Amarok, el mítico reproductor de música de KDE quizás muy pronto pueda disfrutar de una importante actualización a la versión 3.0

Amarok fue para muchas de las personas que empezamos a usar KDE hace años, el reproductor de música utilizado y del que guardamos muchos y buenos recuerdos, como es mi caso.

Hace años era el reproductor de música que «venía de serie» en KDE y disponía de muy buenos motivos para serlo. Era muy completo, e incluía algunas características novedosas que no habíamos visto antes y con una bonita interfaz.

Con el tiempo, su desarrollo fue cayendo en el olvido y yo mismo cambié su uso por otras opciones. Pero desde hace unos meses volví a utilizarlo y volví a disfrutar de su uso y me preguntaba por qué lo habría abandonado. Quizás las ganas de probar otras cosas, reproductores para la terminal más livianos y por definición con menos funcionalidades…

Hace unos años (sobre 2021) hubo un intento de recuperar su desarrollo, corregir las partes obsoletas y errores y darle una nueva vida. Hubo ciertos avances y se corrigieron muchas cosas y se adaptó código, pero otra vez volvió a estancarse su desarrollo. Hasta ahora…

El desarrollador Tuomas Nurmi ha enviado unos correos a la lista de correos de KDE en la que ha expresado su intención de devolver el lustre perdido a Amarok y traer su código al presente, para adaptarlo a las nuevas tecnologías de KDE y Plasma 6.

La versión actual 2.9.71 data de 2021 en el intento de volver a descubrir la música y Amarok. En ese tiempo sí que ha habido actualizaciones, pero estas tardaban mucho en aplicarse, lo que acaba con el interés de la persona que las hace.

De hecho hay unos 643 errores abiertos para esta aplicación y ahora tratarán de filtrar, priorizar y corregir lo que puedan para seguir manteniendo operativa la aplicación. Y tratar de publicar las versión 2.9.76 para abril de este año 2024.

Pero tienen también en mente la publicación de una versión mayor 3.0. El enfoque en el camino hacia esa versión 3.0 según dicen, «probablemente debería estar en corregir errores y tratar de asegurarse de que todo siga funcionando con las versiones recientes de los requisitos de las bibliotecas.»

Y aunque aventurarse a dar una fecha es arriesgado, sí que mencionan que esa versión Amarok 3.0 pudiera publicarse para este verano de 2024.

Después de más de dos décadas de vida, me alegra ver que Amarok sigue creciendo, mejorando y ofreciéndonos a quienes lo usamos la oportunidad de disfrutar de nuestra música una manera de hacerlo muy gratificante y basada en software libre, como bien sabe hacerlo la comunidad de KDE.

Desde el blog te animo a que si te interesa el tema y quieres participar en un gran proyecto de software libre como es KDE, te pongas manos a la obra en este proyecto.

Esta nueva fase de Amarok necesitará de personas que reporten errores, que ayuden a clasificarlos o testearlos, de echar una mano en el código o aportar ideas interesantes. Actualizar la documentación, darle un nuevo aspecto a su página oficial, traducir, diseñar…

¿Te animas a dejar de ser un especttador y empezar a ser parte activa del cambio? No te preguntes qué puede hacer KDE por tí. Pregúntate qué puedes hacer tú por KDE. Y aquí tienes una oportunidad para empezar a involucrarte, aprender y compartir. Da un primer paso…

Enlaces de interés

• https://mail.kde.org/pipermail/amarok-devel/2024-March/014749.html
• https://amarok.kde.org/
• https://invent.kde.org/multimedia/amarok/-/issues/4
• https://bugs.kde.org/describecomponents.cgi?product=amarok

Me complace promocionar un nuevo audio de Mancomún Podcast que trata de dar visibilidad a uno de las reuniones más importantes de las Comunidades del Software Libre de España. De esta forma os presento el evento esLibre en Mancomún Podcast, otro episodio con presentado por Jorge Lama y con la presencia de Paula de la Hoz, Alejandro López y David Marzal.

Evento esLibre 2024 en Mancomún Podcast

Uno de los podcast que más me gustan y que suelen durar poco tiempo en mi lista de reproducción es Mancomún Podcast. Sus audios presentados habitualmente por Jorge Lama y Brais Arias (miembro de KDE España) suelen ir directos y al grano, con lo que casi nunca superan la hora de duración: ideal para conocer nuevos proyectos, iniciativa y personas.

Y el episodio publicado el pasado 4 de enero, En palabras de Jorge:

Ya está en marcha la próxima edición de esLibre 2024, queen esta ocasión tiene a como anfitriona la comunidad GNU/Linux València.

Estas jornadas de conocimiento libre tendrán lugar los días 24 y 25 de mayo en Las Naves, el centro de innovación social de la ciudad de València, y en Lana Mutant, el espacio de artes vivas. Hoy contamos con Paula de lana Hoz, Alejandro López y David Marzal, parte de la organización, para conocer un poco más sobre la esLibre de este año.

Además, este año, como los lectores habituales del blog sabrán , Akademy-es 2024 también se celebrará allí. Atentos que pronto tendremos programa.

Aprovecho para poner enlaces generales del proyecto de Mancomún.

Repositorio de la nueva temporada de Mancomún: https://archive.org/details/mancomun-podcast-101

Si os queréis subscribir este es el feed: http://feeds.feedburner.com/MancomunPodcast

Más información: Mancomún Podcast

La entrada Evento esLibre 2024 en Mancomún Podcast se publicó primero en KDE Blog.

Marknote es una aplicación de la comunidad KDE para tomar notas rápidas en formato Markdown

Marknote es una aplicación de reciente creación dentro del ecosistema de la comunidad de software libre de KDE que facilita y aligera la tarea de tomar diferentes notas separadas en diferentes proyectos en formato Markdown y con una interfaz gráfica muy sencilla.

Me he decidido a instalarla y probarla en mi distribución GNU/Linux openSUSE Tumbleweed.

Lo primero aclararte un concepto sobre Marknote que no había entendido bien. No es una aplicación para editar archivos en formato Markdown. Si tienes un archivo en Markdown, no puedes editarlo con Marknote.

Marknote sirve para crear diferentes blocs de notas diferenciados por temáticas y dentro de esos blocs poder crear rápidamente nuevas notas. Una especie de sistema de recordatorio rápido de cosas que has leído o se te ocurren, que las apuntas para después echarles un vistazo.

Pongo el ejemplo que quizás eres un profesor (sí Baltasar, te estoy mirando a ti). Puedes crear diferentes blocs de notas dependiendo de las cursos a los que des clases, o por materias. Y dentro de esos blocs dividir las notas por días o por temáticas, etc. De cosas que se vayan planteando el en aula y que después tengas que revisar.

Bueno, eso es lo que se me ha ocurrido, pero sin duda las posibilidades que se le pueden sacar o los usos que le puedes dar son muchos.

Los blocs y las notas que creamos con Marknote se guardan en texto plano en la carpeta de Documentos/Note en nuesto /home. Por lo que podemos exportarlas, a otro equipo y editarlas con otro editor y seguirán siendo válidas y accesibles.

A la hora de publicar este artículo, se ha publicado la versión Marknote 1.1.0, que incluye algunas mejoras. Pero es justo decir que es una aplicación muy joven y todavía adolece de muchas cosas que están ya pensadas para mejorar.

Pero en esta nueva versión ya permite exportar las notas a formatos HTML, PDF u ODT. Y se ha agregado la posibilidad de añadir imágenes y listas de tareas.

Sin duda tiene mucho recorrido de mejora y seguro que será así, ¿te animas a participar en el proyecto? Pero a pesar de esos detalles que poco a poco se irán solventando es ya usable y funcional 100%.

He instalado Marknote y lo primero que hace es pedirte que crees un bloc, para ya dentro del bloc empezar a crear notas en formato Markdown. El renderizado del formato Markdown no es inmediato. Al abrirlo otra vez, ya verías el texto renderizado.

Podemos utilizar el consabido y sencillo lenguaje de marcado Markdown para dar formato al texto o podemos utilizar una sencilla barra de herramientas inferior para darle formato.

Las notas y blocs se guardan automáticamente, por lo que no veremos iconos para guardarlas en nuestro disco, etc. Simplemente escribimos lo que queramos en Marknote y cuando hayamos terminado cerramos la aplicación y todo quedará guardado. Pero si en algo nos equivocamos, si está vigente el salvador Ctrl+z para deshacer las acciones realizadas de una en una.

Puede ser una aplicación muy interesante para quienes necesiten guardar notas rápidas sobre varios temas con una interfaz sencilla. ¿Te animas a probarla o participar en su desarrollo?

Enlaces de interés

• https://apps.kde.org/es/marknote/
• https://carlschwan.eu/2024/04/01/marknote-1.1.0/
• https://invent.kde.org/office/marknote/-/issues/27

Plasma 6 no vino solo. Junto al escritorio también apareció KDE Gear 24.02, KDE Frameworks 6 y Plasma Mobile 6, todo un desembarco de novedades que todavía no han tenido tiempo de aparecer en el blog. Es hora de enmendar este error y lo hago con un resumen básico de novedades de KDE Gear 24.02 a la espera de ir ampliando.

Resumen básico de novedades de KDE Gear 24.02

La calidad y cantidad de aplicaciones del ecosistema KDE es asombrosa, creciente y realmente competente. Solo hay que ver la página oficial para ver el catálogo completo de ellas.

En el salto tecnológico del pasado 28 de febrero, KDE Gear 24.02 no trajo muchas aplicaciones ya migradas a Qt 6 y con un aspecto con menos marcos en su interfaz, con el objetivo de hacerlos más consitentes con Brisa y que tengan un aspecto más moderno.

Además, muchas otras aplicaciones llegaron con muchas novedades, algunas de las cuáles fueron las siguientes:

Kontact: el visor de mensajes de KMail elimina la publicidad y el código de rastreo de los mensajes usando un bloqueador de publicidad más potente escrito en Rust.

Itinerary: el gestor de viajes de KDE ha mejorado la línea de tiempo principal, la cual se ha rediseñado y ahora permite expandir sus elementos para que muestren las paradas intermedias y los retrasos e interrupciones en curso.

KDE Edu, la colección de aplicaciones educativas de KDE, llega con mejoras en muchas de sus aplicaciones. A modo de ejemplo KHangMan, una adaptación del juego del ahorcado, se ha portado a Kirigami o Kalzium ha dejado de usar gradientes de color, por lo que el color de los elementos de la tabla periódica ofrece un mejor contraste con el esquema de color del sistema.

Kdenlive, el editor de vídeos no-lineal de KDE, ha mejorado bastante la función de subtítulos y ahora permite incorporar múltiples subtítulos en una misma pista. Esto es especialmente útil para los vídeos que exigen subtítulos en varios idiomas. También dispone de la opción de importar y exportar subtítulos.

Dolphin, el insuperable gestor de archivos, permite acceder con el teclado a los botones de la barra de herramientas y al indicador de espacio libre en disco de la barra de estado. Se puede pulsar F10 para abrir el menú principal y Mayúsculas+F10 para abrir menús de contexto.

Spectacle, el capturador de pantalla tanto de imagen como de vídeo de Plasma ha mejorar las funciones de grabación y ahora se muestra un icono en la bandeja del sistema durante la grabación.

Neochat, e cliente de Matrix de KDE, ha mejorado la página de bienvenida y ahora permite escoger la cuenta que prefiera usar, además de permitirnos iniciar sesión en otras cuentas. Esta pantalla también nos avisará cuando NeoChat no pueda cargar una cuenta.

PlasmaTube, el cliente de YouTube que usa Invidious, permite la sincronización del historial con su cuenta de Invidious y buscar canales y listas de reproducción. También dispone de un nuevo sistema de cola para las listas de reproducción.

Kate, uno de los potentes editores de texto/IDE de KDE, usa un nuevo analizador JSON denominado RapidJSON, que devuelve resultados de terminación de palabras más rápidamente y con un menor uso de memoria.

Y esto es justo eso, una pequeña pincelada de todo lo que nos ofrece la Comunidad KDE. En próximas entradas nos adentraremos más en los detalles específicos de las aplicaciones. ¡¿No es asombroso para algo realizado por voluntarios?!

Más información: KDE

La entrada Resumen básico de novedades de KDE Gear 24.02 se publicó primero en KDE Blog.

The openSUSE continues its Contribution Workshop series this week and has new episodes covering topics essential for newcomers and seasoned contributors. Upcoming Episodes

Episode 5: Contributing to openSUSE Leap - Project Structure, Feature Tracking, Package Updates for SLES Packages

• Date: April 4
• Time: 19:15 UTC
• Where: Live on both YouTube and Twitter

Episode 5 will dive deep into the world of openSUSE Leap by providing insights into the project, its structure, tools, how the team tracks feature and what the process is for building and updating SLES (SUSE Linux Enterprise Server) packages. This episode is a must-watch and will be live for anyone interested in the development processes behind openSUSE Leap so they understand how to contribute to the ecosystem.

Episode 6: Host Your Own openSUSE Mirror

• Date: Postponed
• Time: ASAP
• Where: openSUSE official channels

Episode 6 is expected to guide viewers through the process of hosting their own openSUSE mirror. This session is particularly geared toward those interested in infrastructure support and ensuring the accessibility and distribution of openSUSE’s resources worldwide.

These workshops not only offer a platform for learning but also for contributors to ask questions and engage directly with developers, maintainers and experienced members of the openSUSE community.

Whether you’re looking to dive into package maintenance, infrastructure, or understanding the overall project landscape, these episodes are tailored to provide a comprehensive overview and practical advice.

The following episodes were already released:

• Episode 1: openSUSE Contribution Workshop: Basic use of OBS osc using a version bump as an example
• Episode 2: openSUSE Contribution Workshop: From 0 to an rpm package packaging GNU Hello
• Episode 3: openSUSE Contribution Workshop: openSUSE Leap 15.6 Beta Bug Day
• Episode 4: openSUSE Contribution Workshop: Packaging Rust in Open Build Service

Recopilación y traducción del boletín mensual de noticias relacionadas con el software libre publicado por la Free Software Foundation.

La Free Software Foundation (FSF) es una organización creada en Octubre de 1985 por Richard Stallman y otros entusiastas del software libre con el propósito de difundir esta filosofía, frente a las restricciones y abusos a los usuarios por parte del software privativo.

La Fundación para el software libre (FSF) se dedica a eliminar las restricciones sobre la copia, redistribución, entendimiento, y modificación de programas de computadoras. Con este objeto, promociona el desarrollo y uso del software libre en todas las áreas de la computación, pero muy particularmente, ayudando a desarrollar el sistema operativo GNU.

Mensualmente publican un boletín (supporter) con noticias relacionadas con el software libre, sus campañas, o eventos. Una forma de difundir los proyectos, para que la gente conozca los hechos, se haga su propia opinión, y tomen partido si creen que la reivindicación es justa!!

• En este enlace podéis leer el original en inglés: https://www.fsf.org/free-software-supporter/2024/april
• Y traducido en español (cuando el equipo de traducción lo tenga disponible) en este enlace: https://www.fsf.org/free-software-supporter/2024/abril

Puedes ver todos los números publicados en este enlace: http://www.fsf.org/free-software-supporter/free-software-supporter

Después de muchos años colaborando en la traducción al español del boletín, desde inicios del año 2020 decidí tomarme un descanso en esta tarea.

Pero hay detrás un pequeño grupo de personas que siguen haciendo posible la difusión en español del boletín de noticias de la FSF.

¿Te gustaría aportar tu ayuda en la traducción y colaborar con la FSF? Lee el siguiente enlace:

• https://victorhckinthefreeworld.com/2016/12/22/quieres-ayudar-a-traducir-el-boletin-mensual-de-la-free-software-foundation/

Por aquí te traigo un extracto de algunas de las noticias que ha destacado la FSF este mes de abril de 2024.

Publicada la versión Beta de Dynebolic 4.0.0

Del 20 de marzo por Set Hallström aka Setto Sakrecoer

La fundación Dyne.org anunció el lanzamiento de Dynebolic 4.0.0 BETA. Dynebolic es una distribución GNU/Linux 100% gratuita para producción multimedia avalada por la FSF.

Famoso por su interoperabilidad y su innovadora construcción nómada, Dynebolic ha sido una puerta de entrada a la libertad de software para creativos de todo el mundo.

La fundación Dyne.org busca desarrolladores, testers y creativos de todos los azimuts para impulsar la versión 4.0.0.

• https://dynebolic.org
• https://www.gnu.org/distros/free-distros.html

Aboguemos juntos por el software libre en las elecciones europeas

Del 21 de marzo por la FSFE

Juntos, garanticemos que la libertad del software sea parte del debate político en torno a las elecciones europeas, que tendrán lugar del 6 al 9 de junio de 2024.

En este artículo, encontrarás consejos prácticos sobre cómo mantenerte activo y defender el software libre en los próximos meses.

• https://fsfe.org/news/2024/news-20240321-01.en.html

La Ley de Derecho a Reparar fue aprobada por la legislatura de Oregon

Del 6 de marzo por Alma McCarty

Buenas noticias: en la primera semana de marzo, la legislatura de Oregón aprobó un proyecto de ley sobre el derecho a reparar, que se había estado gestando durante varios años.

Como sólo podemos reparar tecnología basándose en software si el usuario es libre de hacerlo, el derecho a reparar y la libertad del software van de la mano.

Puedes obtener más información sobre el trabajo de la FSF sobre el derecho a reparar y el software libre en la sección de la campaña Lucha por la Reparación en fsf.org y en la wiki de LibrePlanet.

• https://www.kgw.com/article/news/local/oregon-legislature-right-to-repair-consumer-electronics/283-48b9e4df-4c0f-4f20-8ac5-635e50eb9ec1
• https://www.fsf.org/campaigns/fight-to-repair
• https://libreplanet.org/wiki/Group:FSF/Fight-to-Repair

Estas son solo algunas de las noticias recogidas este mes, ¡¡pero hay muchas más muy interesantes!! si quieres leerlas todas (cuando estén traducidas) visita este enlace:

• https://www.fsf.org/free-software-supporter/2024/abril

Y todos los números del «supporter» o boletín de noticias de 2024 en español, francés, portugués e inglés aquí:

• https://www.fsf.org/free-software-supporter/2024

—————————————————————

Me he enterado por Mastodon del fallecimiento de Craig Maloney es escritor (entre otras muchas cosas) del libro El programador mediocre que traduje al español en 2022

A mediados de 2022 los vericuetos de internet me hicieron toparme con el libro en inglés «The Mediocre Programmer» escrito por un desarrollador de Michigan, aficionado al software libre, la música metal y colaborador en muchos proyectos llamado Craig Maloney.

Me decidí realizar una traducción en español de su libro, así contacté con él por Mastodon y también durante el tiempo que duró el proceso de traducción compartimos unos cuantos correos, en los que le pedía ayuda con ciertos problemas técnicos por mi parte o consejos sobre, ciertos pasajes del libro para la traducción.

Hoy me he enterado por Mastodon y por un artículo en la web del dibujante David Revoy, que Craig Maloney ha fallecido y me ha dejado un poco triste.

En su cuenta de Mastodon y en su blog fue relatando la lucha que mantenía contra un cáncer contra el que desde hace tiempo se estaba tratando con quimioterapia.

Se podían leer en sus artículos cómo el tratamiento había días que se le hacía muy duro, pero su modo «zen» de enfrentarse a ese sufrimiento parece que le hacía sobreponerse en la medida de lo posible.

Hasta que ha ocurrido el desenlace más triste…

Desde mi pequeño rincón de internet le envío a su familia y su montón de amigos que le apreciaban un sentimiento de acompañamiento en su tristeza.

Agradecerle su generosidad por todas las tareas que realizaba y por permitirme realizar la traducción de su libro. Creo que ha dejado huella en su camino en muchas personas que le echarán (le echaremos) de menos.

Que la tierra te sea leve…

Table of Contents

• 1) Introduction
• 2) Unsafe Configuration Item “reposdir” in Whitelist
• 3) Bugfix and CVE Assignment
• 4) Discovery Process
• 5) Timeline
• 6) References

1) Introduction

CVE-2024-1929 that we previously reported for the dnf5 D-Bus component has not been completely fixed. This post deals with the remaining issue we discovered.

2) Unsafe Configuration Item “reposdir” in Whitelist

The problem with CVE-2024-1929 was that the dnf5 D-Bus daemon accepted arbitrary configuration parameters from unprivileged users, which allowed a local root exploit by tricking the daemon into loading a user controlled “plugin”. All of this happened before Polkit authentication was even started.

The original bugfix consists of a whitelist of configuration items, that unprivileged users are allowed to override, when using the dnf5 D-Bus interface. While checking each of the whitelisted items, we found that the setting “reposdir” allows to specify the path to an arbitrary directory, in which repository configuration files (*.repo) will be processed by the privileged dnf5 daemon.

The dnf5 library code does not check whether non-root users control the directory in question. The code does check for file type and filename extension of contained files; it follows symlinks and is subject to a race condition, however:

    std::filesystem::directory_iterator di(dir_path, ec);
    std::vector<std::filesystem::path> paths;

    for (auto & dentry : di) {
        auto & path = dentry.path();
        if (dentry.is_regular_file() && path.extension() == ".repo") {
            paths.push_back(path);
        }
    }

    std::sort(paths.begin(), paths.end());

    for (auto & path : paths) {
        create_repos_from_file(path);
    }

By the time the (checked) path is passed to create_repos_from_file(), the user controlling the directory can replace it with an arbitrary other file or symlink, thereby tricking the library to operate on arbitrary file types and file paths.

On one hand, this poses a Denial-of-Service attack vector by making the daemon operate on a blocking file (e.g. named FIFO special file) or a very large file that causes an out-of-memory situation (e.g. /dev/zero). On the other hand, this can be used to let the daemon process privileged files like /etc/shadow. The file in question is parsed as an INI file. Error diagnostics resulting from parsing privileged files could cause information leaks, if these diagnostics are accessible to unprivileged users. In the case of libdnf5, no such user accessible diagnostics should exist, though.

Even more interestingly, a local attacker can place a valid repository configuration file in this directory. This configuration file allows to specify a plethora of additional configuration options. This makes various additional code paths in libdnf5 accessible to the attacker. This, and the possibility to configure arbitrary repositories, could very well allow further privilege escalation, although we did not investigate more deeply if and how this would be possible.

This follow-up issue confirms the sentiment expressed in our original report, that one has to be extremely careful about feeding untrusted input into the libdnf5 library, which is not designed to run in mixed security scope setups.

3) Bugfix and CVE Assignment

The bugfix simply consists of the removal of the “reposdir” entry from the whitelist of configuration items. Upstream release 5.1.17 contains the bugfix. The Red Hat security team assigned CVE-2024-2746 to track this incomplete fix of CVE-2024-1929.

4) Discovery Process

We noticed the incomplete fix only at a late time, when our openSUSE dnf5 package maintainer asked for the inclusion of the fixed package into openSUSE Tumbleweed. It is unfortunate that this happened too late to prevent an incomplete fix for CVE-2024-1929, and thus made a follow-up CVE assignment and coordinated release process necessary.

Since the original issues had been handled as part of a coordinated disclosure process, there should have been a review of the proposed patches before publication. Due to the circumstances of an early publication of the fixes, outside of the coordinated release process, there never was a defined point in time for us to actually review them. We aim to avoid such situations in the future by being more careful about reviewing patches, especially when no straightforward coordinated release process can be established with upstream.

5) Timeline

6) References

• Previous report of dnf5 D-Bus daemon security issues
• Bugfix commit for the follow-up security issue
• dnf5 Bugfix release 5.1.17