PwnKit (polkit’s pkexec exploit) – CVE-2021-4034

A atualização que corrige o problema para a Mageia 8 foi lançada quarta-feira, 26 de janeiro de 2022 10:31 UTC (05:31 EST).

Para quem ainda está executando o Mageia 7 (ou versões mais antigas), a recomendação é…

Como root execute “chmod 0755 /usr/bin/pkexec”.

Isso significa que o pkexec não funciona mais. Executando coisas como rpmdrake como um usuário regular não funcionará. Você deve usar uma abordagem alternativa para obter root privilégios (abra um terminal, use “su -” e execute rpmdrake ou use sudo rpmdrake se você configurou o sudo).

(escrito em inglês por Filip Kolmar e traduzido por macxi)

Publicado em Sem categoria | Comentários fechados em PwnKit (polkit’s pkexec exploit) – CVE-2021-4034

Entrevista de Nicolas Lécureuil, presidente do Conselho da Mageia, em Linuxfr.org

Em setembro de 2021, uma entrevista muito agradável de Nicolas Lécureuil, presidente do Conselho da Mageia, apareceu no LinuxFr.org

Foi escrito por Ysabeau. Nós traduzimos, para que você também possa apreciá-la.

Nicolas Lécureuil (Neoclust)

Nicolas Lécureuil, aliás Neoclust, é um usuário de longa data do LinuxFr.org. Ele tem uma conta no site dedicado ao Linux desde 2005. Nicolas se tornou o presidente do Conselho da Mageia no início de 2021. Nicolas tem sido, e ainda é, muito ativo em todos os fóruns da Mageia, listas de discussão e desenvolvimento do caldeirão, onde novas versões da distribuição estão sendo preparadas. Nesta entrevista, veremos que ele é um dos primeiros magos. Além disso, descobriremos suas ambições e projetos para esta distribuição, que é uma das mais acessíveis ao público em geral.

Conteúdo

1 – Um novo presidente do Conselho
2 – Mageia e seu ambiente
3 – Desenvolvimento da Mageia
4 – Para concluir

1 – Um novo presidente do Conselho

LinuxFr.orgComo você caiu no caldeirão?

Nicolas – Eu acidentalmente comecei a contribuir com o Mandrake, tinha visto um CD em uma revista, testei e queria ajudar.

Imediatamente eu encontrei pessoas muito legais no IRC que estavam ouvindo. Utilizando como base o KDE, ambiente de desktop que achei de fácil acesso, comecei a contribuir enviando patches para o então mantenedor, que era funcionário da Mandrakesoft.

Em um segundo passo comecei a contribuir de verdade com o KDE.

Um dia, quando um funcionário da Mandriva (após a fusão da Mandrakesoft e da Connectiva) saiu, Anne Nicolas (Ennael) me sugeriu para substituí-lo, não posso agradecer o suficiente por essa proposta. É com prazer que ingressei no mercado de trabalho. A sensação que eu tinha como colaboradora não mudou, os colegas eram igualmente simpáticos. Conheci algumas pessoas melhor. Eu não vou mencioná-los, eu teria muito medo de esquecer um.

Meu papel na Mandriva no início era cuidar da parte “desktop” da distribuição por um lado e o relacionamento com nossos clientes para os bugs do KDE por outro.

Posteriormente, fui empacotador e responsável pela integração da distribuição MBS (Mandriva Business server). Essa distribuição foi baseada na Mageia e possibilitou fornecer o Pulse, que é um software web para gerenciamento de equipamentos de TI (estoque, implantação de pacotes, imagem, backup, etc.) para alguns de nossos clientes.

Então foi natural para mim me juntar aos meus velhos amigos, colegas e colaboradores da Mageia. Apesar de sentir falta de alguns (Coling e Mikala, por exemplo), sempre me diverti muito trabalhando com pessoas novas e antigas. Este pequeno mundo inteiro me deixa mais rico a cada dia.

LinuxFr.orgComo alguém se torna um membro do Conselho da Mageia e seu presidente?

Nicolas – Os membros do conselho são eleitos pelos membros da Mageia, então você precisa ser conhecido/reconhecido por seu compromisso com a distribuição, por exemplo, resolvendo bugs e participando de reuniões no IRC. Os mandatos de secretário, tesoureiro e presidente, exceto em assuntos administrativos, são irrelevantes, pois todas as decisões são colegiadas com a Diretoria ou o Conselho. É verdade, ser francófono necessariamente ajuda em todas as questões administrativas para essas três funções.

LinuxFr.orgQual é o perfil dos membros atuais?

Nicolas – Não há perfil por assim dizer, as pessoas são muito variadas, tanto profissionalmente quanto geograficamente, há uma enfermeira, uma estudante, alguns desenvolvedores de software, finlandeses, canadenses, pessoas dos Estados Unidos. Reino Unido, inglês, francês, etc. Mas é a paixão e o compromisso em torno da Mageia que os une.

(LinLinuxFr.orgComo você vê essa governança da Mageia? E a propósito, isso começa a acontecer?

Nicolas – Vejo essa governança como ambiciosa e cheia de co-construções. No momento estamos nos orientando e começando no escritório a trabalhar no que podemos propor ao Conselho, sendo o primeiro projeto a renovação do nosso parque de servidores.

O segundo projeto é relançar o desenvolvimento de alguns tijolos de nossa distribuição, como o urpmi. Na verdade, o urpmi é um gerenciador de pacotes completo, simples e muito funcional. Falta suporte para novos recursos de rpm.

Temos nas mãos uma distribuição muito boa que podemos ambicionar, se preenchermos algumas lacunas.

Podemos considerar a criação de um LTS, se pudermos encontrar novos contribuidores para cuidar das atualizações de segurança, porque por enquanto (exceto pacotes mantidos em stable por seus mantenedores oficiais [como o kernel / glibc / rpm / …] eu cuido de um muitas dessas atualizações e eu não seria contra uma ajudinha [isso me permitiria liberar algum tempo para outras tarefas na distribuição]). Uma versão LTS permitiria que algumas empresas considerassem o uso da Mageia com mais confiança.

LinuxFr.org Você tem metas específicas para o seu mandato?

Nicolas – Tenho vários objectivos, mas estes são apenas os meus compromissos, até os ter discutido com o Conselho.

A primeira é relançar a comunicação em torno da Mageia. Temos uma ótima equipe, a equipe do Atelier, que é muito receptiva, cabe a nós, desenvolvedores, empacotadores, etc., dar a eles os fatos para serem bem comunicados. Também gostaria que novas pessoas pudessem juntar-se a estes corpos porque com um novo olhar, novas ideias, pode reavivar a nossa forma de comunicar (temos que admitir, a comunicação nunca foi o nosso forte).

Começamos com artigos de blog para aumentar a contribuição para nossa distribuição porque, como em muitos projetos, muitas vezes são as mesmas pessoas que contribuem, algumas perdem o fôlego e, portanto, dão um passo atrás do projeto (mas isso é verdade para muitos projetos dentro e fora do mundo de TI).

Também precisamos atrair novos colaboradores. Como gosto de dizer: prefiro pessoas que apenas cuidam bem de um software / um tijolo e não fazem mais nada, do que alguém que quer mexer em tudo e acaba fazendo pouco.

Estou feliz por sempre ter tido colaboradores conhecedores do KDE / Plasma. Eu tive mikala uma vez (que sempre pode voltar se estiver com vontade e especialmente se o tempo voltar) e agora tenho David²) fazendo um trabalho tremendo e não posso agradecer o suficiente.

LinuxFr.orgVocê tem algum treinamento ou experiência relacionada a TI, se sim, isso é útil para você para a Mageia?

Nicolas – Aprendi muito por conta própria, e muito com a ajuda e conhecimento de outros colaboradores.

Eu fui originalmente treinado como bioquímico, mas sempre amei ciência da computação. Então, depois dos meus estudos, fiz um curso para me formar como técnico de suporte Linux. Acho que minha formação científica me deu um certo rigor. E, graças à minha empresa, que me dá a oportunidade, estou aprendendo aos poucos a me desenvolver.

2 – Mageia e seu ambiente

LinuxFr.orgNa base da Mageia, temos uma associação de direito francês, e o impacto da Mageia fora da França?

Nicolas – Admito que ainda não entendo completamente o impacto da Mageia fora da França. O que eu sei é que temos colaboradores em todo o mundo, e de forma bastante significativa na Espanha com o Blogdrake (ES).

Se uma comunidade Mageia fora da França participa de um evento para promover a distribuição, sempre estamos interessados em saber, pois podemos fazer um post no blog com fotos depois.

LinuxFr.orgComo você analisa o fato de a Mageia não estar mais entre os dez primeiros no ranking do Distrowatch?

Nicolas – Acho que isso se deve principalmente ao fato de não termos nos comunicado muito ou bem nos últimos anos sobre nosso projeto. Como resultado, menos pessoas procurariam saber mais sobre nós neste site.

No entanto, o ranking do Distrowatch nunca foi um objetivo ou uma referência para mim, pois embora seja uma espécie de “termômetro”, não conheço nenhum usuário médio que realmente o utilize. Destaca o número de cliques no site, mas não a qualidade da distribuição, nem a de sua comunidade.

De fato, a Mageia tem uma comunidade leal, seja do lado francês com Mageialinux-online (MLO) (FR) ou espanhol com Blogdrake (ES) (para citar apenas dois).

LinuxFr.orgExistem interações entre a Mageia e outras distribuições?

Nicolas – Há, para falar apenas de David e eu, uma interação com a equipe Java do Fedora. Na Mageia, usamos a pilha Java do Fedora e tentamos fornecer correções para essa pilha o mais rápido possível. Eu planejei trazer de volta a eles as correções de segurança que adicionamos à Mageia.

LinuxFr.orgA pandemia afetou o desenvolvimento da Mageia? Se sim, como?

Nicolas – Sinceramente, não faço ideia.

Não temos nenhum sistema de medição de audiência, nem dentro da distribuição nem dentro da equipe de desenvolvimento, então, do lado do uso, não podemos dizer nada. Em termos de engajamento, é misto. Há novas pessoas chegando para dar uma mão, em equipes como comunicações e QA (pacotes de testes e atualizações perante “o público em geral”), e outras que se encontram com mais trabalho na vida real. No final, não sentimos que a pandemia teve muito impacto no desenvolvimento da Mageia.

3 – Desenvolvimento da Mageia

LinuxFr.orgNos comentários do anúncio de lançamento da Mageia 8²), a Mageia foi criticada por optar por não incluir o Nextcloud 21 imediatamente por causa da versão PHP. Você pode nos dar os antecedentes dessa decisão? (precisão: o Nextcloud já foi integrado à distribuição).

Nicolas – Ao manter uma distribuição, há várias coisas a serem consideradas:

  • a data de entrega da distribuição
  • a duração da manutenção deste último
  • a migração que os usuários finais precisarão fazer

Em relação ao último ponto, consideramos logicamente uma migração ao mudar de uma versão estável para outra, mas raramente ao atualizar pacotes em uma versão estável. É bastante desagradável para um administrador durante uma simples atualização de segurança ter que alterar sua configuração.

A Mageia 8 saiu com PHP 8 e esperávamos um clamor porque “era muito cedo”, “eles definitivamente não estão pensando”…

Na lista de discussão de desenvolvimento, houve discussões ricas sobre esse tópico. Isso possibilitou destacar que nos parece importante que precisaríamos poder manter várias versões do PHP (neste caso específico), ou permitir a co-instalação de várias versões (PHP 7 versus PHP 8).

A preocupação que tivemos que enfrentar foi que o fim da vida útil do PHP 7 estava se aproximando no início do ciclo, o que forçaria os usuários a migrar dentro de uma versão estável do Mageia com todas as possíveis preocupações de migração.

LinuxFr.orgHoje, se uma escolha semelhante surgisse, que decisão a Mageia poderia tomar?

Nicolas – Acho que temos que analisar essa situação e trabalhar para que essa preocupação, essa frustração não volte a acontecer, tendo consciência da nossa “capacidade de fazer”, ou seja, nossa capacidade, no tempo de suporte, de manter um ou mais versões do mesmo software, da mesma biblioteca.

Acho que no ciclo de distribuição temos que discutir com bastante antecedência quais lançamentos queremos e nos ater a eles e comunicar sobre eles. Consequentemente, isso teria sido feito muito antes de mudarmos para o php8 e, portanto, teria dado tempo para todos reagirem.

LinuxFr.orgDe um modo geral, como você decide qual software empacotar, qual software deixar de lado?

Nicolas – É tudo uma questão de utilidade. Nossos embaladores adicionam o que usam. No entanto, mesmo com base nessa lógica, alguns softwares não podem ser adicionados.

De fato, se se propõe a manutenção de um software, ele deve obedecer a um certo número de regras:

  • uma licença compatível acima de tudo;
  • sem downloads durante a compilação, todas as compilações devem ser idempotentes;
  • geralmente, não há aplicativos mortos que não são mais mantidos ou aplicativos com vulnerabilidades de segurança que não foram corrigidas por algum tempo;
  • nenhum aplicativo que exija centenas de dependências a serem adicionadas à distribuição, sem um mantenedor.

LinuxFr.orgAinda nos comentários deste anúncio, sobre a duração da manutenção da Mageia 7 e das versões N – 1 em geral, você responde “Podemos muito bem considerar a modificação desta data, isso não me pareceria bobo”. O que isso daria?

Nicolas – Para a Mageia 7, não é enorme, admito, mas estendemos o suporte por um mês, até 30 de junho. É bastante complicado agora, com o número de voluntários, comprometer-se com uma extensão muito grande do apoio. No entanto, se conseguirmos incluir novos contribuidores, isso pode/será discutido novamente, sejam eles empacotadores ou ajudantes de QA.

Como nosso QA não testa apenas a instalação de pacotes, isso não pode ser feito automaticamente. Nosso QA também verifica se os CVEs ³) não são mais válidos com as novas versões. Leva tempo, mas é um valor agregado para a Mageia.

A Mageia tem um ciclo de vida relativamente longo, o que é confortável, mas alguns softwares muito usados ​​têm ciclos significativamente mais curtos. Você acha que seria possível mudar a política atual da Mageia e ter mais atualizações desse software entre duas versões?

Gostaria muito que adotássemos esta política. Já começou com, por exemplo, a atualização do LibreOffice. Atualizaremos para a versão 7.2 assim que estiver disponível.

Também acho que é possível adotar isso para alguns softwares se os mantenedores forem ativos e responsivos. Em relação ao Plasma e outros ambientes de desktop, é um pouco mais complicado porque, por exemplo, para o Plasma, existe o Plasma-workspace como tal, mas também existem os KFrameworks a serem atualizados regularmente (um lançamento por mês) e o KDE Gears ( Aplicativos do KDE como Dolphin, KMail, K3b…) que possuem grandes atualizações em abril, agosto e dezembro e muitas pequenas versões secundárias no meio.

Seria possível liberar cada nova versão, mas isso envolve uma quantidade muito grande de pacotes RPM para testar e verificar se eles são instalados corretamente. A equipe de controle de qualidade não tem mãos para isso (no entanto, isso pode mudar dependendo do número de pessoas envolvidas).

LinuxFr.orgUma das críticas recorrentes de fora é sobre a abundância de ambientes de desktop da Mageia. Como você responde a isso?

Nicolas – A isso eu respondo que é um falso debate para mim. De fato, se um colaborador vier à Mageia com o desejo de manter um ambiente de desktop e se lhe disserem que é melhor manter o Plasma ou o Gnome, há uma chance em duas de que ele ou ela não o faça e vá para outro lugar ou torne-se um usuário simples novamente. No entanto, precisaríamos auditar os ambientes de desktop e manter apenas aqueles que são mantidos e funcionais.

LinuxFr.orgA Mageia até agora usava ferramentas do Google ou Framasoft para determinadas tarefas (escrita colaborativa, planejamento de eventos, etc.). Existem planos para a distribuição usar suas próprias ferramentas?

Nicolas – Atualmente não há projetos da equipe sysadmin da Mageia para hospedar essas ferramentas, já temos alguns projetos em andamento, mas uma vez que a lista é limpa, não é impossível.

LinuxFr.orgSe quisermos nos aproximar do caldeirão onde a futura Mageia é inventada, por exemplo, por meio de embalagens, o que devemos fazer, ter, saber? Como isso funciona?

Nicolas – Para se aproximar da versão de desenvolvimento, existem várias abordagens dependendo do que você deseja fazer.

A primeira é simplesmente usá-lo: ao fazer isso, você também pode (e até é recomendado) se inscrever na lista de discussão do Mageia dev. Isso permite que você esteja ciente das alterações (por exemplo, recentemente, quando o rpm alterou seu gerenciador de banco de dados).

A segunda é para pessoas que querem se envolver. Para isso existe, além da lista dev, a lista de pacotes-commits, que permite ter emails em tempo real de modificações na distribuição (lado rpms), e soft-commits para ter as modificações no software ( mcc , urpmi, instalador, etc.).

Em ambos os casos, você precisa migrar uma instalação da Mageia 8 para o Cauldron modificando os repositórios urpmi usando o método fornecido no wiki da Mageia. Como o conteúdo do Caldeirão é frequentemente alterado ao longo do dia, é melhor usar um espelho específico. Se você estiver na França, sugerimos usar o de free.fr.

Como primeiro passo, é altamente recomendável usar o caldeirão em uma máquina virtual. Seu uso na produção não é recomendado. As atualizações são muito frequentes e às vezes podem quebrar o sistema enquanto aguarda a recompilação da maioria dos componentes (por exemplo, ao atualizar a pilha Perl ou Python, etc.).

4 – Para concluir

LinuxFr.orgNo nível profissional, qual software livre você usa, em qual sistema operacional?

Nicolas – Profissionalmente minhas duas ferramentas mais importantes são Vim e Git. Eu nunca consegui usar um editor de texto gráfico para substituir efetivamente o Vim. Eu os uso no Debian e Mageia (com preferência por um dos 2 😉).

LinuxFr.orgAlém da Mageia, você tem alguma outra distribuição GNU/Linux favorita ou outro sistema livre (*BSD, Haiku, etc.)? E por que, quais são seus programas gratuitos favoritos?

Nicolas – Para o trabalho eu uso Debian e Centos, pois fornecemos nosso software nesses dois sistemas operacionais.

Eu uso meus computadores quase só para trabalho, então a quantidade de software usada é bastante limitada, pois além do Vim e Git eu uso Jitsi, Firefox, VLC.

LinuxFr.orgQual pergunta você adoraria ser feita? (obviamente você pode responder)

Nicolas – O que faz da Mageia uma ótima distro?

A Mageia tem, como todos, suas peculiaridades, suas especificidades, atende a maioria das necessidades usuais, é uma boa distribuição, mesmo que não agrade a todos. Isso se baseia em vários elementos:

seus colaboradores ativos e atentos que fazem o máximo para satisfazer seu uso e o dos usuários; sua comunidade muito ativa, seja na França ou em outros países.

Ouvir é muito importante para ter uma boa distribuição, por isso acho que devemos montar um sistema fora do Bugzilla, para tirar dúvidas e obter a opinião dos usuários de uma forma mais simples e eficiente.

LinuxFr.orgQual pergunta você odiaria ser feita? (esperando não ter perguntado).

Nicolas – Não é muito difícil começar a liderar Mageia depois de Ennael?

Simplesmente porque devo tudo à Anne, porque se ela não tivesse me chamado há doze anos, não sei se minha trajetória profissional me permitiria ter tempo para contribuir.

Permitiu-me fazer parte de um time de ótimas pessoas (não precisa nomeá-las, elas se reconhecerão) e aprender muitas coisas.

Obrigado novamente a ela🙂

LinuxFr.org Muito obrigado Nicolas.

¹) David Geiger alias david_david que é o co-mantenedor do KDE na Mageia.

²) https://linuxfr.org/news/la-huitieme-mageia

³) CVE é a abreviação de Common Vulnerabilities and Exposures

(escrito em inglês por Marja van Waes e traduzido por macxi)

Publicado em Sem categoria | Comentários fechados em Entrevista de Nicolas Lécureuil, presidente do Conselho da Mageia, em Linuxfr.org

Mais sobre o Open Source Experience

Já anunciamos que teremos um estande na Open Source Experience em Paris nos dias 9 e 10 de novembro de 2021. No entanto, não dissemos por que estamos tão felizes em poder participar deste novo evento.


A Open Source Experience objetiva reunir todo o ecossistema de código aberto por dois dias dinâmicos. “Inteiro” realmente significa inteiro: de comunidades como a Mageia a todos os tipos de empresas, de estudantes a especialistas, de jornalistas a políticos, de investidores a pesquisadores e inventores e muito mais, é para qualquer pessoa dedicada ao código aberto. Observe que não se trata apenas de software de código aberto, mas também de hardware de código aberto e soluções de rede, consultoria, treinamento, nuvem, data centers, segurança, IA, IoT etc., mais do que pode ser mencionado.

Muitas pessoas interessadas visitarão o evento, e certamente não apenas da França. O evento será híbrido: reuniões físicas nos dias 9 e 10 de novembro de 2021 e uma plataforma digital de eventos, para que os visitantes (internacionais) que de outra forma não poderiam comparecer possam participar. Pelo menos um dos palestrantes é colaborador da Mageia e membro do conselho em seu tempo livre, Bruno Cornec. Ele dará duas palestras, uma sobre uma alternativa para REST, outra sobre como (e como não) abrir um projeto de código aberto.

A experiência de código aberto é uma excelente oportunidade para apresentar a Mageia a pessoas que potencialmente gostariam de ajudar a fazer a Mageia, mas também para ver o que está acontecendo no mundo de código aberto, aprender e descobrir novos desenvolvimentos, conhecer outras pessoas e projetos e para tornar o ecossistema de código aberto mais forte.

(escrito em inglês por Marja van Waes e traduzido por macxi)

Publicado em Sem categoria | Comentários fechados em Mais sobre o Open Source Experience

Mageia no Campus du Libre e na Open Source Experience

Temos o prazer de anunciar dois eventos da vida real.

A Mageia estará novamente presente no Campus du Libre em Lyon. O evento será realizado no sábado, 6 de novembro de 2021, das 10h às 17h30, no Campus de la Doua, no prédio Nautibus.

Graças a DTux, aliás DTux69, a Mageia também estará presente na Open Source Experience em 9 e 10 de novembro de 2021 no Palais des Congrès em Paris.

Se você estiver na França em novembro, essas são excelentes oportunidades para conhecer alguns membros importantes da Mageia.

Informações adicionais, adicionadas em 24 de setembro às 16h01 UTC:

Teremos um estande em ambos os eventos, nossos membros ficarão felizes em conhecê-lo, independentemente de quão experiente ou inexperiente você seja. Você é encorajado a visitar o estande, especialmente se você tiver alguma dúvida sobre a Mageia, se você gostaria de contribuir para o nosso projeto maravilhoso, ou se você simplesmente gostaria de conhecer outros Mageia.

(escrito em inglês por Marja van Waes e traduzido por macxi, que agradece a ajuda de Carlos Filho)

Publicado em Sem categoria | Comentários fechados em Mageia no Campus du Libre e na Open Source Experience

Mageia no GUADEC 2021

Em minha recente postagem no blog, eu compartilhei que o GUADEC 2021 do GNOME estará online devido à pandemia de Covid19. No entanto, tenho o prazer de informar que meu workshop sobre o GNOME da Mageia foi aceito!

Este workshop dará uma introdução ao GNOME da Mageia e você aprenderá sobre a distribuição em si no dia 23 de julho às 18h30 UTC (às 19h30, Horário de Verão Britânico (BST), 20h30 horário da Europa Central (CEST, Paris, Berlim, Roma … )) por cerca de uma hora.

Acredito que este será um momento divertido para todos nós.
Aqui está o link: https://events.gnome.org/event/9/contributions/244/
Se você não quer perder este evento, por favor, adicione-o ao seu calendário
Vejo você lá e fique saudável!

Saúde

(escrito em inglês por papoteur e traduzido por macxi, que agradece a ajuda de Carlos Filho)

Publicado em Sem categoria | Comentários fechados em Mageia no GUADEC 2021