted.

There is one bit missing though: The algorithm is not passing the O_DIRECTORY flag to openat() and is thus subject to special files like FIFOs being placed in user controlled directories. This can easily be reproduced e.g. using this configuration entry in the namespace.conf configuration file:

$HOME/tmp /var/tmp/tmp-inst/ user:create root

An unprivileged user (that is not yet in a corresponding mount namespace with ~/tmp mounted as a polyinstantiated dir) can now place a FIFO there:

nobody$ mkfifo $HOME/tmp

A subsequent attempt to login as this user with pam_namespace configured will cause the openat() in protect_dir() to block, causing a local denial of service.

The Bugfix

The bugfix I suggested fixes the issue by passing the O_DIRECTORY open flag to cause the open to fail if the path does not refer to a directory. With this some existing explicit checks of the file type can be dropped now.

Even with this patch applied the unprivileged user can still prevent the polyinstantiated directory from being mounted by placing a FIFO in the mount location. I don’t believe that pam_namespace gives (or should give) any guarantees in this regard, so I don’t consider it a problem.

Timeline

References

• linux-pam GitHub repository
• linux-pam v1.6.0 release containing the bugfix
• bugfix for the pam_namespace issue

Cada cierto tiempo me gusta hablar de Slimbook, la marca de dispositivos 100% compatibles con GNU/Linux por varias razones, entre las que destacan que soy usuario habitual de la marca y que tengo la convicción de que debemos promocionar las empresas que confían en el Sotware Libre. En la recta final del año pasado ya les dediqué tres artículos pero es que debería dedicarles más porque no paran. Es por ello que me complace compartir con vosotros que han sido lanzados los nuevos Executive de Slimbook, dentro de su serie de ultrabooks de alta gama ¿Tienes curiosidad? Sigue leyendo.

Nuevos Executive de Slimbook

Aunque en el mundo de las ordenadores de sobremesa o de escritorio la posibilidad de disfrutar de un sistema operativo libre es algo relativamente sencillo. De hecho, su conquista apenas tiene el problema del arranque y las tarjetas gráficas, el resto se soluciona rápido y bien (aunque las impresoras pueden ser un dolor de muelas).

No obstante siempre es de agradecer que algunas compañías como Slimbook se preocupen no solo de ofrecerte una alternativa que asegura su compatibilidad absoluta con los sistemas del GNU y el pingüino sino que te los afinen como solo los profesionales saben hacer (y si no me creéis os remito a este artículo donde un producto puesto a punto por los chicos y chicas de Slimbook barría en las pruebas de rendimiento a ordenadores en principio más potentes).

De esta forma me congratula compartir con todos vosotros que recientemente han presentado los nuevos ultrabooks Executive, una revisión de este modelo de alta gama que viene con su sello de calidad tradicional y con mejoras como:

• Memorias RAM DDR5 a 5200Mhz, en lugar de DDR4 3200Mhz.
• Procesador Intel® Core™ i7-13700H hasta 5,00 GHz, con 14 cores, 6 performance y 8 eficientes, que suman 20 hilos y caché de 24MB.
• Gráficos Intel® Iris® Xe G7 o NVIDIA® GeForce RTX™ 4060 de 8GB y TGP hasta 95W (siendo un 22% más potente que la anterior RTX 3060 de 4GB).
• Posibilidad de elegir color gris color o negro intenso.

Por cierto, y como suelo comentar en estos casos, esto tampoco es una entrada patrocinada. Mi relación con Slimbook es de cliente habitual, amistad e intereses mutuos (el dominio del mundo por parte de la filosofía GNU/Linux).

Más información: Slimbook

La entrada Nuevos Executive de Slimbook se publicó primero en KDE Blog.