The 6.3 kernel is released

Post Syndicated from original https://lwn.net/Articles/929851/

Linus has released the 6.3 kernel as
expected.

It’s been a calm release this time around, and the last week was
really no different. So here we are, right on schedule, with the
6.3 release out and ready for your enjoyment.

That doesn’t mean that something nasty couldn’t have been lurking
all these weeks, of course, but let’s just take things at face
value and hope it all means that everything is fine, and it really
was a nice controlled release cycle. It happens.

Significant changes in this release include
the removal of a lot of obsolete Arm board files and drivers,
ongoing improvements to the (still minimal) Rust language support,
red-black trees for BPF programs,
ID-mapped mounts for tmpfs filesystems,
BIG TCP support for IPv4,
support for non-executable memfds,
the hwnoise
jitter-measurement tool,
and a lot more. See the LWN merge-window summaries
(part 1,2
part 2) and the (in-progress) KernelNewbies 6.3 page for
more information.

Nokia Shows Off Liquid Cooled O-RAN Concept at OCP Regional Summit 2023 Prague

Post Syndicated from Cliff Robinson original https://www.servethehome.com/nokia-shows-off-liquid-cooled-o-ran-concept-at-ocp-regional-summit-2023-prague-intel-ek/

At OCP Regional Summit 2023 in Prague, Nokia showed part of its liquid-cooled O-RAN concept along with the new Nokia Cloud RAN SmartNIC

The post Nokia Shows Off Liquid Cooled O-RAN Concept at OCP Regional Summit 2023 Prague appeared first on ServeTheHome.

Планът за възстановяване и устойчивост не е торба с пари

Post Syndicated from Bozho original https://blog.bozho.net/blog/4088

Тъй като често говорим за плана за възстановяване и устойчивост твърде общо, се създават грешни интерпретации. Затова ще вляза в конкретика.

Планът за възстановяване и устойчивост не е една торба пари, която България ще получи, ако приемем едни закони. Планът е дълъг списък от реформи, които включват изменения на закони и наредби, но далеч не само – инвестиции, действия на изпълнителната власт, процедури, възлагания, постигане на конкретни резултати. Ще дам два примера:

Първият е изграждането на високоскоростна интернет свързаност до всички 265 общински центъра и отвъд тях, за покриване ма отдалечени райони. За това не се изискват изменения на закони. Но се изисква много работа – планиране, комплексно разрешително от МРРБ (защото трябва да се копае за полагане на оптични кабели), нотификация на държавна помощ, провеждане на процедури за избор на изпълнители. В крайна сметка ще получим парите, ако постигнем целта – брой жители с високоскоростен интернет.

Вторият е пълна дигитализация на инвестиционното проектиране и разрешителните за строеж. В момента без печати по огромми листи с проекти, и бюрокрация на всяка стъпка, не можеш да построиш нито бизнес сграда, нито жилищна, нито дори пристройка. Тази мярка включва изграждане на централизирана система (подготовката за нея започма по наше време) и пълна промяна на процесите. Изисква и изменения в Закона за устройство на територия, за да бъдат узаконени новите, оптимизирани процеси.

Законите, които са необходими, отключват междинни плащания от Европейската комисия към България, за да може да ги инвестираме в планираните проекти. Но далеч не изчерпват реформите. Ако за една реформа беше достатъчно публикуването на нещо в Държавен вестник, щяхме да се барикадираме в печатницата на Държавен вестник и за две седмици да „реформираме“ всичко.

Планът за възстановяване и устойчивост е квази-управленска програма и изисква доста усилия, да бъде изпълнен. А когато бъде, плюсът няма да е, че едни пари са усвоени (това сме го виждали), а че ще има измерим резултат за хората.

Материалът Планът за възстановяване и устойчивост не е торба с пари е публикуван за пръв път на БЛОГодаря.

Седмицата (17–22 април)

Post Syndicated from Тоест original https://www.toest.bg/sedmitsata-17-22-april/

Седмицата (17–22 април)

Изминаващата „Светла“ седмица беше една от най-силните за българската литература през новото хилядолетие. Романът на Георги Господинов „Времеубежище“ в английския си превод – дело на Анджела Родел – премина от дългия в краткия списък на една от най-престижните световни литературни награди – The International Booker Prize, известна у нас като „Международен Букър“. Отличието се връчва всяка година за книга с художествена проза, написана на език, различен от английски, но преведена и издадена във Великобритания или Ирландия. (Отговор в цифри на въпроса защо номинацията за тази награда означава толкова много не само за писателите, но и в цялост за литературата, превода, книгоиздаването и читателството, ни дава краткият, но ясен Facebook пост на Гергана Димитрова.)

Разбира се, новината за номинацията не беше посрещната еднозначно у нас. По социалните тръби на общия ни неремонтиран дом моментално се разнесе дежурното недоволно хъхрене на задръстен водопровод, неизменно съпътстващо почти всеки успех на българин на чужда територия. Това отдавна не ни учудва – нито нас, нито вероятно самия Георги Господинов, свикнал, надяваме се, с нашенските емоционални меандри, в които щедро се разливат „радостта“ и „подкрепата“ на ближния.

Във всеки случай ние, както и, за щастие, повечето четящи в България му стискаме палци и му пожелаваме успех на 23 май, когато наградата ще бъде връчена на церемония в Лондон.

И след този неочакван свеж полъх се връщаме обратно в сумрачните зони на последните седмици, първо изборната и следизборната, после Страстната, а сега и „Светлата“, и се питаме има ли шанс мътните „водопроводни“ енергии, които тровят обществения ни разговор, все пак някога да се трансформират в смислен и правилно насочен гняв. Който да породи масово действие. Което да доведе до видим резултат. Например до значително повишаване на избирателната активност! А това автоматично би отнело от силата на всички успешни и неуспешни опити вотът да се контролира, маскира, фалшифицира, огъва, изкривява и пр. Разказ от първо лице за перипетиите на вота четете в „По изборите в Ихтиман“ от Александър Нуцов. Намигването към Алеко Константинов не е случайно, а политическият контекст изглежда не по-малко зловещ от описания в литературната ни класика.

Защо вотът на българите в чужбина е такъв, какъвто е, защо „Възраждане“ продължава да получава значителна подкрепа зад граница – тези и други угрижващи въпроси занимават Яна Хашъмова в „Патриотична или националистична е българската диаспора“. Едно от тревожните наблюдения е свързано с обучението, лансирано в българските неделни училища, където – според изследването на Хашъмова – патриотизмът традиционно е отстъпил място на тежки националистически клишета.

„Светлата“ седмица в „Тоест“ продължава да гази из разкаляния терен на парламентарните избори и на преките им последствия, а именно откриването на 49-тото Народно събрание. Статията на Светла Енчева „Страстите Христови на българската политика“ особено живописно разказва за лицемерната боголюбива реторика на президента, новоизбраните депутати, прокурора Гешев и прочее силни на деня в нашата иначе светска държава. Отделни епизоди от парламентарното православно театро, описано от Енчева, направо плачат да заживеят нов живот на tableaux vivants, като например великденският трапезен портрет на Корнелия Нинова с яйца, козунаци и живо зайче в шепа.

„Правителство. Хубаво е, но не е готово“ според Емилия Милчева, която анализира неловкото политическо танго между двете най-големи сили в парламента – ГЕРБ–СДС и ПП–ДБ. Ако преговорите за коалиционно правителство проработят в името на временна политическа стабилност, няколко важни и неотложни закона и печелене на дивиденти в навечерието на местните избори, чакат ни месеци на компромиси, но и на непрестанни настъпвания и подритвания в двойката (пардон, четворката) на танцуващите. А Борисов уж се оттегля със съзнанието, че „историческото му време е свършило“. Какво стои зад тази великденска саможертвена поза и кога (и дали) агнето ще захвърли маскарадния си костюм, предстои да видим.

И за да не ви отровим с политика, ето новата порция научни новини, поднесена ни от Михаил Ангелов, която ще ви изненада с някои от методиките на т.нар. прецизно земеделие. Една от тях буквално чува нуждите на растенията и регистрира нивата им на стрес много преди причинените щети да станат видими. (Мисля си колко хубаво би било подобни прецизни методики да се разработят и прилагат и в други сфери, например в образованието, където нивата на стрес на деца, родители и учители са отвъд измеримото, а нанесените щети изглеждат необратими.) Освен с тайния живот на растенията, научните новини тази седмица се занимават с човешки ембриони и (бактерио)фаги. Апропо последните може да се окажат ключови в бъдещи форми на лечение, заобикалящи антибиотиците.

Тази седмица Екатерина Петрова ни праща на езиково пътешествие из Магреба – „от дума на дума“ и от баир на баир из заснежения Атлас и преплетените лингвистични и митологически пътеки, водещи към името му. Твърдението в заглавието на есето – „Светът е голям и Атлас дебне отвсякъде“, – сами ще се убедите, не е ефектна метафора, а самата истина.

В рубриката „На второ четене“ Стефан Иванов насочва вниманието ни към книгата (новела и шест разказа) на полския писател Рафал Вояшински „Оланда“ (прев. Лъчезар Селяшки). Четох рецензията навръх Великден и това вероятно усили въздействието ѝ, както и убедеността ми да си набавя това четиво в най-скоро време. За да убедя и вас, ще завърша обзора на „Светлата“ седмица именно с финала на текста – всъщност цитат от „Оланда“. Но и въпрос, който комай по-често си струва да си задаваме:

Трябва да помним, моя златничка кокошчице, че Исус не е вдигнал къща, не е ходел в шест часа сутринта на работа, не е спестявал, не е заемал висока длъжност, не е имал обществено положение. Кой би желал такъв зет? Тогава какво правим ние? На кого подражаваме?

Та да повторим: какво правим ние? На кого подражаваме?

The Python Software Foundation on European cybersecurity

Post Syndicated from original https://lwn.net/Articles/929855/

This ten days old but hopefully better late than never: the Python Software
Foundation has put out an
article describing how the proposed European “cyber resilience act”
threatens the free-software community.

Under the current language, the PSF could potentially be
financially liable for any product that includes Python code, while
never having received any monetary gain from any of these
products. The risk of huge potential costs would make it impossible
in practice for us to continue to provide Python and PyPI to the
European public.

The Internet Systems Consortium has also recently put out
a statement on the proposal.

Hacking Pickleball

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2023/04/hacking-pickleball.html

My latest book, A Hacker’s Mind, has a lot of sports stories. Sports are filled with hacks, as players look for every possible advantage that doesn’t explicitly break the rules. Here’s an example from pickleball, which nicely explains the dilemma between hacking as a subversion and hacking as innovation:

Some might consider these actions cheating, while the acting player would argue that there was no rule that said the action couldn’t be performed. So, how do we address these situations, and close those loopholes? We make new rules that specifically address the loophole action. And the rules book gets longer, and the cycle continues with new loopholes identified, and new rules to prohibit that particular action in the future.

Alternatively, sometimes an action taken as a result of an identified loophole which is not deemed as harmful to the integrity of the game or sportsmanship, becomes part of the game. Ernie Perry found a loophole, and his shot, appropriately named the “Ernie shot,” became part of the game. He realized that by jumping completely over the corner of the NVZ, without breaking any of the NVZ rules, he could volley the ball, making contact closer to the net, usually surprising the opponent, and often winning the rally with an un-returnable shot. He found a loophole, and in this case, it became a very popular and exciting shot to execute and to watch!

I don’t understand pickleball at all, so that explanation doesn’t make a lot of sense to me. (I watched a video explaining the shot; that helped somewhat.) But it looks like an excellent example.

The blog post also links to a 2010 paper that I wish I’d known about when I was writing my book: “Loophole ethics in sports,” by Øyvind Kvalnes and Liv Birgitte Hemmestad:

Abstract: Ethical challenges in sports occur when the practitioners are caught between the will to win and the overall task of staying within the realm of acceptable values and virtues. One way to prepare for these challenges is to formulate comprehensive and specific rules of acceptable conduct. In this paper we will draw attention to one serious problem with such a rule-based approach. It may inadvertently encourage what we will call loophole ethics, an attitude where every action that is not explicitly defined as wrong, will be seen as a viable option. Detailed codes of conduct leave little room for personal judgement, and instead promote a loophole mentality. We argue that loophole ethics can be avoided by operating with only a limited set of general principles, thus leaving more space for personal judgement and wisdom.

Metasploit Weekly Wrap-Up

Post Syndicated from Dean Welch original https://blog.rapid7.com/2023/04/21/metasploit-weekly-wrap-up-7/

VMware Workspace ONE Access exploit chain

Metasploit Weekly Wrap-Up

A new module contributed by jheysel-r7 exploits two vulnerabilities in VMware Workspace ONE Access to attain Remote Code Execution as the horizon user.
First being CVE-2022-22956, which is an authentication bypass and the second being a JDBC injection in the form of CVE-2022-22957 ultimately granting us RCE.
The module will seamlessly chain these two vulnerabilities together, simplifying the whole process.

More speeeeeeed!

Our own adfoster-r7 has added caching to Ruby’s loadpath logic with the help of bootsnap to improve the bootup performance of Metasploit.
On the hardware we tested we were getting an average of 2-3 seconds reduced time to boot which is a really nice quality of life improvement.

New module content (3)

VMware Workspace ONE Access VMSA-2022-0011 exploit chain

Authors: jheysel-r7 and mr_me
Type: Exploit
Pull request: #17854 contributed by jheysel-r7
AttackerKB reference: CVE-2022-22957, CVE-2022-22956

Description: This PR adds an exploit chaining CVE-2022-22956 and CVE-2022-22957 to gain code execution as the horizon user on VMWare Workspace One Access. The first vulnerability, CVE-2022-22956, is an authentication bypass in OAuth2TokenResourceController ACS which allows a remote, unauthenticated attacker to bypass the authentication mechanism and execute any operation. The second vulnerability, CVE-2022-22957, is a JDBC injection RCE specifically in the DBConnectionCheckController class’s dbCheck method which allows an attacker to deserialize arbitrary Java objects which can allow remote code execution.

VMware Workspace ONE Access CVE-2022-22960

Authors: jheysel-r7 and mr_me
Type: Exploit
Pull request: #17874 contributed by jheysel-r7
AttackerKB reference: CVE-2022-22960

Description: This PR adds an exploit module targeting CVE-2022-22960, which allows the user to overwrite the permissions of the certproxyService.sh script so that it can be modified by the horizon user. This allows a local attacker with the uid 1001 to escalate their privileges to root access.

SPIP form PHP Injection

Authors: Julien Voisin, Laluka, and coiffeur
Type: Exploit
Pull request: #17711 contributed by jvoisin
AttackerKB reference: CVE-2023-27372

Description: This module exploits a PHP code injection in SPIP. The vulnerability exists in the oubli parameter and allows an unauthenticated user to execute arbitrary commands with web user privileges.

Enhancements and features (4)

  • #17809 from adfoster-r7 – Adds caching to Ruby’s load path logic to improve the bootup performance of msfconsole on startup, averaging 2-3 seconds faster boot time on the tested hardware.
  • #17820 from manishkumarr1017 – This PR fixes the Nagios XI authenticated modules to work with even when autocheck is disabled as well as refactors reusable code.
  • #17884 from adfoster-r7 – Adds database migration validation before attempting to run the test suite. Users who have not migrated their local test database will be notified of the steps required to resolve this issue.
  • #17892 from h00die – Adds additional documentation for the exploit/windows/misc/unified_remote_rce module.

Bugs fixed (7)

  • #17873 from zgoldman-r7 – Updates the scanner/ftp/ftp_login module to ensure that opened connections are correctly closed after attempting to log in. Additionally, this fixes a bug where the FTPTimeout option was being ignored after being set by a user.
  • #17882 from zeroSteiner – A bug has been fixed in the getsystem command where getsystem techniques 5 and 6 were crashing sessions on Windows 11 22H2. Additionally, Python Windows Meterpreter payloads have been updated to include memory lock/unlock abilities.
  • #17883 from adfoster-r7 – Fixes a crash when running the modules/auxiliary/scanner/lotus/lotus_domino_hashes module and the database is not active.
  • #17888 from bcoles – Fixes a crash when running the help setg command in msfconsole.
  • #17893 from h00die – Updates the documentation for the modules/exploit/linux/local/asan_suid_executable_priv_esc module to be in the correct location.
  • #17907 from jheysel-r7 – Fixes a crash when running the exploits/linux/http/vmware_workspace_one_access_vmsa_2022_0011_chain.rb module.
  • #17909 from adfoster-r7 – Fixes a Windows7 Meterpreter crash when in debug mode.

Documentation

You can find the latest Metasploit documentation on our docsite at docs.metasploit.com.

Get it

As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the
binary installers (which also include the commercial edition).

Prioritizing sustainable cloud architectures: a how-to round up

Post Syndicated from Kate Brierley original https://aws.amazon.com/blogs/architecture/prioritizing-sustainable-cloud-architectures-a-how-to-round-up/

With Earth Month upon us and in celebration of Earth Day tomorrow, 4/22, sustainability is top-of-mind for individuals and organizations around the world. But it doesn’t take a certain time of year to act toward the urgent need to innovate and adopt smarter, more efficient solutions!

Sustainable cloud architectures are fundamental to sustainable workloads, and we’re spotlighting content that helps build solutions to meet and advance sustainability goals. Here’s our recent post round up to make sustainable architectures meaningful and actionable for customers of all kinds:

Architecting for Sustainability at AWS re:Invent 2022

This post spotlights the AWS re:Invent 2022 sustainability track and key conversations around sustainability of, in, and through the cloud. It covers key uses cases and breakout sessions, including AWS customers demonstrating best practices from the AWS Well-Architected Framework Sustainability Pillar. Hear about these and more:

  • The Amazon Prime Video experience using the AWS sustainability improvement process for Thursday Night Football streaming
  • Pinterest’s sustainability journey with AWS from Pinterest Chief Architect David Chaiken

David Chaiken, Chief Architect at Pinterest, describes Pinterest’s sustainability journey with AWS

Let’s Architect! Architecting for Sustainability

The most recent sustainability focused Let’s Architect! series post shares practical tips for making cloud applications more sustainable. It also covers the AWS customer carbon footprint tool to help organizations monitor, analyze, and reduce their AWS footprint, and details how Amazon Prime Video used these tools to establish baselines and drive significant efficiencies across their AWS usage.

Prime Video case study for understanding how the architecture can be designed for sustainability

Optimizing your Modern Data AWS Infrastructure for Sustainability Series

This two-part blog series explores more specific topics relating to the Sustainability Pillar of the AWS Well-Architected Framework as connected to the Modern Data Architecture on AWS. What’s covered includes:

  1. Integrating a data lake and purpose-built data services to efficiently build analytics workloads to provide speed and agility at scale in Part 1 – Data Ingestion and Data Lake
  2. Guidance and best practices to optimize the components within the unified data governance, data movement, and purpose-built analytics pillars in Part 2 – Unified Data Governance, Data Movement, and Purpose-built Analytics

Modern Data Analytics Reference Architecture on AWS

How to Select a Region for your Workload Based on Sustainability Goals

Did you know workload Region selection significantly affects KPIs including performance, cost, and carbon footprint? For example, when an AWS Region is chosen based on the market-based method, emissions are calculated using the electricity that business purchases. Contracting and purchasing electricity produced by renewable energy sources like solar and wind are more sustainable. Region selection is is another part of the Well-Architected Framework Sustainability Pillar, and this blog post covers key considerations for choosing AWS Regions per workload.

Carbon intensity of electricity for South Central Sweden

Check back soon for more earth-friendly advice from our experts!

The collective thoughts of the interwebz