Hace mucho tiempo publiqué el mapa generado en Google de los usuarios de KDE. Ese mapa era colaborativo y voluntario pero generado sobre Software Privativo. En varias ocasiones pedí que alguien lo cambiara a OpenStreetMap y mis súplicas fueron escuchadas. Ya casi había olvidado este proyecto pero este agosto lo recuperé, publicitándolo en el grupo de Telegram KDE – Cañas y Bravas y parece que el proyecto ha tomado impulso, así que he decidido seguir publicitándolo durante unos meses. Así que os doy la bienvenida a la actualización de enero_25 del mapa de usuarios KDE que, como vais a ver, se ha sigue llenando pero todavía no seguimos sin tener a nadie en Cáceres, Lleida, Cuenca, Salamanca o Huesca, por poner algunas capitales de provincia. ¿No podemos solucionar este vacío? ¿Conoces a alguien de alguna de esas capitales? Si es así dile que se apunte.

Actualización de enero_25 del mapa de usuarios KDE

Si vais a ver el mapa de la Comunidad KDE de España marzo 2018, podréis ver una imagen estática de los usuarios que se habían puesto voluntariamente , y digo estática, porque alguien borró (queriendo o sin querer) los «pines» del mapa.

Ese incidente fue comentado en el grupo de Telegram KDE – Cañas y Bravas, y un usuario dijo que trabajaría en ello aprovechando que se debía empezar de nuevo el mapa.

Este compañero de grupo era @wakutiteo y creó, utilizando los servicios de uMap sobre OpenStreetMap el nuevo mapa de la usuarios KDE en España en el que podemos empezar a registrarnos.

En un principio había poca poca gente apuntada (mirad la entrada de junio de 2018) pero poco a poco se ha ido llenando, a pesar de la poca promoción que ha tenido. A ver si a partir de ahora voy dándole más cancha y el mapa crece . De momento pongo la captura de pantalla de este mes de agosto, la del mes de septiembre y la de este octubre del 2024 para que veamos la evolución, lenta pero constante.

2025

Enero 2025

Este mes no tenemos mucha variación, y además me he dado cuenta que debo hacer las comparaciones con la misma pantalla ya que cambia según la resolución de pantalla, no obstante seguimos sin usuarios en capitales de provincia como Cáceres, Lleida, Cuenca, Salamanca, Huelva, Ciudad Real, Albacete, Zamora, Lugo, Soria, Teruel, Segovia, Tarragona, Girona, Alicante, Guadalajara, Santiago de Compostela, Pontevedra o Ávila, si no he mirado mal (que es posible).

Pincha en este enlace para ver el mapa interactivo.

Evidentemente, es voluntario y apuntaros es bajo vuestra propia responsabilidad. Os dejo también el mapa incrustado que se irá actualizando poco a poco.

Mostra-ho a pantalla completa

2024

Para facilitar el seguimiento he decidido crear la sección del año separándolo del mes conrrespondiente.

Agosto 2024

Septiembre 2024

Octubre 2024

Diciembre 2024

Y también os dejo un vídeo de cómo editar el mapa para poder apuntaros.

¿Qué es Umap?

Básicamente, con uMap puedes crear mapas con capas de OpenStreetMap en un minuto e incrustarlo en tu página web, de código libre. Con uMap puedes realizar las siguientes acciones:

• Elegir las capas de tu mapa
• Añadir PDIs: marcadores, líneas, polígonos…
• Elegir los colores y los iconos de los PDIs
• Gestionar opciones del mapa: mostrar un minimapa, localizar al usuario al cargar…
• Importar por lotes datos geoestructurados (geojson, gpx, kml, osm…)
• Elegir la licencia de tus datos
• Embeber y compartir tu mapa

La entrada Actualización de enero_25 del mapa de usuarios KDE se publicó primero en KDE Blog.

Hago una descanso en la difusión de las novedades para traeros una entrada ligera. Os presento el tema de iconos Azure Dark, un pack de iconos coloridos y volumétricos, una creación de l4k1 que quedan fabulosos en entornos oscuros.

Azure Dark iconos para tu PC coloridos y volumétricos

Como he dicho muchas veces, me fascina la variedad que tenemos a nuestra disposición tanto de forma, estilo o colores. Tenemos iconos clásicos, minimalistas, lineales, 3D, que simulan otros sistemas operativos, imaginativos, que recuerdan a objetos cotidianeos, etc.

Hoy os presento un pack de iconos creados por l4k1 que ha nombrado como Hatter. Se trata de unos iconos nada minimalistas ya que son redondeados, con uns aspecto 3D muy acentuado y que utiliza una gama de colores bastante variada.

Y como siempre digo, si os gusta el pack de iconos podéis pagarlo de muchas formas en la página en continua evolución de KDE Store, que estoy seguro que el desarrollador lo agradecer: puntúale positivamente, hazle un comentario en la página o realiza una donación. Ayudar al desarrollo del Software Libre también se hace simplemente dando las gracias, ayuda mucho más de lo que os podéis imaginar, recordad la campaña I love Free Software Day 2017 de la Free Software Foundation donde se nos recordaba esta forma tan sencilla de colaborar con el gran proyecto del Software Libre y que en el blog dedicamos un artículo.

Más información: KDE Store

La entrada Azure Dark iconos para tu PC coloridos y volumétricos se publicó primero en KDE Blog.

The first beta versions of SUSE Linux Enterprise Server 16 are almost around the corner and openSUSE Leap 16 is already at alpha phase. So the YaST Team (or should we already say the Agama Team?) has focused during the last couple of weeks on providing a better installation experience for both families of distributions. Agama 11 is the result, so let's see what's new on this release.

Bear in mind that some minor revisions of Agama 11 could be released in the following days to correct issues detected during the testing of SLES 16 Beta and openSUSE Leap 16 Alpha. We will update this blog post if any of those changes affect significantly any of the features listed below.

Agama can install Slowroll now​

Let's start welcoming a new member to the family of operating systems Agama can install. Thanks to WesFun now it is possible to select openSUSE Slowroll when using the Agama testing iso for openSUSE.

Keep the contributions coming!

Changes in the web interface​

Agama 11 also comes with a small reorganization of the workflow of the web interface. In previous versions, it was always necessary to visit the "Users" section to configure the root authentication and then go back to the "Overview" page in order to proceed with the installation. That happened because authentication is the only aspect of the system configuration for which Agama cannot infer any reasonable setup. You surely don't want Agama to choose a root password for you!

Starting with Agama 11, a screen to configure the root authentication is presented to the user right away after selecting the operating system to install.

After configuring the root password the user lands in the main Agama screen, where the general layout has been reorganized to ensure the "install" button is always accessible from all sections of the interface.

Additionally, the new install button can show a exclamation mark if there are issues preventing the installation and provides a summary of those issues pointing to the corresponding section that can be used to solve the situation.

The changes in the web interface go far beyond the new location of the install button. We encourage you to explore yourself to find all the small improvements!

Product registration​

As you all know, one of the main goals of Agama is to become the official installer for SUSE Linux Enterprise Server 16. The development of that operating system, and its sibling product SLES for SAP Application, is progressing nicely with some preliminary versions being already available to SUSE Partners.

Installing those systems requires the user to register in order to gain access to the repositories. Agama can detect whether registration is necessary and then offer a convenient user interface for the process, as seen below.

Of course, this feature is irrelevant for openSUSE users since the openSUSE repositories are fully public and they will always be.

License agreement​

Another difference between openSUSE and a corporate distribution like SLES is that users needs to explicitly accept a license agreement to use the latter. In the case of the Agama web interface, that means presenting the license as soon as possible in the process. Thus, the corresponding EULA must be accepted already when selecting any of the products that require to do so.

Of course, the screenshot above belongs to a SLES installation media and openSUSE users will not notice this new feature.

Allow remote usage of the command-line interface​

As convenient as an interactive installation with the web interface can be, you know that the command-line interface and the unattended installation process are also first-class citizen for Agama. Thus, they also received some love on this release.

Agama's CLI (command-line interface) offers an alternative way to control the installation process useful in various situations like installing in machines that cannot serve the web interface (eg. due to limited resources), using scripts and other automation techniques or simply when the user prefers good old terminal over graphical interfaces. Now Agama's CLI offers a new global parameter --api that allows to run the tool (and any script based on it) on a different machine from that being effectively installed. Bear in mind the new argument is still not honored by all Agama subcommands. Support for it will be extended on subsequent releases.

Scripting support in unattended installation​

Years of AutoYaST experience has taught us that, no matter how flexible an installer is, users of unattended installations always want to go further. And embedding scripting capabilities into the installer configuration has turned to be an awesome tool for that. So, similar to AutoYaST profiles, Agama configuration files now offer a "scripts" section. It makes possible to run scripts both before and after the installation process and also on the first boot of the new system.

Below you can see a Jsonnet configuration file for Agama including scripts. Note it would also work with plain JSON but, since that format does not support multi-line strings, each script would need to be provided as a long string with "\n" marking the end of each line (not so nice for a blog post 😉).

{
  scripts: {
    pre: [
      {
        name: "activate-multipath",
        body: |||
          #!/usr/bin/bash
          systemctl start multipathd.socket multipathd.service
        |||
      }
    ],
    post: [
      {
        name: "enable-sshd",
        chroot: true,
        body: |||
          #!/usr/bin/bash
          systemctl enable sshd.service
        |||
      }
    ],
    init: [
      {
        name: "run-ansible",
        url: "https://192.168.1.1/provisioning.sh"
      }
    ]
  }
}

For more details see the scripts section of the Agama documentation site.

Storage management for unattended installation​

The Agama configuration format offers a very convenient and powerful approach to configure the storage setup of the new system, way more consistent and concise that the corresponding <partitioning> section of the AutoYaST profile (which is still fully supported for migration purposes).

Agama 11 adds the possibility to define the physical volumes of an LVM volume group by simply specifying the disk (or disks) that will be used as a base for the LVM. Agama will take care of creating all the needed partitions, honoring any other aspect of the configuration in the process. Find a more detailed explanation with examples at the corresponding section of the Agama documentation.

On the other hand, now it is possible to specify TPM-based unlocking of the encrypted devices as part of the Agama storage configuration. Thus, users of unattended installation can also deploy fully encrypted systems based on TPMv2.

Automatic generation of documentation and shell completion​

A comprehensive and up-to-date documentation is key for a project like Agama, especially for users of the command-line interface and the HTTP API. And the best way to ensure the documentation is always in sync with the current version of Agama is to generate it automagically from the source code.

In the case of the CLI, the manual pages, its Markdown variant and also the files needed for shell completion are all generated from sources. You can see the always current result of the Markdown version at the corresponding section of the Agama web page.

The HTTP API is also automatically documented via an OpenAPI specification. This will help anyone interested in integrating Agama into any solution or infrastructure or even in creating its own client application for Agama, especially taking into account that the Agama HTTP is still not stable and changes on every release.

More changes under the hood​

As you can imagine, the above list of features is far for representing everything that has changed from Agama 10. As usual, the new version also includes many bug fixes and small improvements. And we took the opportunity to update to the latest version of the three programming languages used in Agama, including all used libraries.

We also gave some love to the Agama Live ISO. On the one hand, we revisited the list of included drivers, resulting in a smaller image that actually supports more hardware setups. On the other hand we tried to switch the graphical stack from X11 to Wayland. Although we didn't succeed due to technical problems related to Firefox's kiosk mode, we will keep trying (of course, any help is welcome).

Other Agama change that may not be obvious to all users is the introduction of some changes to ease the creation of automated integration test. That helps the openSUSE and SUSE QA teams in their invaluable effort to ensure a smoother experience to all users.

Just another step​

We are already working on the next version of Agama and your feedback may be useful to decide in which aspects we should focus. So do not hesitate to give Agama a try using our latest Live ISO images and to report bugs through Bugzilla. You can also contact us at the Agama project at GitHub. Of course, if you prefer to chat, you can find us as always at our #yast channel at Libera.chat.

And don't forget to have a lot of fun!

Tumbleweed es una distribución de GNU/Linux «Rolling Release» o de actualización contínua. Aquí puedes estar al tanto de las últimas novedades.

openSUSE Tumbleweed es la versión «rolling release» o de actualización continua de la distribución de GNU/Linux openSUSE.

Hagamos un repaso a las novedades que han llegado hasta los repositorios esta semana.

Y recuerda que puedes estar al tanto de las nuevas publicaciones de snapshots en esta web:

• https://victorhck.gitlab.io/tumbleweed_snapshots/

El anuncio original lo puedes leer en el blog de Dominique Leuenberger, publicado bajo licencia CC-by-sa, en este este enlace:

• https://dominique.leuenberger.net/blog/2025/01/tumbleweed-review-of-the-week-2025-04/

Semana repleta de actualizaciones, en 7 días se han publicado ¡8 snapshots!: 0116…0123:

Las actualizaciones más destacadas de estas semanas:

• Gimp 3.0 RC2: Los desarrolladores de openSUSE son conscientes del estado RC y del hecho de que algunos plugins no están portados a GIMP 3. Pero eso finalmente les permite eliminar Python 2 y les permite probarlo para que sea lo mejor posible para futuras versiones de Leap.
• gpg 2.5.3
• GNOME 47.3
• Samba 4.21.3
• SQLite 3.48.0
• util-linux 2.40.4
• Mozilla Firefox 134.0.1
• LLVM 19.1.7
• PHP 8.3.16
• RSync 3.4.1
• Coreutils 9.6
• Linux kernel 6.12.10 & 6.13.0
• libxml 2.13.5

Pero hay mucho más que se está preparando

• Eliminar nscd
• Mesa 24.3.4
• Wine 10.0
• Systemd 257
• Timezone 2025a:
• Eliminación de Python
• RPM 4.20
• KDE Plasma 6.3

Si quieres estar a la última con software actualizado y probado utiliza openSUSE Tumbleweed la opción rolling release de la distribución de GNU/Linux openSUSE.

Mantente actualizado y ya sabes: Have a lot of fun!!

Enlaces de interés

• ¿Por qué deberías utilizar openSUSE Tumbleweed?
• zypper dup en Tumbleweed hace todo el trabajo al actualizar
• ¿Cual es el mejor comando para actualizar Tumbleweed?
• ¿Qué es el test openQA?
• http://download.opensuse.org/tumbleweed/iso/
• https://es.opensuse.org/Portal:Tumbleweed

——————————–

Dear Tumbleweed users and hackers,

This week was filled with snapshots – in just 7 days, we have published 8 snapshots; ok, there is just the co-incidence that the snapshot that was in QA from Thursday to Friday finished much quicker this week than last week – so we ended up having the latest one already on the mirrors at the time of my writing. We have not (yet) invented the time compression machine to publish more snapshots in a week. But honestly, I also don’t think anybody would care for more snapshots. Let alone: the numbering scheme does not support more than one snapshot ‘built’ per day (in rare cases, QA can be speedy and we had seen 2 snapshots syncing out on the same day).

Now, the curious one doesn’t care about the number of snapshots, but rather what changes those snapshots contained. Here are the changes delivered in the snapshot 0116…0123:

• Gimp 3.0 RC2: we are aware of the rc state, and the fact that some plugins are not ported to gimp 3. But that finally allows us to eliminate Python 2 and allows you to test it to make it as good as possible for future Leap versions.
• gpg 2.5.3
• GNOME 47.3
• Samba 4.21.3
• SQLite 3.48.0
• util-linux 2.40.4
• Mozilla Firefox 134.0.1
• LLVM 19.1.7
• PHP 8.3.16
• RSync 3.4.1
• Coreutils 9.6
• Linux kernel 6.12.10 & 6.13.0
• libxml 2.13.5

That’s quite an impressive list for just one week. Let’s look into the future and see what is planned to come:

• Removal of nscd
• Mesa 24.3.4
• Wine 10.0
• Systemd 257
• Timezone 2025a: breaks test suite of PostgreSQL
• Removal of Python 2 – It was nice as long as it lasted, but now it’s over (and we’re amazed at how many wrong dependencies we detected just the last few days)
• RPM 4.20
• KDE Plasma 6.3: beta 2 is currently staged, but that’s merely to detect errors early and allow shipping swiftly after the release
• Change of default LSM from AppArmor to SELinux is progressing, status is tracked at https://bugzilla.opensuse.org/show_bug.cgi?id=1230118.

Mientras preparo la entrada recopilatoria del 2024 esta es la primera entrega del año de la iniciativa #viernesdeescritorio. Bienvenidos a mi escritorio Plasma de enero 2025, realizado sobre mi portátil Slimbook Pro, con el que llegamos a las 56 entregas compartiendo «Mi escritorio» de forma mensual.

Mi escritorio Plasma de enero 2025 #viernesdeescritorio

Esta va a ser la quincuagésimosexta (56 para los que nos cuesta leer esto) vez que muestro mi escritorio Plasma 6 en público, lo cual es número nada desdeñable de entradas que sigue creciendo de forma constante.

Y en esta ocasión lo realizo sobre mi Slimbook Pro, el cual tiene instalado un KDE Neon con Plasma 6.2.0, sobre una versión de KDE Frameworks 6.6 y una versión de Qt 6.7.2 El servidor gráfico es Wayland y el Kernel es 6.8.0-49-generic (64 bits). Sí, en cuanto pueda debo hacer una gran actualización de este equipo.

Respecto al mes pasado he realizado algunos cambios para optimizar mi uso, aunque sigo con el tema global básico Brisa Oscuro, con los iconos Deepin2022-Dark, he cambiado la barra de actividades de la derecha a la izquierda ya que es más cómodo a la hora de utilizar las barras de desplazamiento.

He puesto el reloj-calendario Cock Asitoki Color de Zayronoxio, que le queda de fábula sobre un fondo muy «Gandalf llegando a la Comarca buscando a Frodo»

El resultado de mi escritorio Plasma de enero de 2025 es un entorno de trabajo oscuro y, como siempre, funcional que podéis ver en la imagen inferior (pinchad sobre ella para verlo un poco más grande).

La entrada Mi escritorio Plasma de enero 2025 #viernesdeescritorio se publicó primero en KDE Blog.

Table of Contents

• 1) Introduction
• 2) Authentication Bypass Issue
• 3) Reproducers
  • D-Bus Method without Polkit
  • D-Bus method using Polkit
• 4) Affected D-Bus Interfaces
• 5) Suggested Bugfix
  • a) Dropping Privileges
  • b) Reimplementing Authentication Checks
  • c) Implementing Legacy Interfaces in the Affected Services
• 6) Upstream Bugfix
• 7) Possible Workarounds
• 8) CVE Assignment
• 9) Timeline
• 10) References

1) Introduction

We received a review request for the Deepin api-proxy D-Bus service which is part of the Deepin desktop environment. During the review we discovered a major authentication flaw in the design of this D-Bus service which allows local users to escalate privileges in various ways.

We reported this issue privately to Deepin security in December and did not receive a reply for a month. As we were preparing for publication, upstream became alive and quickly released a bugfix which is, sadly, still incomplete.

This report is based on dde-api-proxy version 1.0.17. The findings still apply to release 1.0.18. Upstream has attempted to fix these findings in release 1.0.19, but the bugfix is insufficient as outlined in section 6).

2) Authentication Bypass Issue

Dde-api-proxy runs as root and provides various D-Bus services on the D-Bus system bus. It sticks out since it ships a lot of D-Bus configuration files but only little code. The reason for this is that the service only forwards D-Bus requests between its clients and the actual Deepin D-Bus services. We believe this is for backward compatibility due to changes in Deepin D-Bus interface names, alas the component’s GitHub repository provides little insight into its purpose.

During startup the proxy service proactively registers the requested legacy D-Bus interface and creates a connection to the actual Deepin D-Bus service, to which messages will be forwarded to. When a client sends a message to one of the legacy service names, the proxy synchronously forwards the message (see handleMessage()) via its existing connection and returns the reply to the client.

This rather straightforward approach of proxying D-Bus messages has a major security flaw, however:

• the proxy runs as root.
• the proxy forwards messages from arbitrary local users to the actual D-Bus services without any authentication requirements.
• the actual D-Bus services don’t know about the proxy situation, they believe that root is asking them to perform operations.

Consequently with the help of dde-api-proxy, legacy D-Bus methods that normally wouldn’t be accessible to non-root users will become accessible without authentication.

3) Reproducers

D-Bus Method without Polkit

Following is a simple demonstration of the issue based on the Deepin Grub2 service. This service simply checks the UID of the D-Bus client for authentication of privileged operations. In the first command shown below the actual D-Bus service name is used, and the service rejects the operation, because the caller is not privileged:

user$ gdbus call -y -d org.deepin.dde.Grub2 \
    -o /org/deepin/dde/Grub2 -m org.deepin.dde.Grub2.SetTimeout 100
Error: GDBus.Error:org.deepin.dde.DBus.Error.Unnamed: not allow :1.167 call this method

In the next command the legacy D-Bus service name is used, and this time the target service performs the operation, because it believes the request originates from a privileged UID 0 client (dde-api-proxy):

user$ gdbus call -y  -d com.deepin.daemon.Grub2 \
    -o /com/deepin/daemon/Grub2 -m com.deepin.daemon.Grub2.SetTimeout 10
()

D-Bus method using Polkit

In the previous example Polkit authentication was not involved. When it is involved then the caller is treated as “admin”, resulting in a similar escalation of privileges. We found a suitable example using Polkit in the Deepin accounts service. This service offers a large range of system operations, among them the possibility to add users to groups. It checks the authorization of the “org.deepin.dde.accounts.user-administration” Polkit action, which is by default only allowed for users in a local session if they provide admin credentials.

The following gdbus call attempts to add the unprivileged user with UID 1000 to the root group. The call only works this way when it runs from within a (Deepin) graphical session. The actual accounts service interface is invoked here, thus the operation fails (it would require entering a root password).

user$ gdbus call -y -d org.deepin.dde.Accounts1 -o /org/deepin/dde/Accounts1/User1000 \
    -m org.deepin.dde.Accounts1.User.AddGroup root
Error: GDBus.Error:org.deepin.dde.DBus.Error.Unnamed: Policykit authentication failed

When switching to the legacy accounts service interface offered by dde-api-proxy, the operation succeeds without any authentication request, because the accounts service again believes root with UID 0 is the client asking for this:

user$ gdbus call -y -d com.deepin.daemon.Accounts -o /com/deepin/daemon/Accounts/User1000 \
    -m com.deepin.daemon.Accounts.User.AddGroup root
()

4) Affected D-Bus Interfaces

We did not look into all the privileged D-Bus methods that become available to unauthenticated local users via dde-api-proxy. On some of the proxied interfaces only a certain set of “filtered methods” is allowed to be invoked. The rest of the interfaces don’t put restrictions on the methods invoked, though. On first look, interesting attack surface seems to be found in the following D-Bus interfaces offered by dde-api-proxy:

• Accounts services (no method filter list)
• network proxy settings (no method filter list)
• PasswdConf1 WriteConfig method
• Lastore service (Apt backend, no method filter list)
• Lastore manager install package method

5) Suggested Bugfix

The authentication bypass is deeply rooted in the design of dde-api-proxy, thus fixing it is difficult. Possible approaches to addressing it are presented in the following sub-sections.

a) Dropping Privileges

The proxy could temporarily drop privileges to the unprivileged caller’s credentials, create a new D-Bus connection and forward the message to the proper service. This still won’t work properly if the D-Bus service in question is using Polkit for authentication, because Polkit differentiates whether the caller is in an active session or not. The D-Bus proxy service will never be in a session, though. This means that authentication requirements could be stronger than necessary. At least this approach would be safer than what currently happens.

b) Reimplementing Authentication Checks

The proxy could implement all necessary authentication checks on its own. This would result in the proper authentication being performed, but would lead to duplication of a lot of code. It would also add the danger that the authentication requirements of the proxy service and the actual service get out of sync.

c) Implementing Legacy Interfaces in the Affected Services

Finally dde-api-proxy could be dropped completely and the backward compatibility could be implemented in every one of the affected services. This is a less generic approach than what dde-api-proxy attempts to achieve, of course.

6) Upstream Bugfix

After a longer period of silence, upstream unexpectedly replied to our report and a short embargo period was established until a bugfix was published on January 17. The bugfix is found in upstream commit 95b50dd which made its way into release 1.0.19.

For the bugfix upstream went in the direction of our suggestion outlined in section 5.b), by implementing redundant Polkit authorization checks in the proxy service. A list of sensitive D-Bus methods offered by the proxy is now maintained in the source code. All of these methods are protected by a single, newly introduced Polkit action “org.deepin.dde.api.proxy” which requires admin authentication.

The bugfix introduces a new problem, though. The Polkit authorization check is implemented as follows:

bool checkAuthorization(const QString &actionId, const QString &service,const QDBusConnection &connection) const
{
    auto pid = connection.interface()->servicePid(service).value();
    auto authority = PolkitQt1::Authority::instance();
    auto result = authority->checkAuthorizationSync(actionId,
                                                    PolkitQt1::UnixProcessSubject(pid),
                                                    PolkitQt1::Authority::AllowUserInteraction);
    /* snip */
}

This code forwards the client’s process ID (PID) to the Polkit service for authentication. This way of using the Polkit UnixProcessSubject has been deprecated for a long time, because it is subject to a race condition that allows to bypass such authorization checks. This issue was discovered in 2013 by former SUSE security engineer Sebastian Krahmer, and was assigned CVE-2013-4288.

Upstream did not share the bugfix with us before publication, thus we were not able to prevent this incomplete bugfix. It should be possible to amend the incomplete bugfix by switching to the SystemBusName subject for authentication.

Even with an improved fix we believe this approach is not ideal, since it requires proper maintenance of all the proxied methods by upstream. If new methods are added at a later time, security issues could sneak in again. Also the newly introduced Polkit action makes the proxy service less transparent and could hamper the user experience. There is no more fine-grained control over the authentication requirements of individual D-Bus methods, and the authentication message for all of these proxied D-Bus methods is generic and unhelpful for end users.

7) Possible Workarounds

We don’t see any viable ways to work around this issue, except for removing dde-api-proxy from the system.

8) CVE Assignment

This finding is a bigger design issue in dde-api-proxy that allows for a local root (group) exploit and likely more similar attack vectors. We decided to request a CVE from Mitre to make the community aware of the issue. Mitre assigned CVE-2025-23222 to track this issue.

Formally another CVE would need to be assigned for the new security issue introduced by the incomplete bugfix described in section 6), but we refrained from doing so at this time.

9) Timeline

10) References

• Deepin Website
• dde-api-proxy GitHub repository
• Incomplete bugfix commit
• Release 1.0.19 containing incomplete bugfix

Los desarrolladores de la Comunidad KDE dieron un gran salto tecnológico que promete llevar a cotas superiores la excelencia de los productos KDE. Fruto de este movimiento se fue lanzamiento colectivo de Plasma 6, KDE Frameworks 6 y KDE Gear 24.02 el pasado 28 de febrero de 2024. El tiempo pasa y las grandes mejoras ya se están materializando, pero para ello se deben sacar de producción para llevarlas a la fase de testeo. Este jueves ha sido lanzada la segunda beta de plasma 6.3. Así que, para los que disfruten de probar cosas nuevas es el momento de testear esta versión y reportar los errores que se encuentren. ¡No pierdas la oportunidad de contribuir al desarrollo de Plasma!

Lanzada la segunda beta de Plasma 6.3

Tras los habituales meses de vida, Plasma 6.2 empieza ver languidecer su reinado. Es el momento de probar la versión de escritorio que la va a sustituir. En otras palabras, llega Plasma 6.3 y estas son algunas de sus mejoras extraídas de 9to5linux.

• Posibilidad de clonar un panel.
• Posibilidad de establecer atajos de teclado para mover ventanas entre zonas de mosaicos de Custom Tiling en función de la direccionalidad.
• Soporte para recordar el escritorio virtual activo por actividad.
• Página renovada de la tableta gráfica en la configuración del sistema.
• Opción de preferir la precisión del color de la pantalla en KWin.
• Notificaciones de batería baja para auriculares inalámbricos que expongan adecuadamente la información de la batería.
• Nueva configuración el touchpad para que se desactive automáticamente al conectar un ratón.
• Mejor escalado fraccional para todos.
• Los widgets colocados en el escritorio sean ligeramente translúcidos.
• Asignación una contraseña aleatoria por defecto al punto de acceso a la red.
• Nuevo servicio para detectar y avisar a los usuarios con una notificación explicando lo que ocurre cuando el sistema se queda sin memoria y el kernel termina una aplicación.
• Plasma Discover ha sido actualizado para mostrar a los usuarios cuando las aplicaciones han sido empaquetadas directamente por su desarrollador o verificadas por un tercero de confianza.
• Mayor precisión el progreso de la instalación.

• Indicador de agrupación en el widget Administrador de tareas ahora sigue el color de acento actual.
• Los iconos simbólicos apropiados ahora serán sustituidos automáticamente por iconos de aplicaciones en el área de la bandeja del sistema.
• La aplicación Centro de información ahora mostrará todas tus GPUs y el recuento de ciclos de la batería de tu portátil.
• Posibilidad de intercambiar las funciones de los botones del lápiz de la tableta de dibujo.
• Se podrá mostrar la cola de impresión de cada impresora en línea y un spinner ocupado para cualquier impresora que esté imprimiendo en ese momento en el widget Impresoras.
• Se notificará a los usuarios en la pantalla de cierre de sesión cuando reinicien su sistema en el menú del gestor de arranque.
• Eliminado la categoría de menú «Configuración» del lanzador de aplicaciones Kickoff y todo su contenido se ha trasladado a la categoría «Sistema».
• Posibilidad de desactivar temporalmente las reglas de ventana de KWin en lugar de eliminarlas.

Más información: KDE

Pruébalo y reporta errores

Todas las tareas dentro del mundo del Software Libre son importantes: desarrollar, traducir, empaquetar, diseñar, promocionar, etc. Pero hay una que se suele pasar por alto y de la que solo nos acordamos cuando las cosas no nos funcionan como debería: buscar errores.

Desde el blog te animo a que tú seas una de las personas responsables del éxito del nuevo lanzamiento de Plasma 6.3 de la Comunidad KDE. Para ello debes participar en la tarea de buscar y reportar errores, algo básico para que los desarrolladores los solucionen para que el despegue del escritorio esté bien pulido. Debéis pensar que en muchas ocasiones los errores existen porque no le han aparecido al grupo de desarrolladores ya que no se han dado las circunstancias para que lo hagan.

Para ello debes instalarte esta beta y comunicar los errores que salgan en bugs.kde.org, tal y como expliqué en su día en esta entrada del blog.

La entrada Lanzada la segundaa beta de Plasma 6.3 se publicó primero en KDE Blog.

Los desarrolladores de la Comunidad KDE dieron un gran salto tecnológico que promete llevar a cotas superiores la excelencia de los productos KDE. Fruto de este movimiento se fue lanzamiento colectivo de Plasma 6, KDE Frameworks 6 y KDE Gear 24.02 el pasado 28 de febrero de 2024. El tiempo pasa y las grandes mejoras ya se están materializando, pero para ello se deben sacar de producción para llevarlas a la fase de testeo. Este jueves ha sido lanzada la segunda beta de plasma 6.3. Así que, para los que disfruten de probar cosas nuevas es el momento de testear esta versión y reportar los errores que se encuentren. ¡No pierdas la oportunidad de contribuir al desarrollo de Plasma!

Lanzada la segunda beta de Plasma 6.3

Tras los habituales meses de vida, Plasma 6.2 empieza ver languidecer su reinado. Es el momento de probar la versión de escritorio que la va a sustituir. En otras palabras, llega Plasma 6.3 y estas son algunas de sus mejoras extraídas de 9to5linux.

• Posibilidad de clonar un panel.
• Posibilidad de establecer atajos de teclado para mover ventanas entre zonas de mosaicos de Custom Tiling en función de la direccionalidad.
• Soporte para recordar el escritorio virtual activo por actividad.
• Página renovada de la tableta gráfica en la configuración del sistema.
• Opción de preferir la precisión del color de la pantalla en KWin.
• Notificaciones de batería baja para auriculares inalámbricos que expongan adecuadamente la información de la batería.
• Nueva configuración el touchpad para que se desactive automáticamente al conectar un ratón.
• Mejor escalado fraccional para todos.
• Los widgets colocados en el escritorio sean ligeramente translúcidos.
• Asignación una contraseña aleatoria por defecto al punto de acceso a la red.
• Nuevo servicio para detectar y avisar a los usuarios con una notificación explicando lo que ocurre cuando el sistema se queda sin memoria y el kernel termina una aplicación.
• Plasma Discover ha sido actualizado para mostrar a los usuarios cuando las aplicaciones han sido empaquetadas directamente por su desarrollador o verificadas por un tercero de confianza.
• Mayor precisión el progreso de la instalación.

• Indicador de agrupación en el widget Administrador de tareas ahora sigue el color de acento actual.
• Los iconos simbólicos apropiados ahora serán sustituidos automáticamente por iconos de aplicaciones en el área de la bandeja del sistema.
• La aplicación Centro de información ahora mostrará todas tus GPUs y el recuento de ciclos de la batería de tu portátil.
• Posibilidad de intercambiar las funciones de los botones del lápiz de la tableta de dibujo.
• Se podrá mostrar la cola de impresión de cada impresora en línea y un spinner ocupado para cualquier impresora que esté imprimiendo en ese momento en el widget Impresoras.
• Se notificará a los usuarios en la pantalla de cierre de sesión cuando reinicien su sistema en el menú del gestor de arranque.
• Eliminado la categoría de menú «Configuración» del lanzador de aplicaciones Kickoff y todo su contenido se ha trasladado a la categoría «Sistema».
• Posibilidad de desactivar temporalmente las reglas de ventana de KWin en lugar de eliminarlas.

Más información: KDE

Pruébalo y reporta errores

Todas las tareas dentro del mundo del Software Libre son importantes: desarrollar, traducir, empaquetar, diseñar, promocionar, etc. Pero hay una que se suele pasar por alto y de la que solo nos acordamos cuando las cosas no nos funcionan como debería: buscar errores.

Desde el blog te animo a que tú seas una de las personas responsables del éxito del nuevo lanzamiento de Plasma 6.3 de la Comunidad KDE. Para ello debes participar en la tarea de buscar y reportar errores, algo básico para que los desarrolladores los solucionen para que el despegue del escritorio esté bien pulido. Debéis pensar que en muchas ocasiones los errores existen porque no le han aparecido al grupo de desarrolladores ya que no se han dado las circunstancias para que lo hagan.

Para ello debes instalarte esta beta y comunicar los errores que salgan en bugs.kde.org, tal y como expliqué en su día en esta entrada del blog.

La entrada Lanzada la segunda beta de Plasma 6.3 se publicó primero en KDE Blog.

The call for papers for openSUSE Conference 2025 is open.

The conference is scheduled to take place June 26 to 28 in Nuremberg, Germany.

Until April 30, people can submit proposals for a talk or workshop to share insights and their expertise.

People have 97 days to submit a talk for the conference and are encouraged to submit talks based on the following length and topics:

Presentations can be submitted for the following length of time:

• Lightning Talk (10 mins)
• Short Talk (30 mins)
• Virtual Talk (30 mins)
• Long Talk (45 mins)
• Workshop (1 hour)

The following tracks are listed for the conference:

• Cloud and Containers
• Community
• Embedded Systems and Edge Computing
• New Technologies
• Open Source
• openSUSE
• Open Source for Business: Beyond Code into Sustainability Track

Volunteers who would like to help the with the organization of the conference are encouraged to email ddemaio@opensuse.org or attend a weekly community meetings.

Conferences need sponsors to support community driven events to keep events free and open to new contributing members. Companies can find sponsorship information or donate to the Geeko Foundation to assist with funds that will go toward the conference.