BR-Linux.org

Em um evento voltado a desenvolvedores, a Microsoft anunciou o Coreutils for Windows, descrito como parte de uma estratégia para tornar o Windows uma plataforma amigável a esse público (ao aproximá-lo cada vez mais da linha de comando das distribuições de Linux, mas essa parte ela não disse em voz alta).

A turma do Retrópolis certamente vai identificar um padrão 👇🏻 ao saber que a Microsoft anunciou ontem o lançamento do componente 'Coreutils for Windows', levando ao sistema deles uma implementação nativa, e oficialmente mantida, de uma série de comandos e utilitários herdados do Unix dos anos 1970 e 1980, e que a partir de 1990 evoluíram como parte do GNU Coreutils (que só ganhou esse nome a partir de 2002, porque antes era dividido entre textutils, shellutils, fileutils e mais alguns pacotes isolados).

A implementação da Microsoft usa a mesma estratégia do BusyBox: um único executável, e inúmeros links apontando para ele, com nomes distintos como cat, cp, mv, ls, base64, pwd, tee e muitos mais. E o pacotão da Microsoft usa a reimplementação das coreutils em Rust (aquela mesma que a Canonical incluiu cedo demais como default no Ubuntu), e também incluiu alguns softwares extras, relacionados aos comandos find e grep.

Alguns dos comandos, que dependem de funcionalidades do POSIX que não são nativas no Windows, não foram incluídos na versão atual – assim, não estão disponíveis itens como chmod, chown, chroot, nohup, tty, kill e timeout. Quanto aos que foram incluídos, a Microsoft já avisa para não esperar compatibilidade plena e imediata, porque até a forma como os 2 sistemas identificam o final de cada linha de texto é diferente, e certamente haverá outras diferenças mais profundas a serem identificadas para corrigir ou conviver.

E o padrão retrô que eu mencionei acima é este: os comandos mais essenciais do Unix sempre acabam dando um jeito de chegar às plataformas da Microsoft, cuja linha de comando suporta os recursos necessários de redirecionamentos e pipes, mas não vem com a mesma riqueza de filtros para explorá-los.

Eu já fui usuário dessa ideia ainda no século XX, com o pacote MSX-DOS Tools (lançado em 1987 pela Ascii Corp., parceira da Microsoft no Japão), que incluía no MSX-DOS da Microsoft vários comandos do Unix como grep, head, tail, tr, uniq, wc, sort e patch.

Referência: infosec.exchange

A versão 4.1.2 do Transmission chegou trazendo mais de 20 correções de bugs.

Quase não há novas funcionalidades nessa versão, o que não significa que você não deva instalá-la, já que alguns dos bugs corrigidos tem implicações diretas em segurança do sistema, e em estabilidade das transferências de arquivo – incluindo um bug quase sádico, que às vezes deixava um download estacionado permanentemente em 99%, sem jamais indicar sua conclusão.

Referência: techhub.social

No momento, o foco da firma do ex-astronauta é a turma que acredita na IA como motor do futuro do desenvolvimento de software, e ontem ele deixou isso claro ao palestrar em um evento em que seu assessor para assuntos de tecnologia aproveitou para afirmar que eles rejeitam a postura de quem se mantém afastado da IA por princípios morais.

Sabemos que o Ubuntu não deseja ser, nem nunca desejou, uma continuidade daquela visão do que seria uma distribuição Linux ortodoxa (melhor representada por projetos como o Slackware); a esta altura já não surpreende que esteja a cada 4 anos mudando quem é o seu público-alvo (já foi mobile, já foi a turma da convergência de telas), nem que abandone na chuva o público-alvo anterior a cada troca de foco – que é a parte que me levou a abandoná-lo há 16 anos (hoje minha distribuição do dia a dia é o Debian, nunca fui triste), após uma regressão grave na qualidade do instalador, que me custou dados e muito stress, na época em que eles resolveram se concentrar em ter seu próprio ambiente gráfico.

E a palestra do CEO da Canonical e ex-astronauta Mark Shuttleworth deixou clara, mais uma vez, essa desconexão com o legado, pois ele falou com todas as letras: para esse mundo novo que ele enxerga como o futuro para o Ubuntu, não há alternativa exceto “os usuários irem além do apt e rpm, para snaps assinados, atualizados automaticamente e orientados por políticas” – formato e modelo de distribuição de pacotes que a empresa dele prefere há tempos, e agora justifica com a palavra mágica “IA”.

Outro ponto em que o ex-astronauta apresenta a mesma desconexão em relação ao modelo ortodoxo de Linux é a insistência em containers. Para ele, containers são a solução desde a base, com "tudo rodando em caixas de ferramentas isoladas em camadas", o que seria uma solução ideal para a sua visão em que seu público-alvo “deseja rodar milhares de agentes”, e assim cada instância do Claude e do Copilot terá completo isolamento.

Essa solução containerizada é complementada pelo 'Workshop', um modelo que permite ao administrador hierarquizar os tokens, senhas e acessos, passando a cada agente apenas o conjunto que ele precisa ter, e reduzindo assim a atual onda de ataques em que agentes roubam conjuntos inteiros de credenciais de máquinas de desenvolvimento ou acessíveis por elas.

Esse público-alvo a que ele está se dirigindo existe? Certamente, e parte dele deve até mesmo estar lendo o BR-Linux neste momento, enquanto acredita no acerto das medidas da Canonical – e pode até estar certo, quanto ao sucesso mercadológico do contexto tecnológico que a empresa adotou, pois nada está definido no momento.

A certeza que eu tenho, entretanto, é que eu não sou parte desse público-alvo, e isso não mudaria, caso eu fosse fã de IA no desenvolvimento de software. No nível sistema operacional, eu prefiro interfaces e conhecimentos estáveis ao longo de muitos anos, e não uma sucessão de tentativas periódicas de me levar a adotar um novo ambiente, um novo padrão de empacotamento, um novo conjunto de coreutils etc., enquanto vejo os recursos e requisitos que eu valorizava sendo largados pelo caminho.

Referência: tech.lgbt

O OMGUbuntu destaca o jogo El Poblador, uma implementação open source do jogo de tabuleiro Settlers of Catan, feita em Go, que funciona no terminal e permite partidas entre até 4 jogadores.

Por enquanto funciona apenas em modo local (ou seja, várias pessoas se alternando em frente a um mesmo terminal), mas a expansão para partidas entre jogadores remotos já esta planejada. E achei bem bonitinha a interface TUI já implementada!

O desenvolvedor não buscou permissão para usar a marca registrada, então nada de chamarmos de Settlers of Catan – o nome é El Poblador! Quanto ao código, entretanto, está tudo bem definido: é open source e free software, com a licença EUPL 1.2, da União Europeia – mesma licença do Pi Hole, entre outros projetos.

Referência: techhub.social.

Mais de 30 pacotes npm disponibilizados no namespace ‘@redhat-cloud-services’, da Red Hat, foram comprometidos em um ataque que distribuiu uma nova variante do malware de roubo de credenciais Shai-Hulud, apelidado de “Miasma”.

“A Red Hat está ciente dos relatórios de segurança sobre certos pacotes npm em nosso ecossistema de ferramentas de desenvolvimento. Iniciamos imediatamente uma investigação e removemos os pacotes do registro npm”, diz o comunicado que a empresa está distribuindo à imprensa.

A Red Hat também diz que os pacotes estão limitados ao uso no desenvolvimento interno, e que "não identificou nenhum impacto a sistemas de clientes ou parceiros, ou a ambientes de produção internos", e se negou a responder sobre como foi que os pacotes foram infectados.

Já as empresas de segurança Aikido e OX Security, que identificaram e reportaram a situação, dizem que os pacotes em questão (96 versões de um total de 32 pacotes) recebem cerca de 117 mil downloads semanais, e que o malware inserido nos pacotes foi projetado para roubar credenciais de desenvolvedores, segredos de nuvem, chaves SSH, tokens CI/CD e outras informações confidenciais.

Está mesmo sendo um ano distópico para o cenário da tecnologia da informação em geral, e da segurança digital (e da privacidade) em particular: essa mesma família de malwares já foi encontrada também em pacotes mantidos por organizações como Bitwarden, SAP, Mistral, TanStack, OpenAI e o próprio GitHub.

Neste momento, a orientação a quem instalou algum das versões afetadas é rotacionar imediatamente todas as credenciais, segredos e tokens utilizados pelo código no dispositivo infectado.

Via BleepingComputer: Red Hat npm packages compromised to steal developer credentials.

O projeto Rust Coreutils anunciou sua nova versão 0.9, que passa a usar como referência para testes de compatibilidade o GNU Coreutils 9.11 (até então era o 9.10).

Rust Coreutils, você sabe, é uma implementação em Rust de uma série utilitários fundamentais da linha de comando, fornecidos pelo pacote GNU Coreutils, como cp, mv, rm, ls, cat, head, tail, wc e chmod.

Esse tipo de componente é um caso de uso ideal para uma reescrita que aproveite as vantagens de segurança e desempenho que o Rust traz, e o projeto busca oferecer substitutos compatíveis para essas ferramentas.

Mas compatibilidade é mesmo o conceito-chave aqui: o ecossistema tem décadas de acervo de scripts e bibliotecas fazendo uso das interfaces e formatos (documentados ou não) adotados pelas ferramentas originais, e qualquer mudança nas entradas ou nas saídas gera efeitos inesperados, imprevisíveis, e surpreendentes, de um jeito ruim.

Os desenvolvedores estão cientes e atentos para isso, o que talvez não seja o caso de alguns distribuidores, como os do projeto Ubuntu, que decidiram colocar desde o ano passado esse código em versões de produção, decisão que rejeito (mas não coloco na conta dos desenvolvedores, e sim dos distribuidores) – concordo 100% com a medida, mas não com a oportunidade, já que sacrifica a estabilidade e compatibilidade de hoje em prol de vantagens que serão colhidas apenas pelos usuários no final do ciclo de suporte da atual versão LTS.

Quanto à nova versão, o Changelog indica que além de melhorias de arquitetura de segurança, tivemos melhorias de desempenho (em comandos como cat, wc, head, tail, yes, cp, tee e unexpand), de compatibilidade (ls, numfmt, date, tr, cksum, factor, head, stat e sort) e suporte a modelos cross-platform.

Vem da fundamental Dra. @melissawm@pynews.com.br o aviso de que está no ar o vídeo completo da transmissão ao vivo da primeira edição do Nosso Open Source Summit: um encontro aberto sobre FLOSS (Free/Libre and Open Source Software) no Brasil, reunindo pessoas que constroem, mantêm e querem entrar no ecossistema de tecnologias abertas para compartilhar experiências, fortalecer projetos e criar comunidade.

 
Consulte também a programação completa deste evento, que aconteceu no sábado.

Parabéns aos organizadores e a todo mundo da Cumbuca Dev. Que venham outras edições!

---

Atualização em 31.5.2026: No pós-evento, mudei as referências a "assistir ao vivo" para "assistir a gravação".

Um cenário de pesadelo começou a se desenrolar na noite de quinta, quando @JeremiahFieldhaven@mastodon.gamedev.place compartilhou seu relato sobre uma regressão grave de funcionalidade no rsync 3.4.3, e sobre o que ele descobriu ao ir inspecionar o código-fonte: as alterações dessa e de outras versões recentes não estão mais assinadas mais só pelo mantenedor (o Tridge, que conhecemos desde o século 20), mas por uma dupla: Tridge and Claude.

Ou seja: a IA entrou em cena em um utilitário que fundamenta os backups de muitos de nós, e entrou com aquele workflow típico: ao arrumar um bug, gera outros dois em partes do código que nem estavam relacionadas, e a gente começa a ver um padrão de patches feitos por IA, que estão lá para consertar bugs introduzidos por patches anteriores, também feitos por IA. A thread do link acima (assim como outros locais também) esmiuça isso um pouco mais detalhadamente, relatando outras regressões encontradas em versões recentes, numa inspeção inicial do código.

Como case de adoção de IA, é interessante para estudo, talvez vire caso antológico até, já que é um desenvolvedor experiente e renomado, e um software altamente popular. Escolha dele, claro. Do ponto de vista de quem recebe e usa um software previamente estabilizado, entretanto, provavelmente atende mal e leva a procurar alternativas.

A situação ainda está se desenvolvendo, possivelmente haverá respostas dos envolvidos, e mais detalhes, contrapontos ou explicações surgirão. Convém acompanhar. Mas vale lembrar: existe o fork openrsync, integrante da árvore de projetos do OpenBSD (sendo, portanto, irmão do openssh). Eu uso há anos.

Mais um final de semana, mais uma vulnerabilidade que dá acesso indevido de root em distribuições Linux variadas: desta vez é o CIFSwitch, que permite que um usuário local sem privilégios obtenha acesso root por meio da interação entre o cliente CIFS do kernel Linux e o utilitário cifs-utils. CIFS, você sabe, é o nome popular moderno (a partir de 1996) do tradicional SMB, protocolo de compartilhamento bastante conhecido de quem faz integração entre redes Linux e Windows.

Dependendo da configuração de recursos como AppArmor ou SELinux, o bug pode ser mitigado, mesmo quando presente. E ele está presente na configuração default de uma série de versões de distribuições como Linux Mint Cinnamon, CentOS Stream 9, Rocky Linux 9, Kali Linux headless, AlmaLinux 9.7, SLES 15.

Em várias outras distribuições, o bug não é instalado por default, mas estará presente se o usuário tiver instalado o cifs-utils. Nesse grupo, temos: Ubuntu 18.04/20.04/22.04 Desktop/Server, Ubuntu 24.04 Desktop minimal/full e Server, Debian 11/12/13 netinst standard e GNOME/KDE/standard/XFCE, CentOS Stream 9 Cinnamon/KDE/MATE/XFCE, Rocky Linux 9 KDE/Workstation-Lite, openSUSE Leap 15.6 GNOME/KDE, openSUSE Tumbleweed GNOME/KDE, Rocky Linux 8 GenericCloud, Oracle Linux 8/9 KVM, Amazon Linux 2023 KVM.

O link acima inclui, ao final, os passos para mitigação imediata (desativar o módulo do kernel ou desinstalar o pacote cifs-utils deve bastar para afastar o risco imediato).

Há exatos 20 anos, #NaData de hoje, mas em 2006, os leitores do BR-Linux se fizeram ouvir, e a revista Veja publicou nossa 'Crítica elegante e informativa' em um quadro na edição impressa, com direito a foto da capa do site.

Era a resposta, redigida inicialmente por mim e encaminhada à revista por vocês, às acusações infundadas contra o software livre, que a revista havia publicado na quinzena anterior, em uma matéria que era sobre questões partidárias e de gestão pública, não tecnológica.

Antes disso, eu aguardei resposta oficial, sugeri à galera que dizia representar o movimento software livre junto ao governo federal para que tomassem alguma providência, pedi ao ministério correspondente que houvesse resposta oficial, e não veio.

Aí promovi a nossa reação, com apoio de vocês. Os editores da revista acataram e ainda elogiaram. Mandamos bem!

Sobre as questões originalmente levantadas pela revista, também encaminhei nossas perguntas a respeito, ao Ministério competente. O ministério confirmou recebimento e disse que nos responderiam, mas estamos no aguardo até hoje.

Projeto Poço de Iluminação promete oferecer auditoria e correções de segurança personalizadas para o código open source usado pelos clientes corporativos da IBM/Red Hat.

Segundo o artigo publicado, veja só, pelo Wall Street Journal, o poço da Red Hat:

"servirá como uma camada de coordenação de segurança, utilizando capacidades avançadas de IA para identificar, testar e corrigir vulnerabilidades de segurança em grandes volumes de código-fonte aberto. Os recursos estarão disponíveis por meio de assinaturas comerciais, permitindo que as empresas reportem bugs em estruturas de código aberto e recebam patches validados e prontos para produção que podem ser integrados diretamente em suas cadeias de fornecimento de software"

Esse poço tem a IA nas duas pontas: a da demanda – porque oferece os serviços justamente a organizações que usam o código aberto na infraestrutura de suas iniciativas em IA –, e o do contexto, porque capitaliza a ideia de que “novos modelos de IA tornam mais fácil que os adversários encontrem e explorem vulnerabilidades de software”.

Segundo o artigo do WSJ, a IBM/Red Hat informou que já começou a cavar o poço, com um grupo de clientes que inclui: Bank of America, Citi, Goldman Sachs, Morgan Stanley, Visa e Wells Fargo.

Um oportuno artigo de @brennan@social.lol recostura a linha entre os protocolos finger:// (1971), gopher:// (1991) e gemini:// (2019), e os alinha em um mesmo nicho, muito interessante: o da chamada small web, onde não há cookies, nem pixels de rastreamento, nem recursos de terceiros, nem espionagem analítica.

Eu sou muito simpático ao tema, e tive a oportunidade de ter serviços finger e gopher ativos antes da popularização da web – em meados da década de 1990, administrei 2 servidores gopher antes de administrar o primeiro servidor web da minha carreira. Boa parte dessa forma de ver o mundo acabou se cristalizando nos princípios que definiram o Axe, CMS que eu criei para hospedar o BR-Linux e meus outros sites, sem ser voltado a essa web meio distópica que temos hoje em dia.

O artigo do Brennan faz um bom trabalho ao explicar o gemini (que não é o serviço de geração de conteúdo enlatado do Google, neste caso, e sim um protocolo moderno para suprir a mesma lacuna preenchida pelo Gopher, cuja evolução praticamente parou assim que a web baseada no http decolou.

Se você não sabe do que estamos falando, este portal permite acessar todos esses protocolos no seu navegador, e tem links para alguns sites de exemplo.

Saiba mais: Gemini, Gophers, and Fingers. Oh My! Alternative Internets Beyond HTTPS.

O dynip.dev é uma nova alternativa de DNS dinâmico (e gratuito, dependendo do tipo de uso) da nova geração: atualiza em segundos (e não minutos ou horas), traz suporte moderno a IPv6 e a recursos como DNSSEC, e é integrado com facilidade aos recursos de atualização ('DNS UPDATE') presentes em roteadores e modems do mercado (e em alternativas como o OpenWRT ou o seu servidor configurado primorosamente para self hosting ou home lab).

O autor estava frustrado com o estado da maior parte das ferramentas 'clássicas' do ramo, e resolveu fazer a dele, como conta neste breve post descritivo. Mas ele entende do assunto, e parece que gerou um resultado interessante. Definitivamente vou acompanhar e, possivelmente, aderir.

A AlmaLinux lançou suas versões 9.8 e 10.2 no mesmo dia, atualizando itens de segurança, ferramentas de desenvolvimento, e até recursos do kernel que chegam antes da atualização correspondente no RHEL.

O RHEL¹ é um dos mais populares sistemas operacionais corporativos da IBM, e conta com uma série de versões alternativas mantidas pela comunidade.

A maior parte dessas alternativas são meros clones compilados a partir do mesmo código-fonte, ou com pequenas modificações. Não é o caso do AlmaLinux, projeto que está no ar há 5 anos e que (além de acompanhar a base do RHEL) mantém desenvolvimento próprio, contribui com o upstream, e frequentemente atualiza seus pacotes com correções e ajustes necessários não apenas no mesmo dia em que o RHEL os inclui, com ainda, em alguns casos, os lança antes de chegarem à versão distribuída pela IBM.

A lista de novidades da versão 10.2, lançada ontem, é grande, e eu reproduzo o resumo do FossForce:

O novo AlmaLinux apresenta ferramentas de desenvolvimento atualizadas, novos pacotes de linguagens e bancos de dados, e segurança aprimorada. Ele adiciona o Python 3.14, PostgreSQL 18, MariaDB 11.8, Ruby 4.0 e PHP 8.4 como novos pacotes, junto com ferramentas como SDL3, libkrun, trustee e FIDO Device Onboard, tendo o GNOME 49 como desktop. O suporte a containers e virtualização é atualizado com as versões mais recentes do Podman, Buildah, libvirt, QEMU-KVM e skopeo. Pelo lado da segurança, há atualizações para o OpenSSL, OpenSSH, SSSD, configuração do SELinux e criptografia, e Keylime. O AlmaLinux 10.2 também traz pacotes para arquitetura i686 (que permitem software legado de 32 bits) e pipelines de CI.

Entre as novidades que divergem do RHEL 10.2, estão a reinclusão do Firefox e Thunderbird como pacotes RPM regulares no repositório, e o suporte a Btrfs que inclui a capacidade de dar boot a partir de um volume Btrfs.

As duas versões lançadas ontem também incorporam as correções que já estavam nos repositórios, para evitar e previnir a recente onda de vulnerabilidades que tem assolado o ecossistema, incluindo: Copy Fail, Dirty FRAG, Fragnesia, nginx Rift e SSH Keysign Pwn.

Imagens ISO de instalação estão disponíveis para as arquiteturas PC de 64 bits, ARM64, PowerPC de 64 bits, e IBM System Z (S390x).

Existem vários aspectos pelos quais se poderia debater as leis de verificação de idade em softwares e conexões em geral, ou a da California em particular, mas um efeito específico delas é que as distribuições de Linux (e componentes, como o systemd) começaram a se movimentar para atender a essa exigência, e gerando o necessário debate a respeito (que também acontece, por exemplo, no âmbito das redes sociais com organizações espontâneas ou voluntárias.

Um possível alento é que agora passou a tramitar uma emenda, especificamente para a lei da Califórnia (que é a que tem provocado mais reação), isentando da obrigação, de forma específica, “as pessoas ou entidades que distribuem um sistema operacional ou aplicativo sob termos de licença que permitem ao destinatário copiar, redistribuir e modificar o software”.

A mesma emenda também isenta, em outro dispositivo, os aplicativos que não sejam distribuídos nas app stores e outros repositórios explicitamente cobertos pela definição da norma.

A ideia de ter de comprovar idade (ou data de nascimento) para instalar ou usar um recurso digital é complicada inclusive quanto à exequibilidade prática, e reconhecer a inviabilidade de isso ser efetivo em um sistema operacional ou aplicativo open source é um primeiro passo na direção certa, na minha opinião.

Via Phoronix.