Hoy me complace compartir con vosotros un nuevo episodio de Compilando Podcast, que ha vuelto con fuerza en forma de episodios tipo píldora muy instructivos. En esta ocasión se trata del episodio 63 que lleva por título «La impresora de Stallman» donde Paco nos cuenta la historia que inició el Software Libre.

La impresora de Stallman en Compilando Podcast

En palabras del gran Paco Estrada, extraídas de la nueva web de Compilando Podcast y que sirven de introducción del episodio 63:

Todo comenzó con una impresora que se atascaba… y un hacker que no aceptaba los límites del código cerrado.
En este episodio de Compilando Podcast recordamos los más de cuarenta años del proyecto GNU y la figura de Richard Stallman, el impulsor del Software Libre y su filosofía ética y técnica.
Repasamos cómo una simple anécdota en el MIT dio origen a un movimiento que cambió para siempre la historia de la informática.

Música: https://incompetech.filmmusic.io/ by Kevin McLeod y musopen.org

Licencia : Creative Commons (CC BY-NC-SA)

Más información: Compilando Podcast

¿Qué es Compilando Podcast?

Dentro del mundo de los audios de Software Libre, que los hay muchos y de calidad, destaca uno por la profesionalidad de la voz que lo lleva, el gran Paco Estrada, y por el mimo con el que está hecho. No es por nada que ganó el Open Awards’18 al mejor medio, un reconocimiento al trabajo realizado por la promoción .

A modo de resumen, Compilando Podcast es un proyecto personal de su locutor Paco Estrada que aúna sus pasiones y que además, nos ofrece una voz prodigiosa y una dicción perfecta.

La entrada La impresora de Stallman en Compilando Podcast se publicó primero en KDE Blog.

Es increíble el trabajo de promoción que está realizando Nate en su blog, desde hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Escritorios virtuales solo en la pantalla principal – Esta semana en Plasma – Esta semana en Plasma«. Espero que os guste.

Escritorios virtuales solo en la pantalla principal – Esta semana en Plasma

Nota: artículo original en Blogs KDE. Traducción realizada utilizando Perplexity. Esta entrada está llena de novedades de la Comunidad KDE. Mis comentarios están entre corchetes.

Novedades destacadas

Plasma 6.6.0

El widget de Redes ahora tiene un pequeño botón que puedes pulsar para conectarte a una red mediante un código QR, utilizando la aplicación auxiliar Qrca. (Kai Uwe Broulik, enlace) [hacer las cosas simples ayuda mucho a difundir el escritorio].

El sistema de informes de fallos DrKonqi ahora detecta también los fallos de aplicaciones que no son de KDE y te invita a informarlos a su desarrollador o a tu distribución. (Harald Sitter, enlace) [Gran avance para limar asperezas].

Mejoras en la interfaz de usuario

Plasma 6.5.3

Se ha añadido soporte para la etiqueta MHC2 en los perfiles ICC, que es una etiqueta no estándar utilizada en Windows, pero sin soporte para ella, los perfiles usados en Windows no producirán efectos de color idénticos cuando se usen en KWin. (Xaver Hugl, enlace) [No uso perfiles, ese concepto me viene un poco grande].

Plasma 6.6.0

Los colores seleccionados con el selector de color ahora reflejan los valores RGB en bruto del color, en lugar de una versión teñida que podría verse afectada por el efecto Luz Nocturna o el uso de un perfil ICC. (Błażej Szczygieł, enlace) [Detalle sutil pero importante].

Las aplicaciones GTK con tema Breeze ahora tienen un poco de espacio extra a ambos lados de sus barras de herramientas para evitar que los elementos iniciales y finales toquen los bordes de la ventana, y algunas líneas negras feas se han convertido en líneas de color más agradable y apropiado. (Kevin Duan, enlace 1 y enlace 2)

La página de Escritorio Remoto en Configuración del sistema ahora muestra cualquier error en línea, para que no tengas que buscar en el registro del sistema y preguntarte por qué no funciona. (Akseli Lahtinen, enlace) [Uno de los puntos fuertes del SL, la gestión de errores, simplificado. ¡Bravo!].

Los efectos de esquinas activas ahora se activan en todas las pantallas, en lugar de solo en la esquina de una pantalla. Esto puede desactivarse si no te gusta. (Yiqun Lian, enlace)

Corrección de errores importantes

Plasma 6.5.2

Se corrigió una regresión que rompía la función de agregar un nuevo widget haciendo clic sobre él, en lugar de arrastrarlo a alguna parte. (Nicolas Fella, enlace)

El texto en la parte inferior del mapa del selector de zona horaria ahora es traducible, y pronto debería comenzar a traducirse a idiomas distintos del inglés. (Nicolas Fella, enlace)

La casilla de selección para los elementos de la cuadrícula de presentación de fondos de pantalla ya no se superpone con el icono de “Tengo versiones claras y oscuras disponibles” en la esquina. (Adam S., enlace)

Se corrigió un problema que hacía que algunos elementos de la barra de herramientas en la aplicación Visor de fuentes fueran invisibles. (Kai Uwe Broulik, enlace)

Se solucionó un problema que podía hacer que el texto mostrado por los efectos “Mostrar Compositing” y “FPS” apareciera fuera de pantalla con ciertas configuraciones de múltiples monitores. (Pavel Duong, enlace)

Plasma 6.5.3

Se corrigió un caso en el que Plasma podía bloquearse al eliminar widgets o paneles. (Marco Martin, enlace)

Se corrigió un caso en el que Discover podía bloquearse al instalar una aplicación Flatpak. (Aleix Pol Gonzalez, enlace)

Se corrigió una regresión extraña que impedía colocar íconos en escritorios de pantallas que no tenían paneles. (Marco Martin, enlace)

Se corrigió una regresión que hacía que las ventanas inactivas se activaran si pasabas el cursor sobre algo que mostraba una información emergente. (Xaver Hugl, enlace)

Se corrigió un problema que podía dar a las pantallas en modo HDR un tinte verdoso inesperado al usar la función Luz Nocturna. (Xaver Hugl, enlace)

Cerrar la tapa de un portátil cuya pantalla ya estaba desactivada ya no desplaza a veces la disposición de las pantallas externas. (Méven Car, enlace)

Se corrigió un fallo visual en las capturas de pantalla en modo “Ventana Activa” que hacía que los bordes de las ventanas se vieran un poco extraños al usar un factor de escala fraccional. (Xaver Hugl, enlace)

Plasma 6.6.0

Se corrigieron algunos casos más en los que los iconos del escritorio podían desplazarse, esta vez como respuesta a cambios en la resolución y disposición de la pantalla. (Błażej Szczygieł, enlace)

Se añadió otra página al asistente de calibración HDR para determinar la luminancia promedio máxima en pantalla completa. (Xaver Hugl, enlace)

Se aclaró una etiqueta poco clara en el diálogo de autenticación de OpenConnect VPN. (Philipp Kiemle, enlace)

Frameworks 6.20

Se corrigió un caso donde el reporte de fallos DrKonqi podía bloquearse al hacer clic en el botón “Detalles” de una notificación sobre otro fallo. (David Edmundson, enlace)

Se corrigió un caso donde eliminar un archivo en una unidad NFS lo movía a la papelera local (lo cual puede ser muy lento dependiendo de la red) en lugar de a la papelera remota. (Oliver Schramm, enlace)

Se corrigió una regresión que podía hacer que Discover te solicitara enviar comentarios cada vez que lo iniciabas. (Nicolas Fella, enlace)

Electron 40

Se corrigió un error que provocaba que todos los iconos de la bandeja del sistema de aplicaciones basadas en Electron tuvieran el mismo ID, lo que significaba que cambiar la configuración de visibilidad del icono de una de ellas la cambiaba para todas. (Damglador, enlace) [La Comunidad KDE no solo mejora el Software KDE].

Otra información de errores destacables:

• 4 errores Plasma de muy alta prioridad (igual que la semana pasada). Lista actual de errores
• 35 fallos de Plasma de 15 minutos (5 más que la semana pasada). Lista actual de fallos

Mejoras de rendimiento y aspectos técnicos

Plasma 6.5.2

Se corrigió una fuente de uso elevado de CPU en la pantalla de inicio de sesión de SDDM. (Kai Uwe Broulik, enlace)

Plasma 6.5.3

Se mejoró la robustez de KWin ante un problema gráfico que podía hacer que la pantalla quedara en negro después de que el sistema muestra la pantalla de inicio de Plymouth, pero antes de llegar a la pantalla de inicio de sesión SDDM. (Xaver Hugl, enlace)

Se corrigió una fuente de uso elevado de CPU en el diálogo de fondos de pantalla y la página correspondiente en Configuración del sistema de Plasma. (Vlad Zahorodnii, enlace)

Se mejoró la suavidad visual al cambiar modos en configuraciones multi-monitor con pantallas capaces de VRR. (Hongfei Shang, enlace)

Plasma 6.6.0

[Se redujo el uso de memoria de Plasma en más de 100 MiB al ser más eficiente descargando imágenes de fondo de pantalla que ya no se necesitan. Esto tuvo el efecto secundario de imposibilitar el uso de fondos en mosaico con el nuevo sistema por razones técnicas, por lo que los fondos en mosaico se han reintroducido en forma de un nuevo complemento de fondo de pantalla “Mosaico”, para que aún puedas disfrutar de tu fondo de pantalla favorito de KDE 1 nariz(https://github.com/KDE/kde1-kdebase/blob/master/pics/wallpapers/face.jpg).] (Vlad Zahorodnii, enlace 1 y enlace 2)

Se mejoró la robustez de las operaciones de arrastrar y soltar entre ventanas que usan XWayland y ventanas nativas de Wayland. (Vlad Zahorodnii, enlace)

Ya no se puede congelar brevemente la interfaz al activar o desactivar Bluetooth. (Kai Uwe Broulik, enlace)

La actividad actual ahora se guarda en el archivo de estado, no en el archivo de configuración. (Nicolas Fella, enlace)

Cómo puedes ayudar

¡Donad a la recaudación de fondos de 2025 de KDE! Realmente marca una gran diferencia.

Si andáis mal de dinero, podéis ayudar a KDE convirtiéndoos en un miembro activo de la comunidad e involucrándoos de alguna manera. Cada colaborador marca una enorme diferencia en KDE — ¡no sois un número ni un engranaje en una máquina! Tampoco es necesario que seáis programadores; también existen muchas otras oportunidades.

No tienes que ser programador. Existen muchas otras oportunidades:

• Clasificar y confirmar informes de errores, tal vez incluso identificar su causa raíz.
• Contribuir al diseño de fondos de pantalla, iconos e interfaces de aplicaciones.
• Diseñar y mantener sitios web
• Traducir elementos de texto de la interfaz de usuario a su propio idioma.
• Promover KDE en su comunidad local
• …¡Y un montón de cosas más!

Para obtener una nueva característica de Plasma o una corrección de errores mencionada aquí, siéntase libre de enviar un commit a la solicitud de fusión correspondiente en invent.kde.org.

La entrada Escritorios virtuales solo en la pantalla principal – Esta semana en Plasma se publicó primero en KDE Blog.

Tumbleweed es una distribución de GNU/Linux «Rolling Release» o de actualización contínua. Aquí puedes estar al tanto de las últimas novedades.

openSUSE Tumbleweed es la versión «rolling release» o de actualización continua de la distribución de GNU/Linux openSUSE.

Hagamos un repaso a las novedades que han llegado hasta los repositorios esta semana.

Y recuerda que puedes estar al tanto de las nuevas publicaciones de snapshots en esta web:

• https://victorhck.gitlab.io/tumbleweed_snapshots/

El anuncio original lo puedes leer en el blog de Dominique Leuenberger, publicado bajo licencia CC-by-sa, en este este enlace:

• https://dominique.leuenberger.net/blog/2025/11/tumbleweed-review-of-the-week-2025-45/

Esta semana ha sido muy escasa en publicaciones de instantáneas de Tumbleweed, al menos en lo que respecta a las publicadas. Desde la última revisión, solo se enviaron dos instantáneas y 5 más se pasaron a openQA para su prueba y se descartaron.

El cambio principal (se publicará en la próxima instantánea) es el cambio a grub2-bls en sistemas basados en UEFI. El cambio técnico en sí estuvo bien por un tiempo, pero tomó un tiempo tener una buena idea de los resultados de openQA, sin enmascarar otros errores detrás del paso ‘bootloader no se ve como se esperaba’.

Las actualizaciones más destacadas de esta semana:

• Mozilla Firefox 144.0.2
• ImageMagick 7.1.2.8
• pam-mount 2.22
• Mesa 25.2.6
• Linux kernel 6.17.6

Y para próximas snapshots, ya se están preparando las siguientes actualizaciones:

• GRUB2-BLS como el gestor de arranque predeterminado seleccionado por el instalador en sistemas basados en UEFI. Esto solo afectará a las nuevas instalaciones. No se planea una migración automática de grub2-efi a grub2-bls
• Linux kernel 6.17.7
• KDE Plasma 6.5.2
• Qt5 5.15.18
• openSSH 10.2p1
• LXQt 2.3.0
• transactional-update 5.5.0
• openSSL 3.6.0
• seguridad del kernel: prevenir que los usuarios normalre puedan ver dmesg

Si quieres estar a la última con software actualizado y probado utiliza openSUSE Tumbleweed la opción rolling release de la distribución de GNU/Linux openSUSE.

Mantente actualizado y ya sabes: Have a lot of fun!!

Enlaces de interés

• ¿Por qué deberías utilizar openSUSE Tumbleweed?
• zypper dup en Tumbleweed hace todo el trabajo al actualizar
• ¿Cual es el mejor comando para actualizar Tumbleweed?
• ¿Qué es el test openQA?
• http://download.opensuse.org/tumbleweed/iso/
• https://es.opensuse.org/Portal:Tumbleweed

——————————–

Lo prometido es deuda y la sigo pagando. Dije que hablaría más a fondo de mi experiencia con la Comunidad Wikimedia España y ya empecé a hacerlo hace unos días. Bienvenidos a la mis recuerdos de la Jornada vespertina parte 1 de las XI Jornadas Anuales de Wikimedia España en València, un intenso 4 de octubre que comenzó de menos a más.

Jornada vespertina parte 1 de las XI Jornadas Anuales de Wikimedia España

Nota: si quieres leer la primera parte del artículo este es el enlace.

Tras la comida me dirigí a la sala Didáctica donde se concentraban las charlas que más me interesaban (una lástima no poder asistir a todas) separándome de mi amigo Santiago Navarro y de mi compañera de la UNED.

En dicha sala exponía Jorge Sanz, miembro de la Fundación OSGeo y Geoinquietos y colaborador en OpenStreetMap y Carmen Diez, Geochica en OpenStreetMap y miembro de OSGeo, Geoinquietos y QGIS España, con una charla que me encantó ya que toca dos temas candentes en mi vida «Un mapa para todos: breve introducción a OpenStreetMap y el proyecto Las Calles de las Mujeres«. Soy un forofo de la geolocalización y estoy 100% concienciado en que debemos dar visibilidad al sexo femenino en todos los ámbitos de nuestra vida.

Mientras asisto a las charlas voy perfilando la mía y doy indicaciones a mi compañera Marelisa dónde localizarme.

La siguiente charla fue Visibilizando el dominio público colombiano en Wikidata por David Ramírez-Ordóñez, socio de Wikimedia España, investigador de la Fundación Conector, y estudiante de doctorado en la Universitat Oberta de Catalunya. Una interesante reflexión como el conocimiento libre debe visualizarse y como se puede trabajar con ella. Más tarde compartiré con David una agradable cena ya que acabamos en la misma mesa.

Tras conocer más sobre el conocimiento libre colombiano seguimos con «Innovación Docente Inclusiva: Adaptación de Contenidos para la Diversidad Funcional en la Educación Superior con Software Libre» a cargo de Estíbaliz García Huete, periodista y escritora. Miembro de la Oficina de Software Libre y Tecnologías Abiertas de la Universidad Complutense de Madrid. Una charla habla de los esfuerzos que se hacen para que la información sea accesible para todo el mundo.

Y seguidamente, ya que la anterior fue corta, «Wikibase en la Universidad: Herramientas colaborativas para el Conocimiento Libre en instituciones culturales y académicas» de la mano de Sara Ignacio Cerrato, miembro de la Oficina de Software Libre y Tecnologías Abiertas de la Universidad Complutense de Madrid. Lamentablemente, de esta apenas recuerdo nada ya que fue cuando llegó mi compañera y nos retiramos para hablar de la presentación que teníamos en menos de una hora.

Para finalizar este primer bloque, Marelisa y yo asistimos a «La animación como lenguaje libre: una década de UCAc2 en Wikimedia» realizada por Lorena Gutiérrez Madroñal, doctora en Ingeniería Informática y profesora en la Universidad de Cádiz. En esta ocasión, sí que estuvimos atentos y nos gustó mucho ver cómo se combinaba creatividad, arte y tecnologías, y cómo algunos de los participantes en esta asignatura habían dado el salto a la animación como profesión.

Llegó el tiempo del café que Marelisa y yo tomamos rápido ya que nos tocaba actuar, pero eso lo explicaré en el próximo artículo.

La entrada Jornada vespertina parte 1 de las XI Jornadas Anuales de Wikimedia España se publicó primero en KDE Blog.

Dear Tumbleweed users and hackers,

This week has been really slow for Tumbleweed snapshots—at least as far as the published ones are concerned. Since my last review, only two snapshots were shipped, and 5 more were passed on to openQA for testing and discarded. This was not really a surprise to us; we somewhat expected this to happen. The major change (in the next snapshot to be published) is the switch to grub2-bls on UEFI-based systems. The technical change itself was ok for a while, but it took a while to get a good feel for the openQA results, without masking other errors behind the ‘bootloader does not look as expected by QA’ step. And to confirm: it was good for us to hold back some snapshots, as there were indeed some fun bugs hiding behind closed doors.

Enough of the history, let’s look at what the two snapshots (1030 and 1031) brought you this week:

• Mozilla Firefox 144.0.2
• ImageMagick 7.1.2.8
• pam-mount 2.22
• Mesa 25.2.6
• Linux kernel 6.17.6

The next snapshot to be published will hopefully bring a few more changes. Staging areas and QA are currently busy testing integration of:

• GRUB2-BLS as the default bootloader selected by the installer on UEFI-based systems; This will only impact new installs. An automatic migration from grub2-efi to grub2-bls is not planned
• Linux kernel 6.17.7
• KDE Plasma 6.5.2
• Qt5 5.15.18
• openSSH 10.2p1
• LXQt 2.3.0
• Mesa will bring Vulkan support to WSL
• transactional-update 5.5.0: enables soft-reboot if possible
• openSSL 3.6.0: regression detected, which causes nodejs22 testsuite to fail
• kernel hardening: prevent normal users from seeing dmesg

This is a roundup of articles from the openSUSE community listed on planet.opensuse.org.

The below featured highlights listed on the community’s blog feed aggregator are from November 1 to 6.

Blog posts this week highlight a post-mortem with the Open Build Service, a Tenerife LanParty, a security issue announcement by SUSE Security Team, Quantum computing in open source and much more.

Here is a summary and links for each post:

Hack Week Project Aims to Rebuild Classic Games

Hack Week 25 is Dec. 1 - 5 and it has a project that is reverse-engineering 1990s PC games like Master of Orion II: Battle at Antares, Chaos Overlords and others to build clean versions capable of running the game. The goal is to have playable prototypes built during the week.

Third update of KDE Gear 25.08

The KDE Blog highlights the third update of Gear 25.08 and introduces several bug-fixes across apps, libraries and widgets to improve stability and translations for Konqi users. Some fixes were made for Kdenlive, KWalletManager and more.

scx: Unauthenticated scx_loader D-Bus Service can lead to major Denial-of-Service

Posts like this don’t happen too often, but this SUSE Security Team Blog should get people’s attention. This security blog post highlights scx project’s scx_loader. The D-Bus service could run with root privileges and no authentication, which could allow any unprivileged user to manipulate system schedulers and potentially cause a denial-of-service.

Tenerife LanParty (Podcast Linux #31)

The KDE Blog post revisits episode #31 of the Podcast Linux series, which is a special feature recorded at the Tenerife LanParty (TLP 2017).

Severe Service Degradation: OBS Unreliable/Unavailable

The Open Build Service team published a service post-mortem discussing recent operational issues and outlining improvements to monitoring and response workflows. Lessons learned from the post-mortem are that the team set sensible limits for build service requests (and possibly other areas) as serving all results at once for a request with 6,000+ actions is unsustainable.

Plasma 6.5 Second Update

The KDE Blog and Plasma 6.5 team released its second update for the desktop environment on Nov. 4. It focuses on improving stability, better translations and bug fixes. A couple fixes included having a smoother automatic shift between light and dark themes and enhancing global WiFi password storage.

Compilation of the Free Software Foundation newsletter – November 2025

Victorhck puts out a new post collecting major FSF updates including their 40-year anniversary projects, the upcoming hackathon (Nov. 21-23), and recent advocacy on software freedom and patents. Victorhck also goes into some details about the announcement of the FSF’s Librephone project.

SUSE delivers Raspberry Pi 5 support

The openSUSE Project announces support for the Raspberry Pi 5, which includes enabling boot to graphical desktop with working Ethernet, WiFi, and USB. The blog acknowledges the extensive contributions by the SUSE Hardware Enablement team related to U-Boot, PCIe and kernel driver support.

LliureX as a tool for educational innovation

The post introduces the UjiLliurex 2025 programme, which leverages the LliureX Linux distribution as a tool for educational innovation in higher education. Its aim is promoting ICT skills and collaborative coordination across the academic community.

Leap Fuels Hands-On Learning, Exploration

The openSUSE Project highlights how users can turn their setups into home labs. It highlights the use case of learning. From tracking aircraft with SDR to deploying Kubernetes clusters, Leap can be used to learn through experimentation on a stable, production-grade base.

Quantum computing and open source: the future is already in open source on Compilando Podcast

The hosts dive into the world of quantum computing during this episode of the Compilando Podcast. What qubits are? Why do ultra-cold conditions matter? The hosts explore how open-source tools like Qiskit and Cirq are helping researchers collaborate globally.

Framework Laptop 13 Protective Bumper

Tech-enthusiast Nathan Wolf goes into a custom 3D printed TPU 98A bumper for the Framework Laptop 13 to improve durability during travels. After 13 major design revisions, he settles on a 10 mm frame that balances protection and usability.

Controlling frame intensity and image focus

The KDE Blog dives into “This Week in KDE Plasma” and highlights two major upcoming features; adjustable boldness for window frames and outlines in Breeze themes, and a global sharpness slider for display content when using a compatible Linux kernel.

View more blogs or learn to publish your own on planet.opensuse.org.

Community developers plan to bring new life to classic 1990s video games by reviving and reverse engineering some classic games during a project during Hack Week 25.

The project calls on participants to select an older game, analyze its data formats and underlying rules, and write a clean-room engine capable of running the original game content.

Many games from the era are simple enough that contributors can produce a playable prototype within the week.

The classic-games project, which has grown over multiple years, has titles listed such as Master of Orion II, Chaos Overlords, and Signus: The Artifact Wars.

Work on Master of Orion II: Battle at Antares is regarded as one of the defining 4X strategy games of the 1990s and has become one of the project’s flagship effort. Developers have decoded savegame formats, resource files and interface screens across several Hack Weeks.

The team working on Chaos Overlords identified resource formats, mapped much of the logic and begun developing a Qt-based interface resembling the original’s mouse-driven design. The game’s AI remains one of the toughest puzzles. Contributors are calling it critical to the game’s identity.

Earlier efforts include Signus: The Artifact Wars, a Czech turn-based strategy title open-sourced in 2003. Developers continue to refine support for original file formats and work toward packaging improvements for openSUSE.

Participants frequently suggest new candidates. Companies and individuals are encouraged to join the project and hack on it for fun.

Another Hack Week 25 effort underway and the project aims to bring missing YaST features into Cockpit and System Roles; this comes following YaST’s deprecation from openSUSE Leap 16.0.

Hack Week, which began in 2007, has become a cornerstone of the project’s open-source culture. Hack Week has produced tools that are now integral to the openSUSE ecosystem, such as openQA, Weblate and Aeon Desktop. Hack Week has also seeded projects that later grew into widely used products; the origins of ownCloud and its fork Nextcloud derive from a Hack Week project started more than a decade ago.

For more information, visit hackweek.opensuse.org.

La Comunidad KDE es una comunidad responsable y no solo se preocupa en lanzar novedades sino que también en mejorarlas. Me complace presentar, un poco tarde, la tercera actualización de KDE Gear 25.08 que apareció hace casi tres meses. Más estabilidad, mejores traducciones y pequeñas mejoras para las aplicaciones de nuestro entornos de trabajo.

Tercera actualización de KDE Gear 25.08

A pesar de lo que puedan pensar muchas personas, las aplicaciones no son perfectas. Entre las líneas de código se pueden colar errores de tipografía o que el usuario realice alguna opción que en un principio no estaba prevista por los desarrollador, por poner solo un par de ejemplos de imperfecciones.

Este no es un problema del Software Libre ya que el Software actual funciona de esta manera ya que no se piensa en él como un producto final que se encierra en una caja y se olvida. En la actualidad se sabe que el Software está vivo y sería estúpido ir guardando las mejoras sin dejarlas a disposición del gran público.

Con esto se gana en rapidez y evolución pero puede aumentar el número de errores (por norma general) leves, los cuales son subsanables con pequeñas actualizaciones.

La Comunidad KDE lo tiene claro: grandes lanzamientos cada cuatro meses y actualizaciones mensuales para subsanar errores.

Por ello me congratula compartir con vosotros la tercera actualización de KDE Gear 25.08 que nos ofrece más de 180 errores resueltos entre aplicaciones, librerías y widgets, algo que mejora el rendimiento del sistema.

Aquí podéis encontrar la lista completa de cambios de KDE Gear 25.08.3, pero por poner unos cuantos ejemplos de los errores que sea han resuelto tenemos:

• kdenlive: Corrige que algunas imágenes no se rendericen en la previsualización de la línea de tiempo (Commit, corrige el error #511249
• kosmindoormap: También renderiza escaleras en los pasillos (Commit).
• kwalletmanager: Asegura que el menú contextual de la lista de entradas se cree aunque la lista esté vacía (Commit, corrige el error #510780).

Más información: KDE Gear 25.08.03

La entrada Tercera actualización de KDE Gear 25.08 se publicó primero en KDE Blog.

Table of Contents

• 1) Introduction
• 2) Overview of the Unauthenticated scx_loader D-Bus Service
• 3) Passing Arbitrary Parameters to Schedulers
  • The --pin-root-path Option
  • The --kconfig Option
  • The --btf-custom-path Option
  • The --bpf-token-path Option
• 4) On the Verge of a Local Root Exploit
• 5) Affected Linux Distributions
• 6) Suggested Fixes
  • Restrict Access to a Group on D-Bus Level
  • Use Polkit for Authentication
  • Making the API more Robust
  • Use systemd Sandboxing
• 7) Missing Upstream Bugfix
• 8) CVE Assignment
• 9) Timeline
• 10) Links

1) Introduction

The scx project offers a range of dynamically loadable custom schedulers implemented in Rust and C, which make use of the Linux kernel’s sched_ext feature. An optional D-Bus service called scx_loader provides an interface accessible to all users in the system, which allows to load and configure the schedulers provided by scx. This D-Bus service is present in scx up to version v1.0.17. As a response to this report, scx_loader has been moved into a dedicated repository.

A SUSE colleague packaged scx for addition to openSUSE Tumbleweed, and the D-Bus service it contained required a review by our team. The review showed that the D-Bus service runs with full root privileges and is missing an authentication layer, thus allowing any user to nearly arbitrarily change the scheduling properties of the system, leading to Denial-of-Service and other attack vectors.

Upstream declined coordinated disclosure for this report and asked us to handle it in the open right away. In the discussion that followed, upstream rejected parts of our report and presented no clear path forward to fix the issues, which is why there is no bugfix available at the moment.

Section 2 provides an overview of the scx_loader D-Bus service and its lack of authentication. Section 3 takes a look into problematic command line parameters which can be influenced by unprivileged clients. Section 4 looks into attempts to achieve a local root exploit using the scx_loader API. Section 5 lists affected Linux distributions. Section 6 discusses possible approaches to fix the issues found in this report. Section 7 takes a look at the upstream efforts to fix the issues.

This report is based on version 1.0.16 of scx.

2) Overview of the Unauthenticated scx_loader D-Bus Service

The scx_loader D-Bus service is implemented in Rust and offers a completely unauthenticated D-Bus interface on the system bus. The upstream repository contains configuration files and documentation advertising this service as suitable to be automatically started via D-Bus requests. Thus arbitrary users in the system (including low privilege service users or even nobody) are allowed to make unrestricted use of the service.

The service’s interface offers functions to start, stop or switch between a number of scx schedulers. The start and switch methods also offer to specify an arbitrary list of parameters which will be directly passed to the binary implementing the scheduler.

Every scheduler is implemented in a dedicated binary and found e.g. in /usr/bin/scx_bpfland for the bpfland scheduler. Not all schedulers that are part of scx are accessible via this interface. The list of schedulers supported by scx_loader in the reviewed version is:

scx_bpfland scx_cosmos scx_flash scx_lavd
scx_p2dq scx_tickless scx_rustland scx_rusty

We believe the ability to more or less arbitrarily tune the scheduling behaviour of the system already poses a local Denial-of-Service (DoS) attack vector that might even make it possible to lock up the complete system. We did not look into a concrete set of parameters that might achieve that, but it seems likely, given the range of schedulers and their parameters made available via the D-Bus interface.

3) Passing Arbitrary Parameters to Schedulers

The ability to pass arbitrary command line parameters to any of the supported scheduler binaries increases the attack surface of the D-Bus interface considerably. This makes a couple of concrete attacks possible, especially when the scheduler in question accepts file paths as input. Apart from parameters that influence scheduler behaviour, all schedulers offer the generic “Libbpf Options”, of which the following four options stick out in this context:

--pin-root-path <PIN_ROOT_PATH>      Maps that set the 'pinning' attribute in their definition will have
                                     their pin_path attribute set to a file in this directory, and be
                                     auto-pinned to that path on load; defaults to "/sys/fs/bpf"
--kconfig <KCONFIG>                  Additional kernel config content that augments and overrides system
                                     Kconfig for CONFIG_xxx externs
--btf-custom-path <BTF_CUSTOM_PATH>  Path to the custom BTF to be used for BPF CO-RE relocations. This custom
                                     BTF completely replaces the use of vmlinux BTF for the purpose of CO-RE
                                     relocations. NOTE: any other BPF feature (e.g., fentry/fexit programs,
                                     struct_ops, etc) will need actual kernel BTF at /sys/kernel/btf/vmlinux
--bpf-token-path <BPF_TOKEN_PATH>    Path to BPF FS mount point to derive BPF token from. Created BPF token
                                     will be used for all bpf() syscall operations that accept BPF token
                                     (e.g., map creation, BTF and program loads, etc) automatically within
                                     instantiated BPF object. If bpf_token_path is not specified, libbpf will
                                     consult LIBBPF_BPF_TOKEN_PATH environment variable. If set, it will be
                                     taken as a value of bpf_token_path option and will force libbpf to
                                     either create BPF token from provided custom BPF FS path, or will
                                     disable implicit BPF token creation, if envvar value is an empty string.
                                     bpf_token_path overrides LIBBPF_BPF_TOKEN_PATH, if both are set at the
                                     same time. Setting bpf_token_path option to empty string disables
                                     libbpf's automatic attempt to create BPF token from default BPF FS mount
                                     point (/sys/fs/bpf), in case this default behavior is undesirable

libbpf is a userspace support library for BPF programs found in the Linux source tree. The following sub-sections take a look at each of the attacker-controlled paths passed to this library in detail.

The --pin-root-path Option

The --pin-root-path option potentially causes libbpf to create the parent directory of this path in bfp_object__pin_programs(). We are not entirely sure under which conditions the logic is triggered, however, and if these conditions are controlled by an unprivileged caller in the context of the scx_loader D-Bus API.

The --kconfig Option

The file found in the --kconfig path is completely read into memory in libbpf_clap_opts.rs line 91. This makes a number of attack vectors possible:

• pointing to a device file like /dev/zero leads to an out of memory situation in the selected scheduler binary.
• pointing to a private file like /etc/shadow causes the scheduler binary to read in the private data. We did not find a way for this data to leak out into the context of an unprivileged D-Bus caller, however. This technique still allows to perform file existence tests in locations that are normally not accessible to unprivileged users.
• pointing to a FIFO named pipe will block the scheduler binary indefinitely, breaking the D-Bus service. Also, by feeding data to such a PIPE, nearly all memory can be used up, keeping the system in a low-memory situation and possibly leading to the kernel’s OOM killer targeting unrelated processes.
• by pointing to a regular file controlled by the caller, crafted KConfig information can be passed into libbpf. The impact of this appears to be minimal, however.

The following command line is an example reproducer which will cause the scx_bpfland process to consume all system memory until it is killed by the kernel:

user$ gdbus call -y -d org.scx.Loader -o /org/scx/Loader \
    -m org.scx.Loader.SwitchSchedulerWithArgs scx_bpfland \
    '["--kconfig", "/dev/zero"]'

The --btf-custom-path Option

The --btf-custom-path option offers similar attack vectors as the --kconfig option discussed above. Additionally, crafted binary symbol information can be fed to the scheduler via this path, which will be processed either by btf_parse_raw() or btf_parse_elf() found in libbpf. This can lead to integrity violation of the scheduler / the kernel, the impact of which we cannot fully judge as we lack expertise in this low level area and did not want to invest more time than necessary for the analysis.

The --bpf-token-path Option

The --bpf-token-path, if it refers to a directory, will be opened by libbpf and the file descriptor will be passed to the bpf system call like this:

bpf(BPF_TOKEN_CREATE, {token_create={flags=0, bpffs_fd=20}}, 8) = -1 EINVAL (Invalid argument)

This does not seem to achieve anything, however, because the kernel code rejects the caller if it lives in the initial user namespace (which the privileged D-Bus service always does). The path could maybe serve as an information leak to test file existence and type, if the behaviour of the scheduler “start” operation shows observable differences depending on the input.

4) On the Verge of a Local Root Exploit

With this much control over the command line parameters of many different scheduler binaries, which offer a wide range of options, we initially assumed that a full local root exploit would not be difficult to achieve. We tried hard, however, and did not find any working attack vector so far. It could be that we overlooked something in the area of the low level BPF handling regarding the attacker-controlled input files discussed in the previous section, however.

scx_loader is saved from a trivial local root exploit merely by the fact that only a subset of the available scx scheduler binaries is accessible via its interface. The scx_chaos scheduler, which is not among the schedulers offered by the D-Bus service, supports a positional command line argument referring to a “Program to run under the chaos scheduler”. Would this scheduler be accessible via D-Bus, then unprivileged users could cause user controlled programs to be executed with full root privileges, leading to arbitrary code execution.

From discussions with upstream it sounds like the exclusion of schedulers like scx_chaos from the D-Bus interface does not stem from security concerns, but rather from functional restrictions, because some schedulers are not supported in all contexts, or are not stable yet.

5) Affected Linux Distributions

From our investigations and communication with upstream it seems that only Arch Linux is affected by the problem in its default installation of scx. Gentoo Linux comes with an ebuild for scx, but for some reason there is no integration of scx_loader into the init system and also the D-Bus autostart configuration file is missing. Thus it will only be affected if an admin manually invokes the service.

Otherwise we did not find a packaging of scx_loader on current Fedora Linux, Ubuntu LTS or Debian Linux. Due to the outcome of this review we never allowed the D-Bus service into openSUSE, which is therefore also not affected.

6) Suggested Fixes

Restrict Access to a Group on D-Bus Level

A quick fix for the worst aspects of the issue would be to restrict the D-Bus configuration in org.scx.Loader.conf to allow access to the interface only for members of a dedicated group like scx. This at least prevents random unprivileged users from abusing the API.

We offer a patch for download which does exactly this.

Use Polkit for Authentication

By integrating Polkit authentication, the use of this interface can be restricted to physically present interactive users. Even in this case we suggest to restrict full API access to users that can authenticate as admin, via Polkit’s auth_admin_keep setting. Read-only operations can still be allowed without authentication.

Making the API more Robust

The individual methods offered by the scx.Loader D-Bus service should not allow to perform actions beyond the intended scope, even if a caller would have authenticated in some form as outlined in the previous sections.

To this end, dangerous parameters for schedulers should either be rejected (e.g. by enforcing a whitelist of allowed parameters) or verified (e.g. by determining whether a provided path is only under control of root and similar checks).

Regarding input files, the client ideally should not pass path names at all, but send file descriptors instead, to avoid unexpected surprises and the burden of verifying input paths in the privileged D-Bus service.

Use systemd Sandboxing

The systemd service for scx_loader could make use of various hardening options that systemd offers (like ProtectSystem=full), as long as these do not interfere with the functionality of the service. This would prevent more dangerous attack vectors from succeeding if the first line of defense fails.

7) Missing Upstream Bugfix

Upstream showed a reluctant reaction to the report we provided in a GitHub issue, rejecting parts of our assessment. An attempt to introduce a Polkit authentication layer based on AI-generated code was abandoned quickly, and upstream instead split off the scx_loader service into a new repository to separate it from the scx core project. Our original GitHub issue has been closed, and we cloned it in the new repository to keep track of the issue.

Downstream integrators of scx_loader can can limit access to the D-Bus service to members of an scx group by applying the patch we offer in the Suggested Fixes section. This way access to the problematic API becomes opt-in, and is restricted to more privileged users that actually intend to use this service.

8) CVE Assignment

We suggested to upstream to assign at least one cumulative CVE to generally cover the unauthenticated D-Bus interface aspect leading to local DoS, potential information disclosure and integrity violation. We offered to assign a CVE from the SUSE pool to simplify the process.

Upstream did not respond to this and did not clearly confirm the issues we raised, but rather rejected certain elements of our report. For this reason there is currently no CVE assignment available.

9) Timeline

10) Links

• scx GitHub repository
• scx GitHub issue for this report
• newly created scx_loader GitHub repository
• cloned GitHub issue in the new scx_loader repository
• openSUSE Bugzilla review bug
• suggested patch to restrict access to the D-Bus service