🔎 SSH Kütüphanesinde Arka Kapı Keşfedildi! - Hafta 13/2024

Herkese selamlar dostlar yeni bir bültene hoş geldiniz! Bugün 31 Mart 2024.

Bültende bu hafta Linux'taki xz-utils paketinde bir arka kapı keşfediliyor, iddiaya göre Facebook Netflix'e özel API ile kullanıcıların mesajlarını veriyor, Red Hat yeni NVIDIA sürücüsünü duyuruyor ve iPhone'lar kutusundan çıkmadan güncellenebiliyor.

Hepsi ve daha fazlası aşağıda sizlerle!

🐧 Özgür Yazılım

Red Hat, Nova adında NVIDIA için çalışacak açık kaynak GSP sürücüsünü duyurdu. Bu sürücü RTX 2000 kartları ve sonrası için çalışacak, hedefi ise modern nouveau olmak. Nouveau artık eski bir proje ve 1600 öncesi kartlar için eski kod barındırıyor. Red Hat 2000 kartları ve sonrası için bu durumu sıfırlamak istiyor. RTX 2000 kartları her ne kadar kulağa yeni gibi gelse de artık 6 yıllık kartlar oldular ve bu sürücü tamamlanana kadar belki 10 yıllık kartlar olacaklar.

Red Hat Announces Nova, a Rust-Based GSP-Only Graphics Driver for NVIDIA GPUs - 9to5Linux

Red Hat announces the Nova project as the successor of the Nouveau open-source driver for GSP-firmware-based NVIDIA graphics cards.

9to5Linux •Marius Nestor

Flatpak, 1.15.7 sürümüyle birlikte artık eski grafik sürücülerini otomatik olarak silecek. Elle eski sürücüleri takip etmenize gerek kalmayacak. Güzel bir gelişme.

Flatpak 1.15.7 Will Now Automatically Remove Obsolete Driver Versions

Simon McVittie issued the Flatpak 1.15.7 pre-release on Wednesday with a few notable changes for this widely-used open-source app sandboxing and distribution framework.

Phoronix •Michael Larabel

Geçen hafta Redis'in artık açık kaynak lisans olmadığını konuşmuştuk. Linux Foundation, Redis'in forkunu yapacaklarını duyurdu. Adı Valkey olacak. Google, AWS, Oracle gibi firmalar da bu projeye katkı yapacağını duyurdu. Başka firmalar başka forklar da duyurdu, bakalım Redis'in hali ne olacak göreceğiz.

Linux Foundation Launches Valkey As A Redis Fork - Slashdot

Michael Larabel reports via Phoronix: Given the recent change by Redis to adopt dual source-available licensing for all their releases moving forward (Redis Source Available License v2 and Server Side Public License v1), the Linux Foundation announced today their fork of Redis. The Linux Foundation…

Slashdot

🤖 Yapay Zeka

Biliyorsunuz bu yapay zeka işinden en çok ekmek yiyen firma NVIDIA. Ürettiği çiplerin performansını şimdilik geçebilen yok. NVIDIA'nın AI çip üretimine karşı Qualcomm, Google ve Intel koalisyon kurdu. Üçü birden NVIDIA'ya rakip çipler üretecekmiş.

Behind the Plot To Break Nvidia’s Grip on AI By Targeting Software - Slashdot

An anonymous reader shares a report: Nvidia earned its $2.2 trillion market cap by producing AI chips that have become the lifeblood powering the new era of generative AI developers from startups to Microsoft, OpenAI and Google parent Alphabet. Almost as important to its hardware is the company’s ne…

Slashdot

OpenAI Sora'yı bağımsız olarak kullanan kişilereden ilk yorumlar ve görüntüler geldi. Videolara göz atmanızı tavsiye ediyorum. Bayağı sağlam görüntüler var. Eğer bu şekilde gösterdikleri gibiyse film ve dizi sektörünü de inanılmaz ölçüde etkileyebilir.

Sora: first impressions

We have gained valuable feedback from the creative community, helping us to improve our model.

Görünüşe göre Meta, WhatsApp'a yapay zeka eklemeyi planlıyor. Artık bu özellik sonrası ben yapay zekayı denemedim diyen kalmaz herhalde. Yaşlılar bile WhatsApp sayesinde yapay zeka kullanabilirler.

WhatsApp, arama çubuğuna yapay zeka chatbot özellikleri eklemeye hazırlanıyor

WhatsApp, kullanıcıların arama çubuğu üzerinden Meta AI destekli yapay zeka sohbet botuna erişmesini sağlayan yeni bir özellik üzerinde çalışıyor.

Webrazzi •Tuğçe İçözü

Google, telefonlarda yapay zeka çalıştırabilmek için 8 GB RAM'in yeterli olmadığını söylüyor. Geçtiğimiz haftalarda Pixel 8'de Gemini Nano'nun çalışmayacağını söylemiştik, nedeni Gemini Nano 8 GB telefonda çalıştığında diğer işleri yavaşlatıyormuş ama o zaman bunu lansmanda da söyleyeceklerdi. Neyse demek ki bir telefonun AI telefon olması için 8 GB'dan yüksek bir RAM'e ihtiyacı var.

Google says running AI models on phones is a huge RAM hog

Google wants AI models to be loaded 24/7, so 8GB of RAM might not be enough.

Ars Technica •Ron Amadeo

OpenAI ses klonlama teknolojisini duyurdu. Normalde bunu herkese açmak istiyorlarmış, hatta şu an o seviyede olduğunu söylüyorlar ama etik nedenlerden dolayı açmıyorlar. Şu an insanlığın buna hazır olduğunu düşünmüyorlar... Bir de önümüzde ABD seçimleri var, risk almak istemiyorlar bence. Bize gösterdikleri sonuçlar güzel geliyor kulağa. Aynı sesi farklı dillerde kullanabiliyorsunuz, gayet güzel. Eninde sonunda açacaklar, açtıklarında da olay olacak. Gerçi ses klonlama teknolojilerini başka firmalar sağlıyor şu anda ama OpenAI açtığında hemen manşet oluyor ve erişilebilirliği daha kolay oluyor. Yoksa şu an da herhangi bir sesi farklı firmaların arayüzlerini kullanarak klonlayabilirsiniz. O kadar zor bir şey değil.

Navigating the Challenges and Opportunities of Synthetic Voices

We’re sharing lessons from a small scale preview of Voice Engine, a model for creating custom voices.

🔒 Güvenlik

Discord'a eklediğiniz botlara dikkat edin. Ünlü top.gg botunun sahipleri Github hesaplarını çaldırdılar ve hacker botun paket listesine zararlı Python paketleri ekledi. Bu bot birçok sunucuda olduğu için şu an 170 bin kullanıcının verileri gitmiş. Eklediğiniz botun sahibinin botu düzgün maintain ettiğine güvenmeniz gerekli.

Over 170K users caught up in poisoned Python package ruse

Supply chain attack targeted GitHub community of Top.gg Discord server

The Register •Matthew Connatser

Linux'ta keşfedilen bir hata nf-tables açık olan sistemlerde root erişimi sağlıyor. Açık birazcık teknik bir okuma istiyor ama kısaca veriyi iki defa temizlemesine izin verdiği için double-free açığına neden oluyor. Veriyi iki defa boşalttığı için belleğe veri yazıp yetki yükseltebiliyor. Bu açık kapatıldı, sistem güncellemesi yapmanızı tavsiye ederim.

Flipping Pages: An analysis of a new Linux vulnerability in nf_tables and hardened exploitation techniques

A tale about exploiting KernelCTF Mitigation, Debian, and Ubuntu instances with a double-free in nf_tables in the Linux kernel, using novel techniques like Dirty Pagedirectory. All without even having to recompile the exploit for different kernel targets once.

Pwning Tech •notselwyn

Almanya Ulusal Sibergüvenlik yetkikileri 17 bin tane Microsoft Exchange sunucusunun güncellenmediğini ve kritik açıklara maruz kaldığı konusunda uyardı. %28'i 6 aydır güncelleme almamış. Bu durum Türkiye'de de var olabilir bence. Anladığım kadarıyla üniversitelerde ve şirketlerde Microsoft Exchange sık kullanılıyor ve pek güncellendiğini zannetmiyorum.

Germany warns of 17K vulnerable Microsoft Exchange servers exposed online

The German national cybersecurity authority warned on Tuesday that it found at least 17,000 Microsoft Exchange servers in Germany exposed online and vulnerable to one or more critical security vulnerabilities.

BleepingComputer •Sergiu Gatlan

iPhone'da şifre sıfırlama isteği gönderdiğinizde telefonunuza bildirim olarak izin ver izin verme diye seçenek geliyor. Bu durumu fırsat bilen hackerlar bu şifre sıfırlama isteğini kullanıcının telefonuna spamlıyorlar ve yanlışlıkla izin ver demesini bekliyorlar. Buna düşen insanlar oluyor ki düzenli olarak bu saldırıyı yapıyorlar. Normalde Apple'ın bir rate limit koymasını beklerdik ama rate limit varsa da oldukça yüksek gözüküyor.

“MFA Fatigue” attack targets iPhone owners with endless password reset prompts

Rapid-fire prompts sometimes followed with spoofed calls from “Apple support.”

Ars Technica •Kevin Purdy

Google, 2024 Pwn2Own'da patlatılan sıfır gün açıklarını kapattı. İlk açık WebAssmebly standardında tür karıştırma zafiyeti. İkincisi WebCodecs API'nda use-after-free zayıflığı. Güncelleme yapmanızı tavsiye ediyorum.

Google fixes Chrome zero-days exploited at Pwn2Own 2024

Google fixed seven security vulnerabilities in the Chrome web browser on Tuesday, including two zero-days exploited during the Pwn2Own Vancouver 2024 hacking competition.

BleepingComputer •Sergiu Gatlan

Canonical artık yeni bir snap paketi eklendiğinde elle onaylayacak. Geçmişte snap mağazasında defalarca zararlı yazılım bulundu ve geçen haftaki olay da son damla olmuş olacak ki buna karar verdiler ama bence geç bile karar verdiler. Bir defa adın çıktı mı ki burada bir defa çıkmamış, insanların güvenini kazanmak zor.

Oh Snap! Canonical now doing manual reviews for new packages due to scam apps

After repeatedly suffering issues with scam apps making it onto the Snap Store, Canonical maker of Ubuntu Linux have now decided to manually look over submissions.

GamingOnLinux •Liam Dawe

Linux'ta xz-utils adındaki bir pakete arka kapı eklendiği keşfedildi. Bu son çıkan 5.6.0 ve 5.6.1 sürümlerinde var. Teknik olarak arka kapı kodun içerisine gömülü gelmemiş çünkü bu durum herkesin gözünün önünde olurdu. Onun yerine derlemeyi yaparken çalışan test dosyalarının içerisine dahil edilmiş. Yani sunucu arka planda test dosyalarını okurken bu zararlı kodu dahil ediyor. Linux stabil sürüm takip eden dağıtımlara bu zararlı sürüm henüz gelmemişti ama Fedora Rawhide, Fedora 40 ve 41 gibi sürümlere bu paketler gelmiş dolayısıyla bu sistemlerde güncellemelerinizi yapmanızda fayda var. Arch'a da gelmiş ama Arch'ta efektif olarak bu açık patlatılamıyormuş, yine de ona da güncelleme geldi mutlaka yapın. Bu eklenen arka kapı uzaktan kod çalıştırmaya olanak sağlıyor ama çalışabilmesi için SSH'nizin aktif olması ve portların dışarıya açık olması gerekli. Neyse ki erken yakalandığı için kimse etkilenmiş gözükmüyor. Nasıl yaptığına dair teknik detaylar bağlantılar kısmında olacak.

Red Hat warns of backdoor in XZ tools used by most Linux distros

Today, Red Hat warned users to immediately stop using systems running Fedora development and experimental versions because of a backdoor found in the latest XZ Utils data compression tools and libraries.

BleepingComputer •Sergiu Gatlan

🥸 Mahremiyet

ABD'de de bir soruşturma için YouTube'da belli videoları izleyen kişilerin bilgileri istendi. İstenilen bilgiler arasında ad soyad, IP adresi, telefon numarası gibi şeyler var. Listeden herhangi birisini bulmak için değil. Aradıkları şüphelinin bu videoları izleyebileceğini düşünüyorlar ve dolayısıyla bu listeyi istiyorlar. Video izlediğiniz için şüpheli listesine girebilirsiniz yani... Artık YouTube'daki videoları da mı anonim izlesek?

Feds Ordered Google To Unmask Certain YouTube Users. Critics Say It’s ‘Terrifying.’

The federal government asked Google to turn over information on anyone who viewed multiple YouTube videos. Privacy experts say the orders are unconstitutional.

Forbes •Thomas Brewster

ABD'de SWAT ekibi çalıntı AirPods'un gönderdiği lokasyon verisiyle masum bir ailenin evine baskın attı. Sonra bu AirPods'u yakında bir sokağın ortasında buldular. Belli ki yanlış lokasyon verisi göndermiş. Burada iki soru var ilki neden AirPods için SWAT ekibi eve baskın atıyor? Galiba çalan kişinin tehlikeli ve silahlı olduğunu düşünmüşler. İkinci soruysa AirPods nereden lokasyonunuzu biliyor? AirPods arka planda yakındaki iPhonelara bluetooth isteği atarak onların lokasyon verilerini okuyabiliyor, her ne kadar bu durumda olduğu gibi %100 doğrulukla olmasa da... Yani AirPods'unuz kapalı olsa bile başkalarının iPhone'una bluetooth isteği attığı için lokasyonunuz bilebiliyor. Böyle bir vaka ABD'de ilk defa yaşanmamış. Yanlış lokasyon verileriyle yanlış kişilere baskını defalarca atmışlar. İlginç bir durum.

SWAT Team Raids Innocent Family Over Stolen AirPods, Inaccurate ‘FindMy’ App Tracking - Slashdot

A SWAT team in St. Louis County mistakenly raided the home of Brittany Shamily and her family, based on the inaccurate tracking of stolen AirPods by the “FindMy” app. The family is suing for damages stemming from embarrassment, unreasonable use of force, loss of liberty, and other factors. The River…

Slashdot

İsrail, Gazze'de Hamas üyelerini bulmak için yüz tanıma yapıyor ve insanların izni olmadan yüzlerini tarıyor ancak yeteri kadar doğru çalışmıyor olacak ki haberde verilen bir örnekte şairi Hamas üyesi olarak göstermiş ve bu kişi 2 gün sorguda dayak yemiş. Bu tarz yüz tanıma programları devletlerin kullanması konusunda geçmişte konuşmuştuk, uyarmıştım. %100 doğru sonuç vermediği halde mahkemelerde bile delil olarak kullanılabiliyor ve bu sıkıntılı bir durum. Bu örnekte de savaş bölgelerinde bunlara güvenilmesi bir sürü masum insanın olaya kurban gitmesi demek.

Israel quietly rolled out a mass facial recognition program in the Gaza Strip

The New York Times reports the tech has mistakenly identified people as connected to Hamas.

The Verge

Geçmişte Meta, kendi yayın platformu olan Facebook Watch adında bir platform çıkarmıştı ve burada kendilerine özel diziler yayınlıyordu ama kısa bir süre sonra bundan vazgeçti. ABD'de dönen bir davaya göre bunun nedeni Meta, Netflix'e verdiği özel API'da kullanıcıların özel mesajlarını Netflixle paylaşıyordu. Bu ilişkiyi tutmak için kendi streaming platformundan vazgeçti. Tabii bu şu an davada konuşulanlar ve henüz doğrulanmış bir şey değil. Geçmişte Facebook'un farklı şirketlere özel API'lar sağladığını biliyoruz ama mesajları okumasını sağlayan bir API sağladığını bilmiyorduk. Gerçi geçtiğimiz sene Meta uçtan uca şifrelemeyi Facebook'a da getirmişti ama bu dava 2018 yıllarından beri dönüyor. Doğru çıkarsa da şaşırmam.

Facebook let Netflix see user DMs, quit streaming to keep Netflix happy: Lawsuit

Facebook Watch, Netflix were allegedly bigger competitors than they let on.

Ars Technica •Scharon Harding

🎮 Oyun

Ubuntu 24.04'te vm.max_map_count değeri artıyor. Bu değer birçok dağıtımda geçtiğimiz yıllarda arttırılmıştı. Nedeniyse oyunlarda çökme sorununu engelliyordu. Yeni gelen birçok kişinin Ubuntu'yu kullandığını düşünecek olursak bu ufak değişiklik iyi bir şey.

Ubuntu 24.04 increases vm.max_map_count for smoother Linux gaming

At last! Users from Ubuntu 24.04 onwards that’s scheduled to release on April 25th should hopefully see a smoother Linux gaming experience.

GamingOnLinux •Liam Dawe

Bir hobicinin sıfırdan hem donanım hem yazılımsal olarak geliştirdiği ekran kartı olan FuryGPU Windows'ta Quake'i 60 FPS'de açıyor. Tabii ki böyle bir GPU'nun NVIDIA, AMD gibi devlerle kapışması imkansız ama tamamen açık kaynak ve sıfırdan 1 kişinin bütün işleri hallettiği GPU'yu görmek güzel bir şey. Bence topluluk olarak böyle bir şey yapılabilir. En azından basit işleri halletmenizi sağlayan donanım ve yazılımsal olarak %100 açık kaynak GPU güzel olurdu.

New open source GPU is free to all — FuryGPU runs Quake at 60fps, supports modern Windows software

FuryGPU is currently capable of running Quake at 720p and 60fps.

Tom's Hardware •Mark Tyson

📰 Bahsetmeye Değer Haberler

Biliyorsunuz Apple AB'deki kullanıcılarına varsayılan tarayıcı seçme ekranı getirdi. Geçtiğimiz haftalarda bu olaydan sonra Firefox ve Brave'in indirme artışları yaşadığını konuşmuştuk ve açıklamalara göre Opera'da %164 daha fazla indirme oranı yaşadı. Demek ki birçok insan varsayılan olarak Safari'yi kullanmak istemiyormuş. Varsayılan tarayıcı seçme ekranı yakında Android'e de gelecek ama maalesef sadece AB için.

Opera sees big jump in EU users on iOS, Android after DMA update

Opera has reported a substantial 164% increase in new European Union users on iOS devices after Apple introduced a new feature to comply with the EU’s Digital Markets Act (DMA).

BleepingComputer •Mayank Parmar

Blizzard, kullanıcıların yeni sözleşmeleri kabul etmemesi halinde hesabınıza erişmenizi engelliyor. Hatta destek isteği açmanızı bile engelliyor. Önceden eski sözleşmeyle satın aldığınız oyunları da oynayamıyorsunuz. DRM'in başka bir yüzü. Çok sıkıntılı bir durum...

Telegram için tek seferlik SMS şifrelerini tanımadığınız numaralara atmayı kabul ederseniz Telegram size 1 aylık premium üyelik hediye edecek. Sizden ayda 150 adet SMS atmak için numaranızı ödünç alıyorlar ve karşılığında ödül veriyorlar. Tabii kullancı için ana sorun telefon numaranız yüzlerce tanımadığınız insana gidecek. Kendi adıma böyle bir şey istemezdim ama kabul edecek insanlar vardır. Telegram niye böyle bir şey yapıyorki diye soracak olursanız bu tek seferlik doğrulama SMS'leri için normalde para ödüyorlar. Ancak bu yöntemle SMS'ler beleşe atılıyor. Dolayısıyla böyle bir çözüm onların işine gelir.

Telegram’s Peer-to-Peer Login System is a Risky Way To Save $5 a Month - Slashdot

Telegram is offering a new way to earn a premium subscription free of charge: all you have to do is volunteer your phone number to relay one-time passwords (OTP) to other users. This, in fact, sounds like an awful idea -- particularly for a messaging service based around privacy. From a report: X us…

Slashdot

Yeni bir telefon aldığınızda mutlaka sistem güncellemeleri olur ve bunu yapmak için şanslıysanız 1 saat beklersiniz. Şansızsanız daha fazla. Apple bu durumu çözmek için Presto adında yeni bir sistem geliştiriyor. Arka planda NFC, WiFi ve kablosuz şarj özelliklerini kullanarak, kutudayken telefonu açık tutup güncellemeleri kuruyor. Böylece kullanıcı telefonu açtığında güncelleme kurmasına gerek kalmıyor. Arkadaki güvenlik standartlarının sağlam olduğunu varsayacak olursak güzel bir gelişme bence.

How Apple plans to update new iPhones without opening them

Apple wants to rid the iPhone-buying process of the post-unboxing update.

Ars Technica •Ron Amadeo

Biliyorsunuz DistroWatch Türkiye'de bir süre yasaklıydı, hatta canlı yayınlarda da bunu konuşmuştuk. Şimdi yabancı Lemmy konularına da düştü bu olay ve usom.gov.tr'deki sorgulatmaya göre DistroWatch'ın yasaklanma sebebi zararlı yazılım barındırmasıymış. Acaba biri gerçekten siteye bakıp da bu sonuca mı vardı yoksa otomasyonla mı oldu soru işareti. Umarım yetkililer bunu görür de DistroWatch'ı geri açarlar...

📺 Ne İzliyorum?

Bojack Horseman

Lise yıllarımdayken izlemeye başlamıştım ama sonra yarıda kalmıştı. Tekrar başladım, ilk sezonu bitti ve zengin bir atın yaşadığı hayat dertlerini ekran başında görmek ilginç bir deneyim. 😀

🎥 Ne Üretiyorum?

Bu haftaki videomuzda sizin sorduğunuz Linux sorularını yanıtlıyorum.

💽 Haftanın Yazılımı

Bu haftanın yazılımı LocalSend!

Cihazlarınız arasında lokalden dosya gönderip almanıza olanak sağlayan açık kaynak bir proje. Güzel yanı bütün işletim sistemlerinde çalışıyor.

GitHub - localsend/localsend: An open-source cross-platform alternative to AirDrop

An open-source cross-platform alternative to AirDrop - localsend/localsend

GitHub •localsend

Bu haftaki bültenimizin de sonuna geldik, haftaya görüşmek üzere!