Table of Contents

• 1) Introduction
• 2) GDM: Polkit Privileges to Modify system-wide Network Settings
• 3) Flatpak: Parental Controls Polkit Action
• 4) ModemManager: CellBroadcast Polkit Action
• 5) cyrus-imapd: Privilege Escalation Attack Vectors from cyrus to root
• 6) systemd-coredump: Change to sysctl Configuration File
• 7) Conclusion

1) Introduction

While most of the SUSE security team members are already enjoying summer time, we want to take a look at the notable things that happened in our team during spring 2025. A couple of major tasks and disclosure processes that we already covered in dedicated posts kept us busy during that time:

• Removal of the Deepin desktop from openSUSE
• Multiple security issues in GNU Screen
• Local privilege escalation in the Kea DHCP server
• Making Gaming work on openSUSE with SELinux enabled
• Remote Denial-of-Service vulnerabilities in sslh

As usual in the spotlight series, we want to give an insight into some of our work beyond these publications: reviews that did not lead to significant security findings, but still kept us busy and in some cases also led to upstream improvements.

This time we will discuss newly added Polkit features in GDM, Flatpak and ModemManager; symlink attack surface in cyrus-imapd and sysctl configuration changes for systemd-coredump.

2) GDM: Polkit Privileges to Modify system-wide Network Settings

Our Gnome Display Manager (GDM) packagers asked us to accept an additional Polkit rule file, which appeared in GDM 48.0. The newly added logic allows the gdm service user to fully control system-wide network settings via the Network Manager D-Bus interface.

The reason for this is a feature in the display manager, which allows to modify network settings from the login screen. We are not completely happy with this change, since it is a rather powerful privilege for a rather exotic use case. The gdm service user is rather powerful anyway, however, and at least it is a well defined privilege that is granted here. Thus we accepted the change.

3) Flatpak: Parental Controls Polkit Action

In version 1.16.1 of Flatpak a new override-parental-controls-update Polkit action appeared. As the action’s name suggests, this is about implementing parental controls on a Linux desktop. The implementation of this feature in Flatpak is a bit peculiar. For example, a Flatpak application with parental control restrictions will first be downloaded and installed, just to be removed again, should parental control policy deny the installation. Also the parental control restrictions are ignored in case the application is already installed and an update is available (this is what the newly added action is about). The reason for this is that Flatpak developers deem it more important to apply security fixes than enforcing parental controls.

While we found no issues with the logic behind this particular Polkit action, we stumbled over an issue in Polkit authentication of both this and an older, related Polkit action override-parental-controls (without the -update suffix). These two Polkit actions are authenticated in an unsafe way based on the Polkit UNIX process subject, in contrast to all the other Polkit actions in Flatpak, which are authenticated based on the D-Bus sender subject. Since this does not affect system security as such, but only application-level policy, we decided to report this issue in the open. We did not get a reaction from upstream about this for a while now, however.

4) ModemManager: CellBroadcast Polkit Action

In ModemManager version 1.24.0 a new org.freedesktop.ModemManager1.CellBroadcast Polkit action appeared. Piecing together the purpose of this action was not all that simple, because documentation and code did not fully add up. We determined the following properties of the cell broadcast API:

• cell broadcast messages are a feature of today’s cellular networks to broadcast emergency messages.
• the ModemManager D-Bus API allows unauthenticated read access to any such messages. This is okay, since these messages are not considered sensitive data.
• the CellBroadcast Polkit action is actually used to protect the deletion of such messages. Only physically present users are allowed to delete them. This is also fine from our point of view.

After we verified the correctness of the use of the new Polkit action, we whitelisted it, so that our packagers could continue submitting their update to openSUSE Tumbleweed.

ModemManager in general has a very complex and continually growing API that makes it difficult to keep track even of incremental changes. That is precisely the reason why we deemed it important to have a deeper look to avoid any unpleasant surprises, especially since ModemManager is running by default in many Linux distributions.

5) cyrus-imapd: Privilege Escalation Attack Vectors from cyrus to root

By way of our regular monitoring of newly packaged systemd unit files, we stumbled over the cyrus-imapd package, which offers an IMAP mail server daemon. We found the package to have three distinct local privilege escalation attack vectors from the cyrus service user to root, which allow to bypass the intended user isolation.

One of the attack vectors is found in a SUSE-specific daily-backup.sh script, which operates as root in the /var/lib/imap state directory (bsc#1241536), owned by cyrus. The script performs chown and chmod operations in there, which would allow a compromised cyrus user to stage symlinks attacks, leading to a local root exploit. We assigned CVE-2025-23394 for this issue and fixed the issue by running this script only with cyrus:mail credentials, instead of root.

The two other attack vectors are found in upstream code, thus we approached upstream and discussed bugfixes and the coordinated release procedure with them. Since the issues only affect defense-in-depth, and are not directly exploitable, we left it up to upstream to decide whether to assign CVEs or not. Upstream considered the issues to be of lower severity and thus no CVEs have been assigned. No formal embargo has been established. The attack vectors are described in the next two paragraphs.

When relying on cyrus-imapd’s built-in privilege drop logic (instead of starting it with lowered privileges right away, e.g. via systemd configuration settings), then the daemon drops privileges only after unsafely operating in /run/cyrus-imapd and
/var/lib/imapd/cores (bsc#1241543). These unsafe file operations allow a compromised cyrus user to create empty world-readable files in arbitrary locations, to truncate arbitrary files, or to enter arbitrary directories that would otherwise not be accessible. Upstream commit 3a0db22f7 ensures that the cores directory is only used after dropping privileges. Furthermore commit 9634fc8311c adds the O_NOFOLLOW flag when creating PID files, to prevent symlink attacks.

While reviewing these upstream bugfixes, we found yet another symlink attack issue, due to a chmod(s->listen, 0777) performed as root, which grants world access to
/run/cyrus-imapd/socket, a path which is again under control of the cyrus service user. When the socket is replaced by a symbolic link, then this can be used for a full local root exploit. This chmod() was only in existence for legacy UNIX systems and upstream thus removed the call in commit 81f342bb902.

6) systemd-coredump: Change to sysctl Configuration File

Our team is also restricting the packaging of sysctl drop-in configuration files e.g. in
/etc/sysctl.d. sysctl configuration settings can have security impact, and their global nature can cause conflicts between packages that have different ideas about what some settings should look like.

We received a change request for the content of the 50-coredump.conf configuration file, which is installed by systemd-coredump. As part of the fix for CVE-2025-4598, the way the coredump handler is installed in the kernel needed to be adjusted.

The change to the file was minimal and well understood, thus we quickly whitelisted the change, to let the bugfixing process proceed.

7) Conclusion

As can be seen from this edition of the SUSE security team spotlight, even smaller and routine review work can lead to interesting insights into upstream projects and possible vulnerabilities. We believe the consistent monitoring of packages and interaction with packagers and upstream projects results in an overall improvement of distribution security, and provides a net profit for the open source community at large.

En respuesta a una pregunta de un periodista, Javier Hernández Bravo, director de RNE, dice que se revisará el bloqueo de RNE a la aplicación de podcasts AntennaPod

Nuevo capítulo en la cruzada del bloqueo de Radio Nacional de España al acceso de sus podcasts por parte de algunas aplicaciones, entre ellas AntennaPod, la aplicación de software libre para gestionar tus podcasts en Android disponible en F-droid.

En este caso, quiero traducir un artículo escrito por James Cridland para la web podnews.net donde se hace eco de esta crisis en la que el ente público bloquea algunas aplicaciones de podcasts de acceso libre a su contenido.

Dar las gracias a James Cridland por darme permiso expreso para traducir su artículo que tenéis en inglés en este enlace:

• https://podnews.net/article/rne-blocks-open-rss

La emisora pública española RTVE está bloqueando los podcasts de su emisora de radio nacional, RNE, de algunas aplicaciones de podcasts de terceros. Pero inusualmente, la compañía todavía publica fuentes RSS abiertas para todos sus programas, por lo que los programas aparecen en todas las aplicaciones de podcast que los usan.

La emisora ha optado por bloquear deliberadamente aplicaciones de podcast específicas para que no descarguen el audio. Una de esas aplicaciones de podcast que RNE está bloqueando es AntennaPod, una aplicación de podcast gratuita en Android.

Es una de las aplicaciones más populares en Android, y en España, el 78,8% de los usuarios españoles de teléfonos móviles usan teléfonos móviles Android.

Los usuarios han descubierto que RNE está bloqueando específicamente AntennaPod, según el agente de usuario de la aplicación, que está configurado correctamente para cada descarga. No está claro por qué: la aplicación no contiene publicidad y es de código abierto. Se puede descargar gratis y actúa de acuerdo con el contrato no escrito entre los editores de podcasts y las aplicaciones.

«Revisaremos el caso de AntennaPod», dijo J. Javier Hernández Bravo de RTVE, en un correo electrónico a Podnews, después de que le pidiéramos comentarios. Nos dijo: «RNE Audio continúa publicando fuentes RSS abiertas y, al mismo tiempo, ha decidido bloquear algunas aplicaciones de podcast de terceros para que no descarguen audio. Muchas de esas plataformas estaban ganando dinero con nuestro contenido».

No hay plataformas de podcast que Podnews conozca que cobren por el acceso a fuentes RSS abiertas. (Siempre estamos agradecidos de saber de alguno). Algunas aplicaciones de podcast contienen publicidad gráfica, pero este no es el caso de AntennaPod.

Bloquear no es el camino a seguir

RNE continúa publicando fuentes RSS abiertas, por lo que los programas de la emisora aparecen en aplicaciones de podcast, pero el audio no está disponible. Esto significa que los programas de RNE aparecen sin ningún problema, pero no se reproducen en algunos de ellos, lo que hace que el público piense que la aplicación, en lugar del editor, tiene la culpa. Como ejemplo, un hilo largo en el foro de soporte de AntennaPod, que está atendido por voluntarios, tratando de depurar el problema.

Apple Podcasts, de donde la mayoría de las aplicaciones obtienen su directorio de podcasts, distribuye direcciones de fuentes RSS abiertas a aplicaciones de podcasts de terceros. Apple ofrece a los editores la opción de optar por no participar en esta distribución: pero RNE no ha utilizado esta función, prefiriendo ofrecer a los oyentes españoles una experiencia rota en otros reproductores.

RNE dice: «Mantenemos acuerdos con las principales plataformas de audio y video como Spotify, YouTube y Apple Podcasts. Creemos que los usuarios afectados son una minoría».

RNE acababa de decirnos que algunas empresas estaban «ganando dinero» con el contenido de RNE, pero luego da tres ejemplos de las que lo hacen.

• Spotify gana dinero con el contenido de podcasts comercializando agresivamente actualizaciones premium de su aplicación de música y, en algunos casos, reproduciendo publicidad de audio antes y después del audio del episodio.
• YouTube pone la publicidad frente al contenido del podcast y comercializa una versión premium.
• Apple Podcasts gana dinero con el contenido de podcasts al estar disponible exclusivamente como una aplicación en iPhones y Macs, que solo Apple vende.

AntennaPod no hace ninguna de estas cosas: entonces, ¿por qué está bloqueado?

Y no bloqueando en absoluto

RNE le dice a Podnews: «Para escuchar nuestro contenido, no es necesario descargar la aplicación RNE Audio; es posible hacerlo directamente desde la URL https://www.rtve.es/play/radio/. También puede encontrar contenido escribiendo directamente su nombre en la barra de búsqueda de su navegador».

De hecho, puede escuchar a través de reproductores web, ya que el agente de usuario proporcionado por un sitio web es el agente de usuario del navegador, no la aplicación. Así, RNE pierde el control total de su contenido en la web, donde la publicidad es fácil de añadir a las páginas, pero es capaz de bloquear las aplicaciones de podcast porque dan información responsable sobre qué aplicación las está descargando.

RNE es una emisora de servicio público. El propietario de RNE, RTVE, recibe dinero de los contribuyentes españoles a través del gobierno español y un impuesto a los operadores de televisión de pago en el país. Sin embargo, esto significa que las mismas personas que pagan por el contenido de RTVE no pueden escuchar en el reproductor de podcasts de su elección.

RNE ha respondido a podnews.net: «Creemos que nuestro compromiso con el servicio público se fortalece al cumplir con la responsabilidad de saber dónde está nuestro contenido y qué se está haciendo con él», lo que no explica por qué están publicando fuentes RSS abiertas, disponibles en cualquier lugar, y solo bloquean específicamente algunas aplicaciones de podcast como AntennaPod.

Y, por supuesto, las estadísticas de descarga están disponibles directamente en los servidores de RNE, dondequiera que haya un podcast disponible.

Tampoco es por derechos

Por último, RNE nos dice, de forma opaca, que «existen limitaciones de derechos de emisión y distribución». El feed RSS abierto es el método de distribución, que no han restringido.

Los archivos de audio de RNE, ya sea que escuche a través de Apple o a través de AntennaPod, son los mismos y se descargan directamente desde los servidores de RNE. Conservan la propiedad total. No entendemos el argumento.

¿Por qué las emisoras de servicio público están tan en contra de que el público escuche?

Con el tremendo éxito del podcasting en todo el mundo (773 millones de horas de podcasts consumidas cada semana solo en los EE. UU.), está claro que el podcasting está teniendo un momento.

Hasta ahora, sin embargo, las emisoras públicas parecen estar luchando contra el podcasting. Hemos visto a la BBC bloquear aplicaciones por motivos espurios; Radio-Canada envía demandas legales engañosas a los podcasters, y Danish Radio elimina programas de RSS abiertos en favor de su propia aplicación.

Los resultados son claros: los usuarios no instalan estas aplicaciones, prefiriendo usar las aplicaciones que ya tienen en su teléfono. Los usuarios de aplicaciones de servicio público apenas están creciendo y envejeciendo. En un momento en que la radiodifusión de servicio público está bajo una renovada presión para obtener financiación, los organismos de radiodifusión están haciendo una elección no forzada a favor de la irrelevancia.

La elección de RNE de publicar a sabiendas fuentes RSS abiertas que no funcionan en algunas aplicaciones, sin consultar con esos desarrolladores de aplicaciones, es uno de los ejemplos más atroces.

En 2023, la emisora recibió 1.070 millones de euros (1.240 millones de dólares) según un informe anual publicado por la empresa. Esa financiación se realiza en virtud de la Ley 17/2006, que obliga a RTVE a «lograr la cobertura universal». Bloquear las aplicaciones de podcast disponibles gratuitamente parecería ir en contra de este requisito. Si RTVE no quiere ser una emisora pública, es bienvenido a devolver ese dinero.

Hasta aquí la traducción del artículo escrito por James Cridland para la web podnews.net, que me ha permitido traducir y publicar en mi pequeño blog, muchas gracias por eso.

En el artículo se ve que los argumentos defendidos por RNE y su «defensora del oyente» que me dió son bastante débiles y no justifican una medida como la que han implementado.

Bloquear algunas aplicaciones de podcasts frente a otras no tiene nada que ver con derechos de autor, ni con conocer los datos reales de las estadísticas de descargar, los argumentos que expuso la defensora del oyente.

Bloquear ciertas aplicaciones frente a otras es un acto sin ninguna base. Y más justificando que se puede hacer desde su web o aplicaciones propias. Le ha faltado decir «Total, sois cuatro gatos los que usáis aplicaciones como esas, por qué no bloquearos».

Espero que RNE reconsidere esta medida desigual y arbitraria basada en argumentos nada sólidos.

Y espero que os haya gustado este artículo en el que el autor ha tenido comunicación con el director de RNE y ha conseguido que de declaraciones oficiales, más allá de la respuesta copia/pega de la «defensora del oyente».

Me complace compartir el vídeo de I Journal “Safe and free” 2025, un nuevo evento en línea que se realizó el pasado sábado para seguir difundiendo y divulgando el Software Libre para todo el mundo. Una jornada con 4 ponentes hablando de 4 temas, tanto para usuarios noveles como a avanzados.

Vídeo de I Journal “Safe and free” 2025

De esta forma, la Comunidad OpenShield organizó 8 presentaciones con las que iniciarse, aprender, profundizar y, en general, conocer un poco más el abanico de posibilidades que te ofrece el mundo del Conocimiento Libre al módico precio de un poco de tu tiempo (que no es poco).

El objetivo de este evento era mostrar, enseñar y demostrando las bondades de Linux, GNU/Linux, objetivo que se repitió este mes de julio en forma de única jornada, llamada I Journal «Safe and free» 2025, la cual constava de 4 ponencias de acuerdo al siguiente detalle:

• Baltasar Ortega: Novedades en Plasma 6.4, mejorando el escritorio de la comunidad KDE
• Klaibson Ribeiro: Mi IA, Mis Reglas, Como Onlyoffice trabaja con IA
• José Flores: Deshabilitar cifrados débiles SSH en GNU/Linux
• Angelo Ramirez: Seguridad en thunderbird

Las charlas fueron de 25 minutos cada una, con 10 minutos de diferencia entra una y otra, y he aquí el resultado.

La entrada Vídeo de I Journal “Safe and free” 2025 se publicó primero en KDE Blog.

Install Linux Before It’s Too Late

The openSUSE Project is part of a growing coalition of open-source advocates urging Microsoft users to install a Linux operating system as Microsoft prepares to end support for Windows 10 this October, and urgency to get that message out is building.

Some in the IT industry are suggesting that as many as 50 percent of the devices remain using Windows 10, which comes at great risk to users and businesses.

Those who remain on Windows 10 and don’t upgrade to an operating system providing security and maintenance updates like a Linux OS or Windows 11 will be susceptible to vulnerabilities, malware infections, software incompatibilities, and an increasing amount of system instability and failures over time.

The End of 10 campaign and its initiative aims to promote migration-focused type events to help these users shift from Windows 10 to Linux-based operating systems.

The amount of PCs that will become unprotected on October 14 is unprecedented, and getting people to migrate to Linux operating systems like openSUSE’s is reaching a critical juncture as millions face the looming deadline this Fall.

October 14 is just 12 weeks away and the end-of-support deadline for Windows 10 will expose those who have not migrated to increasing cyber threats.

In additions to the the threats, a big part of the End of 10 movement emphasizes environmental responsibility, digital sustainability and long-term cost savings for those with aging computers that could potentially end up recycled or in landfill.

End of 10 advocates and supporting organizations like NextCloud, REPAIR CAFE, KDE, GNOME, FSFE, EU OS and several other organizations would prefer users find a Linux solution for their older hardware rather than have this event create an environmental disaster. Installing Linux on these old systems can breathe new life into perfectly functional machines that may otherwise be discarded.

Several open-source software projects and organizations and been collaborating for more than a year to create unified resources, tutorials, migration tools and support channels to help lower the barrier to entry for those who seek to install a Linux new operating system.

Members of the openSUSE community and others have been vocal about appealing to Windows 10 users that can’t upgrade their devices to Windows 11.

For those ready to act, the campaign website has resources available and links to community events to help people install Linux.

Anyone who wants to install an openSUSE distribution can follow this A Step-by-Step Guide.

The message to Windows 10 users is clear; don’t replace your computer; reimagine it!

This is part of a series on End of 10 articles where we offer reasons to transition from Windows to Linux.

Ha aparecido la noticia en diversas redes sociales y se puede descargar el pliego de condiciones desde la página web de Akademy., así que ya es público: la reunión internacional de desarrolladores y simpatizantes de KDE, Akademy 2026 busca sede y creo que si tienes un buen equipo de trabajo y ganas de reunir a lo mejor de la Comunidad KDE y del Software Libre en general esta es tu oportunidad.

Akademy 2026 busca sede ¡anímate y presenta una candidatura!

Ayer, martes 22 de julio apareció en la misma página web del evento que Akademy 2025 busca sede europea para celebrar su evento anual. Los requisitos se pueden encontrar en el siguiente dossier.

En palabras del equipo Akademy:

Una de las mayores cosas que puedes hacer por KDE (que no implique codificar) es ayudarnos a organizar Akademy.

En 2026, estamos organizando una edición especial de Akademy para celebrar el 30 cumpleaños de KDE. Queremos que esta ocasión sea memorable celebrando este importante hito con Akademy. La edición de cumpleaños de Akademy no sólo reunirá a colaboradores, usuarios y socios, sino que también reflexionará sobre tres décadas de comunidad, colaboración, innovación y Software Libre.

Ahora tenéis la oportunidad de convertiros en campeones de KDE y ayudar a hacer realidad Akademy 2026. Estamos buscando anfitriones para Akademy 2026 durante los meses de junio, julio, agosto, septiembre u octubre. Descarga la guía Call for Hosts y envía una propuesta para acoger Akademy en tu ciudad a akademy-proposals@kde.org antes del 1 de octubre de 2025.

No dudes en hacernos llegar tus preguntas e inquietudes. Estamos aquí para ayudarte a organizar un evento de éxito, y puedes ponerte en contacto con nosotros en cualquier momento para pedir consejo, orientación o cualquier tipo de ayuda que necesites. Le apoyaremos y le ayudaremos a hacer de Akademy 2026 un acontecimiento para recordar.

A modo de resumen:

• El evento se celebrará en verano del hemisferio norte
• Se necesita un recinto para unas 200 personas con salas auxiliares para las conferencias en paralelo (para unas 150 personas)
• Las salas deben estar dotadas con proyectores, micrófonos, multitud de tomas de corriente y wifi o conexión de red (esto es deseable aunque no imprescindible).
• La sede debe contar buena comunicación con un aeropuerto, con un buen servicio de transporte público, alojamiento económico (tipo albergues o hostels) y comida también económica (aunque no necesariamente rápida).
• Además, para las sesiones de hacking se necesitan varias salas (de 6 a 10) para pequeños grupos de trabajo y una mayor para reuniones (para unas 300 personas)

Parece mucho, pero en realidad cualquier universidad que se precie debería poder ofrecer todas estas condiciones.

Más información: KDE

¿Qué es Akademy?

Para los que no lo sepan, Akademy es el evento de la Comunidad KDE que aúna en una gran conferencia todo tipo de simpatizantes de KDE como desarrolladores, diseñadores, usuarios, traductores, promotores. Allí se reunirán a lo largo de una semana para compartir charlas, cenas, ponencias, talleres y, en definitiva, para trabajar juntos.
Es una gran semana que sirve para unir más fuerte los lazos que unen nuestra Comunidad, así como para crear nuevos

La entrada Akademy 2026 busca sede ¡anímate y presenta una candidatura! se publicó primero en KDE Blog.

El pasado 17 de junio fue lanzado Plasma 6.4, que en palabras de sus desarrolladores, nos ofrece un escritorio más fluido, amigable y útil. Lo anuncié conveniente en el blog pero solo fue un anticipo de lo que nos ofrecía. Es el momento de profundizar en sus novedades como las mejoras en la gestión de color en Plasma 6.4, una forma de optimizar la visualización de nuestras cada día mejores pantallas.

Mejoras en la gestión de color en Plasma 6.4

El escritorio Plasma de la Comunidad KDE sigue esforzándose por ofrecer lo mejor de lo mejor a todos los usuarios y, aunque su idea es que su sistema funcione lo mejor posible con equipos de gama baja, no olvida a los usuarios más exigentes en cuanto al control y precisión de sus pantallas.

De esta forma, Plasma 6.4 ofrece las siguientes mejoras para gestionar el color:

• Para quienes busquen el modo de ajustar los colores para jugar o ver películas, la página Pantalla y monitor de las Preferencias del sistema contiene un nuevo asistente de calibración HDR en Plasma 6.4.
• Plasma 6.4 también es compatible con «rango dinámico extendido» (un tipo diferente de HDR) en las pantallas que lo admiten y proporciona una herramienta para limitar la profundidad del color (de nuevo, en las pantallas que permiten esta función).
• Finalmente, Plasma es compatible con el formato de color de vídeo P010, que mejora la eficiencia energética con contenidos de vídeo HDR.

Comentar que el botón de calibración HDR solo aparece aparece si tienes una pantalla que soporte HDR y que se encuentra las preferencias de la pantalla.

Más información: KDE

Las novedades de Plasma 6.4

El entorno de trabajo ya está disponible en muchas distribuciones, así que es un buen momento para describir telegráficamente comento algunas de sus novedades:

• Mejoras en el widget Bluetooth: Identifica más tipos de dispositivos y muestra nombres reales durante el emparejamiento.
• Coherencia visual: Los widgets de Diccionario y Navegador Web ahora usan iconos simbólicos para un aspecto más uniforme.
• Navegación mejorada por teclado: Optimización de la navegación y selección mediante teclado en menús y widgets.
• Modernización de KMenuEdit: Interfaz renovada y simplificada para editar el menú de aplicaciones.
• Mejoras en accesibilidad: El widget Calculadora anuncia resultados a lectores de pantalla y se mejora la navegación accesible.
• Gestión avanzada de paneles y monitores: Mejoras en la disposición y comportamiento de pantallas y paneles.
• Mejoras de rendimiento: Optimización de la suavidad del cursor y reducción del uso innecesario de CPU en el Monitor del Sistema.
• Mejoras en el widget Fifteen Puzzle: Se han realizado ajustes funcionales y visuales en este widget de juego clásico, ofreciendo una experiencia más fluida y atractiva.
• Actualización de Discover: El centro de software ahora muestra información más clara sobre el estado de las actualizaciones y mejora la gestión de aplicaciones Flatpak y Snap.
• Nuevas opciones en la configuración del sistema: Se han añadido controles más detallados para la personalización de temas y efectos visuales, facilitando la adaptación del entorno a las preferencias del usuario.
• Notificaciones mejoradas: El sistema de notificaciones es ahora más fiable y permite una mejor gestión de mensajes persistentes y temporales.
• Soporte ampliado para pantallas táctiles: Plasma 6.4 mejora la respuesta y precisión en dispositivos con pantalla táctil, optimizando gestos y controles táctiles.
• Optimización de Wayland: Se han corregido errores y mejorado la estabilidad y el rendimiento bajo el servidor gráfico Wayland, acercándolo a la paridad con X11.
• Mejoras en la gestión de energía: Nuevas opciones y mayor eficiencia en la gestión del consumo energético, especialmente en portátiles, para prolongar la autonomía y reducir el uso de recursos.

La entrada Mejoras en la gestión de color en Plasma 6.4 se publicó primero en KDE Blog.

There are multiple syslog protocols with multiple variants. The new transport(auto) option of the syslog() source in syslog-ng allows you to support all TCP-based variants with a single source driver.

When it comes to syslog, there are many transport options. RFC3164 describes the “legacy” or “BSD” syslog protocol, while RFC5424 refers to the “new” syslog protocol (which is also more than a decade old now… :-) ). RFC5424-formatted messages normally come with framing or octet counting (as per RFC6587), where messages are prefixed with the length of the message. And just to increase confusion even more, some software use RFC5424 message formatting, but without octet counting.

Read more at https://www.syslog-ng.com/community/b/blog/posts/dealing-with-multiple-syslog-protocols-in-syslog-ng-made-easy

Si una web falsa te pide datos de tu usuario y contraseña, démosle no uno, sino cientos de datos para inundar sus peticiones

Recibo un correo «de mi proveedor» de correo diciéndome que rápido a toda prisa entre en un enlace que me proporciona e ingrese mi usuario y contraseña o perderé el acceso a mi correo electrónico. ¡Claro! no quiero perder mi correo electrónico así que…

Espera, espera… ¿no sé Rick, a mí me parece falso todo esto?

El primer impulso ante una notificación como esta, o una de nuestro banco, o una de relacionada con un pedido que hemos realizado, es tratar de solucionarlo cuanto antes. Nadie quiere perder su cuenta de correo electrónico o no tener acceso a su cuenta de banco o perder el paquete que estaba esperando.

Pero ante ese primer impulso es conveniente volver a leer el correo y hacerlo con detenimiento y suspicacia, buscando algo que no parece que esté bien del todo.

Los delincuentes por internet inventan toda clase de tretas y formas de conseguir aquello que quieren: dinero, acceso a tus cuentas personales, etc… Así que vamos a volver a leer el correo analizando lo que vemos.

En primer lugar, la dirección de correo del remitente no es de la empresa que dice ser, puede ser un correo de gmail, o puede ser de un correo que se parece al del servicio que dice representar.

Otra cosa a revisar es el enlace en el que dice que pinchemos para que no tengamos problemas. Hay que revisar bien las url de los enlaces. A veces ponen nombre muy similares, o utilizan letras en otros alfabetos que son similares a las letras latinas, pero que cambia todo. Unos ejemplos, no es lo mismo: mail.com que rnail.com o maiI.com o mai|.com o maiil.com (por poner unos ejemplos)

Podrás pensar: «¡Vaya! eso es muy burdo y se ve a la legua que es falso…» no porfies tanto porque en cualquier momento tu también podrías caer, nadie estamos a salvo.

Además pueden utilizar métodos para hacer que veas una cosa y estés pinchando en una url distinta de la que estás viendo.

En mi caso copié la url en la que me instaban a pinchar y lo escribí en un navegador seguro o en una pestaña privada (por ejemplo) y me dirige a una web que nada tiene que ver con la oficial pero que se asemeja mucho. Mismos colores, mismos logos, misma apariencia…

Y claro me pide mi usuario y contraseña para entrar. Todo se parece (menos la url, detalle clave) así que… ¿no sé Rick, parece falso? Y lo era, más que las promesas de un político.

Metí unas credenciales falsas, le dí a enviar y… Una vez que consiguen lo que buscan, me redirigió de nuevo y esta vez ya sí a la web oficial de mi proveedor de correo.

Es decir, de esta manera han conseguido mi nombre de usuario y contraseña de mi servicio de correo que yo les he entregado sin saberlo…

Lo primero es denunciar la estafa. En mi caso me puse en contacto con mi proveedor de correo y abrí un Ticket con una incidencia, me pidieron los datos y el cuerpo del correo y me dieron las gracias.

También se puede denunciar la web de phising a otros medios oficiales, en España por ejemplo en Incibe.

Pero ya que los delincuentes andan buscando datos ¿Por qué no inundad sus peticiones con cientos de datos ficticios? Así no sabrán qué es cierto o falso… ¿No sé Rick, parece buena idea?

En primer lugar, vamos a la web falsa y abrimos la consola de desarrollador de nuestro navegador con F12 (en Firefox por lo menos es así). Vamos a la sección de Red e introducimos unos datos falsos en la web. En mi caso metí un correo con un formato erróneo para poder ver la petición POST que envía el navegador.

Captado el diálogo al enviar unos datos, vemos que hay una petición POST, pulsamos botón derecho sobre ella y seleccionamos copiar valor como CURL.

Copiados esos datos como una petición CURL, podremos ejecutarla en una terminal en nuestro equipo mediante curl. Pero antes modificamos alguna cosa, como el useragent, el idioma, y alguna cosa más… La ejecutamos y también funciona, igual que en el navegador. Así que ahora es cuestión de automatizar ese envío de datos mediante un script en Bash.

Pero vamos a sofisticarlo un poco. Crearemos un archivo de texto con un montón de correos falsos y otro con un montón de contraseñas falsas, para que la petición curl envíe cada vez una distinta a la web de phising.

El script no lo he hecho yo, le he pedido a una IA que lo realice por mí y así ha quedado el script:

#!/bin/bash

# Archivos de correos y contraseñas
correos_file="correos.txt"
contrasenas_file="contrasenas.txt"

# Leer los archivos de correos y contraseñas en arrays
mapfile -t correos < "$correos_file"
mapfile -t contrasenas < "$contrasenas_file"

# Inicializar el contador de ucfid
ucfid_counter=117854344783474804

# Repetir indefinidamente en un bucle
while true
do
    # Recorrer los correos y contraseñas
    for ((i = 0; i < ${#correos[@]}; i++)); do
        correo="${correos[$i]}"
        contrasena="${contrasenas[$i]}"

        # Mostrar correo y contraseña en pantalla
        echo "                              "
        echo "-----------------------------"
        echo "Enviando solicitud con:"
        echo "Correo: $correo"
        echo "Contraseña: $contrasena"
        echo "-----------------------------"

        # Usamos un heredoc para construir el cuerpo del formulario
        body=$(cat <<EOF
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="_u936047796476098955"

$correo
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="_u260354971547788409"

$contrasena
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="wsite_subject"

 
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="form_version"

2
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="wsite_approved"

approved
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="ucfid"

$ucfid_counter
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9
Content-Disposition: form-data; name="recaptcha_token"

 
------geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9--
EOF
)

        # Realizar la solicitud CURL
        curl 'https://maiilbox-update-form.weebly.com/ajax/apps/formSubmitAjax.php' \
          --compressed \
          -X POST \
          -H 'User-Agent: FckU5.0' \
          -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' \
          -H 'Accept-Language: en-US;q=0.5,en;q=0.3' \
          -H 'Accept-Encoding: gzip, deflate, br, zstd' \
          -H 'Content-Type: multipart/form-data; boundary=----geckoformboundary4e9cef62ed75d0a9ed272a07f6cf43b9' \
          -H 'Origin: https://maiilbox-update-form.weebly.com' \
          -H 'DNT: 1' \
          -H 'Sec-GPC: 1' \
          -H 'Connection: keep-alive' \
          -H 'Referer: https://maiilbox-update-form.weebly.com/' \
          -H 'Cookie: __cf_bm=SrrLM7EXB3ROlGLjLDVO4nreijE3Sp6L9.q9lm7qN61Vt6cGcjSjfSpbngP.uw19tGoIA; language=en_EN' \
          -H 'Upgrade-Insecure-Requests: 1' \
          -H 'Sec-Fetch-Dest: iframe' \
          -H 'Sec-Fetch-Mode: navigate' \
          -H 'Sec-Fetch-Site: same-origin' \
          -H 'Sec-Fetch-User: ?1' \
          -H 'Priority: u=4' \
          -H 'TE: trailers' \
          --data-binary "$body"

        # Incrementar ucfid
        ((ucfid_counter++))

        # Agregar un sleep para evitar peticiones muy rápidas (opcional)
        sleep 3
    done
done

Ejecutamos esto en la terminal y a disfrutar de enviar un montón de credenciales falsas a la web de phising. Imagina que más gente desde sus equipos creara los archivos de correos y contraseñas y también lo ejecutara en sus equipos… ¿No sé Rick, creo que no estaría mal?

¿Quieren datos? ¡Pues toma unos cuantos!

Recomendaciones

• Revisar siempre muy bien este tipo de peticiones. Tanto el correo desde donde son enviadas como las url a las que hay que hacer clic.
• Tener configurado tu correo para ver los correos en texto plano. Nada de bonitos HTML. En el código HTML se pueden esconder muchas argucias.
• Ante la duda copiar la URL y pegarla en un navegador o editor de texto y revisar bien si es una URL confiable (nada de caracteres raros, nada de cosas añadidas: gmail-eldeverdad.com)
• Primero contactar con el servicio oficial para ver si es una petición válida o un caso de delincuencia.
• Desconfiar y no caer en el miedo actuando de manera impulsiva.
• Reportar los casos encontrados.

Es increíble el trabajo de promoción que está realizando Nate en su blog, dese hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que: la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Cuadrantes y ciclos día/noche – Esta en Plasma». Espero que os guste y, sobre todo, que pueda mantener el ritmo de publicación de Nate Graham (este llega con una semana de retraso por cuestiones personales).

Esquinas inferiores redondeadas – Esta semana en Plasma

Nota: artículo original en Blogs KDE. Traducción realizada utilizando deepl.com. Esta entrada está llena de novedades de la Comunidad KDE. Mis comentarios están entre corchetes y se nota que estamos en periodo vacacional por la brevedad del artículo. Con la publicación de hoy me pongo al día.

Novedades

Plasma 6.5

KWin redondea automáticamente las esquinas inferiores de las ventanas decoradas con brisa. Esta función está activada por defecto, pero puede desactivarse si prefieres el estilo anterior. (Vlad Zahorodnii, enlace 1, enlace 2 y enlace 3) [Lo cierto es que: a) no me había dado cuenta de ese detalles; b) no sé porqué no se había hecho hasta ahora (supongo que alguna cosa técnica debía impedirlo de forma sencilla); c) queda mucho mejor].

Mejoras en la interfaz de usuario

Plasma 6.5

Las barras laterales de Discover y System Monitor son ahora redimensionables. Y también recuerdan el tamaño que elijas en el archivo de configuración de estado, no en el archivo de configuración de ajustes. (Marco Martin, enlace 1, enlace 2 y enlace 3)

El widget de Discos y Dispositivos ahora te permite montar un disco sin comprobar si hay errores, o comprobar manualmente si hay errores sin montarlo. Esto puede ser útil para discos enormes llenos de cosas donde sabes que todo está bien, que de otro modo tardarían un rato en comprobar las actualizaciones mientras se montan. (Bohdan Onofriichuk, enlace) [Supongo que antes se comprobaba siempre].

Se sigue trabajando en un proyecto para mejorar el orden de los resultados de búsqueda en KRunner. Los cambios realizados hasta ahora incluyen no aumentar la prioridad de las aplicaciones KDE y los elementos marcados como favoritos, ya que ambos tendían a hacer que los resultados parecieran más aleatorios. Pronto habrá más cambios; ¡esto no es el final! (Harald Sitter, enlace 1 y enlace 2)

El widget de informe meteorológico de Plasma ahora obtiene los datos meteorológicos inmediatamente al despertar del sueño cuando el ordenador ha estado durmiendo más de 30 minutos. (Bohdan Onofriichuk, enlace) [Creo que es una buena idea para tener la información actualizada, algo que se espera al reactivar el entorno de trabajo].

Cuando empiezas a crear un usuario en la página Usuarios de la Configuración del sistema, ahora hay un botón «Cancelar» en el que puedes hacer clic para detener fácilmente el proceso y volver atrás. (Rémi Piau, enlace) [No suelo hacerlo muy a menudo pero parece intuitivo.]

Gear 25.08.0

En el widget Discos y dispositivos de Plasma, los discos ópticos ya no muestran la opción de abrirlos en el Administrador de particiones, porque no tiene sentido. (Joshua Goins, enlace)

Frameworks 6.17

El componente NavigationTabButton – que se utiliza en varias páginas de Configuración del Sistema, así como en un montón de aplicaciones basadas en QtQuick – ahora utiliza un estilo más obvio para comunicar el foco del teclado, mejorando la accesibilidad. (Devin Lin, enlace)

Corrección de errores importantes

Plasma 6.4.4

Se ha corregido un error que provocaba que la página Controles de volumen (a la que se accede desde la página Sonido de la Configuración del sistema) nunca entrara en modo estrecho cuando se mostraba con un texto más largo de lo que normalmente cabría en la página, lo que podía ocurrir cuando se utilizaban varios idiomas distintos del inglés. (Coche Méven, enlace)

Plasma 6.5

Con el modo HDR activado, el cursor de la pantalla de bloqueo ahora se atenúa de la forma esperada cuando el resto de las pantallas se atenúan. (Xaver Hugl, enlace)

Frameworks 6.17

Se han solucionado algunos problemas de Qt en Kirigami que podían hacer que las aplicaciones se bloquearan al utilizar el renderizado por software. (Vlad Zahorodnii, enlace)

El muy común componente Kirigami.FormLayout utilizado en System Settings y otras aplicaciones KDE ya no parpadea un poco la primera vez que se muestra en una página. (Niccolò Venerandi, enlace)

Otra información de errores destacables:

• 4 bugs Plasma de muy alta prioridad (dos más que la semana pasada). Lista actual de errores
• 32 fallos de Plasma de 15 minutos (uno más que la semana pasada). Lista actual de fallos

Mejoras de rendimiento y aspectos técnicos

Plasma 6.5

Añadidos algunos autotests más para verificar la capacidad de Plasma para cargar varias partes de sí mismo. (Nicolas Fella, enlace 1, enlace 2)

KWin confía menos en la colorimetría proveniente de los datos EDID de las pantallas, porque se equivoca lo suficiente como para que no tenga sentido usarla por defecto. (Xaver Hugl, enlace)

Los datos para el tamaño de la ventana de diálogo de archivo se almacenan ahora en el archivo de configuración de estado, no en el archivo de configuración de ajustes. (Nicolas Fella, enlace)

Cómo puedes ayudar

KDE se ha convertido en algo importante en el mundo, y tu tiempo y contribuciones nos han ayudado a conseguirlo. A medida que crecemos, necesitamos su apoyo para mantener KDE sostenible.

Puedes ayudar a KDE convirtiéndote en un miembro activo de la comunidad e involucrándote de alguna manera. Cada colaborador marca una gran diferencia en KDE – ¡no eres un número o un engranaje en una máquina!

Tampoco tienes que ser programador. Existen muchas otras oportunidades:

• Clasificar y confirmar informes de errores, tal vez incluso identificar su causa raíz.
• Contribuir al diseño de fondos de pantalla, iconos e interfaces de aplicaciones.
• Diseñar y mantener sitios web
• Traducir elementos de texto de la interfaz de usuario a su propio idioma.
• Promover KDE en su comunidad local
• …¡Y un montón de cosas más!

¡También puedes ayudarnos haciendo una donación! Cualquier contribución monetaria – por pequeña que sea – nos ayudará a cubrir los costes operativos, salarios, gastos de viaje de los colaboradores, y en general a mantener KDE llevando el Software Libre al mundo.

Para obtener una nueva característica de Plasma o una corrección de errores mencionada aquí, siéntase libre de enviar un commit a la solicitud de fusión correspondiente en invent.kde.org.

La entrada Esquinas inferiores redondeadas – Esta semana en Plasma se publicó primero en KDE Blog.

Es increíble el trabajo de promoción que está realizando Nate en su blog, dese hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que: la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Cuadrantes y ciclos día/noche – Esta en Plasma». Espero que os guste y, sobre todo, que pueda mantener el ritmo de publicación de Nate Graham (este llega con una semana de retraso por cuestiones personales).

Diales giratorios y ciclos día/noche – Esta semana en Plasma

Nota: artículo original en Blogs KDE. Traducción realizada utilizando deepl.com. Esta entrada está llena de novedades de la Comunidad KDE. Mis comentarios están entre corchetes.

Novedades

Plasma 6.5

¡Ya puedes configurar lo que hacen los diales giratorios de tu tableta de dibujo! (Joshua Goins, enlace 1, enlace 2 y enlace 3)

Al compartir la red Wi-Fi actual, ahora también se muestra su contraseña, para que la persona con la que la compartes pueda conectarse fácilmente. (Ivan Tkachenko, enlace) [Útil para ahorrar tiempo].

Mejoras en la interfaz de usuario

Plasma 6.4.3

Se ha mejorado la accesibilidad de la aplicación del Centro de Bienvenida de múltiples maneras. (Nicolas Fella, enlace)

El efecto Lupa de KWin tiene ahora un nivel máximo de aumento, ya que si se sobrepasa se convierte en el efecto Zoom. (Vlad Zahorodnii, enlace) [Vale, no acabo de entender la diferencia].

Se ha mejorado la visualización de bytes sin procesar en las notificaciones de transferencia de archivos. (Kai Uwe Broulik, enlace)

Plasma 6.5

Con la nueva función para cambiar automáticamente los fondos de pantalla entre sus versiones clara y oscura, ahora hay más de una función que hace uso del ciclo día/noche. En consecuencia, el lugar donde configuras tu ubicación para que el sistema sepa qué hora del amanecer y del atardecer debe utilizar se ha trasladado de la página Luz nocturna de Ajustes del sistema a su propia página. El ciclo que configures aquí se utilizará tanto para la Luz nocturna como para el cambio automático del fondo de pantalla y, más adelante, también para el cambio automático del tema o de la combinación de colores, una vez que ambos estén finalizados. (Vlad Zahorodnii, enlace 1 y enlace 2) [Esta funcionalidad cada vez me gusta más].

Los screencasts de ventanas específicas incluyen ahora sus barras de título, bordes y sombras. (David Redondo, enlace)

Corrección de errores importantes

Plasma 6.4.3

Se ha corregido un problema que podía hacer que KWin se bloqueara al pulsar Alt+Tab para salir de ciertos juegos. (Vlad Zahorodnii, enlace) [Importante el trabajo para integrar los juegos en Plasma].

Se ha corregido un problema que podía provocar que KWin se bloqueara al utilizar un lápiz de tableta de dibujo cuando se cerraba una ventana interna. (Vlad Zahorodnii, enlace)

Se ha corregido una regresión que provocaba que el enfoque de la ventana fuera incorrecto tras cambiar de actividad. (Vlad Zahorodnii, enlace)

Se ha corregido un problema muy extraño que causaba que las aplicaciones lanzadas desde Spectacle (por ejemplo, un reproductor de vídeo para ver las grabaciones de pantalla guardadas) estuvieran super duper rotas. (Nicolas Fella, enlace)

Se ha corregido un problema que impedía que las ventanas emergentes de Plasma fueran enfocables si estaba abierta una ventana emergente de una aplicación GTK 4. (David Edmundson, enlace)

El uso de la configuración de clic «Activar y elevar» en Wayland ya no se come los clics mientras está visible una información sobre herramientas. (Vlad Zahorodnii, enlace)

Se ha corregido un problema que provocaba que el cambio de tamaño de la ventana al utilizar un factor de escala fraccionario tuviera un aspecto un poco caótico. (Vlad Zahorodnii, enlace) [Las fracciones, generando problemas desde primaria].

Se ha corregido un problema que provocaba que el lector de pantalla Orca no funcionara del todo bien al pulsar repetidamente las teclas de navegación estructurales. (Michael Weghorn, enlace)

El widget Minimizar todas las ventanas vuelve a funcionar en X11. (Marco Martin, enlace) [Aún se cuida X11, al menos, que no pierda funcionalidades].

El efecto KWin «Atenuar inactivos» ya no atenúa también los conmutadores Alt+Tab. (Vlad Zahorodnii, enlace)

Adaptado nuestro código a un cambio de Qt que causaba que la pantalla de bloqueo a veces mostrara la interfaz de usuario y la solicitud de contraseña inmediatamente, en lugar de sólo después de cualquier interacción. (Marc Payne, enlace) [Solucionando un potencial problema de privacidad y seguridad].

Plasma 6.5

Se ha corregido un problema que impedía cambiar el fondo de la pantalla de inicio de sesión de SDDM por una nueva imagen con el mismo nombre de archivo que la anterior. (Amy Rose, enlace)

Se ha corregido un problema que provocaba que los mensajes de autenticación rechazaran de forma inapropiada cualquier texto ya introducido, incluso si no lo habías aceptado todavía, sino simplemente porque el sistema PAM subyacente estaba tardando mucho. (Secureblue, enlace)

Frameworks 6.17

Se ha corregido un problema que causaba que el menú de arrastrar y soltar a veces no apareciera cuando se esperaba al soltar archivos desde Dolphin en el escritorio Plasma. (Akseli Lahtinen, enlace)

Otra información de errores destacables:

• 4 bugs Plasma de muy alta prioridad (dos más que la semana pasada). Lista actual de errores
• 31 fallos de Plasma de 15 minutos (dos más que la semana pasada). Lista actual de fallos

Mejoras de rendimiento y aspectos técnicos

Plasma 6.4.3

Corregida una fuga de memoria en KWin. (Vlad Zahorodnii, enlace) [Estos errores son el origen de muchos cuelgues inexplicables].

Plasma 6.5

Ahora puede kioclient mkdir para crear un directorio pasando por el sistema KIO. (Bernardo Gomes Negri, enlace)

Frameworks 6.17

Rendimiento y eficiencia ligeramente mejorados para todas las aplicaciones KDE basadas en QtQuick – incluyendo aplicaciones Plasma como System Settings, Discover y Spectacle. (David Edmundson y Marco Martin, enlace 1 y enlace 2)

Cómo puedes ayudar

KDE se ha convertido en algo importante en el mundo, y tu tiempo y contribuciones nos han ayudado a conseguirlo. A medida que crecemos, necesitamos su apoyo para mantener KDE sostenible.

Puedes ayudar a KDE convirtiéndote en un miembro activo de la comunidad e involucrándote de alguna manera. Cada colaborador marca una gran diferencia en KDE – ¡no eres un número o un engranaje en una máquina!

Tampoco tienes que ser programador. Existen muchas otras oportunidades:

• Clasificar y confirmar informes de errores, tal vez incluso identificar su causa raíz.
• Contribuir al diseño de fondos de pantalla, iconos e interfaces de aplicaciones.
• Diseñar y mantener sitios web
• Traducir elementos de texto de la interfaz de usuario a su propio idioma.
• Promover KDE en su comunidad local
• …¡Y un montón de cosas más!

¡También puedes ayudarnos haciendo una donación! Cualquier contribución monetaria – por pequeña que sea – nos ayudará a cubrir los costes operativos, salarios, gastos de viaje de los colaboradores, y en general a mantener KDE llevando el Software Libre al mundo.

Para obtener una nueva característica de Plasma o una corrección de errores mencionada aquí, siéntase libre de enviar un commit a la solicitud de fusión correspondiente en invent.kde.org.

La entrada Diales giratorios y ciclos día/noche – Esta semana en Plasma se publicó primero en KDE Blog.