Nostr notes by OpenNews.opennet.ru: Основная лента (RSS Feed)

Планы развития Ubuntu Desktop 26.10 ...

2026-06-07T10:34:31Z

Планы развития Ubuntu Desktop 26.10

Жан-Батист Лальман (Jean Baptiste Lallement), директор по инжинирингу в компании Canonical, опубликовал (https://discourse.ubuntu.com/t/ubuntu-desktop-26-10-stonking-stingray-roadmap-building-toward-ubuntu-28-04-lts/83751) планы по развитию функциональности среды рабочего стола, которые намерены воплотить в осеннем выпуске Ubuntu 26.10. Выделяется четыре ключевые направления работы:

- Развитие окружения на основе GNOME.

Обновление среды рабочего стола до выпуска GNOME 51, намеченного (https://release.gnome.org/calendar/) на 16 сентября.

Переход с dbus-daemon (https://www.freedesktop.org/wiki/Software/dbus/) на dbus-broker (https://github.com/bus1/dbus-broker/) в качестве применяемой по умолчанию реализации шины D-Bus. D-Bus Broker реализован в пространстве пользователя, но активно использует для ускорения подсистемы ядра Linux, сохраняет совместимость с эталонной реализацией D-Bus и может быть использован для прозрачной замены dbus-daemon. D-Bus Broker учитывает ресурсы в привязке к пользователям и уделяет особое внимание оптимизации производительности и повышению надёжности (например, сообщение не может быть потеряно без обработки ошибки). Проект Fedora перешёл по умолчанию на dbus-broker в 2019 году.

Предоставление полноценной сборки с рабочим столом для плат с CPU RISC-V, поддерживающих профиль RVA23 (https://riscv.org/riscv-news/2024/10/risc-v-announces-ratification-of-the-rva23-profile-standard/) (RISC-V Application), в который включены расширения для векторных операций и гипервизоров.

Реализация средств для людей с ограниченными возможностями, определённых в стандарте WCAG 2.2 (https://www.w3.org/TR/WCAG22/). Устранение недостатков, выявленных в ходе аудита.

Обновление мультимедийного фреймворка GStreamer до следующей ветки 1.30 и задействование плагинов к GStreamer, написанных на Rust. Упрощение поиска и установки дополнительных проприетарных кодеков.

- Сочетание простоты выполнения типовых задач для новичков с гибкостью и возможностью использования расширенной функциональности для опытных пользователей.

Поставка универсального интерфейса для управления приложениями (App Center), поддерживающего пакеты разных форматов (deb, snap) и упрощающего поиск необходимых программ с оглядкой на категории и рейтинг.

Улучшение интерфейса для поиска и выбора дополнительных драйверов, с возможностью оценки их готовности к повседневному использованию.

Разработка нового упрощённого интерфейса установки дистрибутива, значительно снижающего сложность разбивки на разделы и настройку хранилищ.

Разработка нового мастера первичной настройки, выносящего из инсталлятора на стадию первого первого запуска системы операции базовой настройки системы и задания специфичных для пользователя параметров. Возможность автоматизации первичной настройки при массовой установке Ubuntu.

- Внедрение возможностей на базе AI (https://www.opennet.me/opennews/art.shtml?num=65306), понимающих контекст и предугадывающих намерения пользователя.

Добавление инструментов, учитывающих контекст во время работы с рабочим столом (Context-Aware Desktop) и помогающих пользователю в выполнении намеченной работы, предоставляя информацию, комбинирующую данные из приложений, сервисов и рабочего стола.

Интеграция системы распознавания речи для организации голосового ввода и распознавания команд на естественном языке.

- Построение заслуживающей доверия платформы.

Продолжение развития пакета authd (https://github.com/canonical/authd) для настройки централизованной аутентификации через облачных провайдеров идентификации. Добавление возможности подключения с использованием учётных записей в сервисах Microsoft и поддержка многофакторной аутентификации (MFA) на базе приложения Microsoft Authenticator. Поддержка передачи сведений об идентификаторах пользователя через атрибуты, задаваемые внешними провайдерами идентификации, для присвоения пользователю единых UID и GID на разных компьютерах. Предоставление администратору опции для отключения локальной аутентификации по паролям для пользователей с централизованными учётными записями.

Добавление в NetworkManager возможности аутентификации при подключении к VPN, используя сертификаты PKCS#11 и смарт-карты.

Интеграция в конфигуратор (GNOME Settings) информации о сертификации оборудования (Ubuntu Certified hardware).

Введение в строй нового wiki-сайта (https://discourse.ubuntu.com/t/a-new-ubuntu-wiki-part-1-announcement/72729) с документацией и руководствами, объединяющего информацию из wiki Ubuntu (https://wiki.ubuntu.com) и wiki Canonical (https://help.ubuntu.com/community).

Проведение оптимизации производительности и снижение размера сборок для Windows-подсистемы WSL (Windows Subsystem for Linux).

Источник: http://www.opennet.me/opennews/art.shtml?num=65637 (http://www.opennet.me/opennews/art.shtml?num=65637)

https://www.opennet.me/opennews/art.shtml?num=65637

Стабильный выпуск XLibre XServer 25.1, форка ...

2026-06-07T08:19:33Z

Стабильный выпуск XLibre XServer 25.1, форка X.Org Server

Спустя ровно год с момента основания (https://www.opennet.me/opennews/art.shtml?num=63369) форка X.Org Server представлен (https://github.com/orgs/X11Libre/discussions/513) выпуск XLibre 25.1.6 (https://github.com/X11Libre/xserver). Выпуск ознаменовал перевод ветки 25.1 в разряд стабильных (прошлые обновления имели качество бета-версий и предназначались для тестирования). XLibre применяется по умолчанию в дистрибутивах Artix Linux, GhostBSD, OpenMandriva и Vendefoul Wolf. Для Arch Linux, Debian, DragonFly BSD, Fedora, FreeBSD, Gentoo Linux, GNU Guix, Linux Mint, MX Linux, RHEL, Slackware, Ubuntu и Void Linux сообществом поддерживаются пакеты для замены X.Org Server на XLibre.

Основные изменения (https://github.com/X11Libre/xserver/wiki/XLibre-XServer-25.1-Changes) в ветке XLibre XServer 25.1:

- Добавлена (https://github.com/X11Libre/xserver/issues/202) поддержка библиотеки libseat (https://sr.ht/~kennylevinsen/seatd/) и фонового процесса seatd, предоставляющих возможности для управления сеансом и организации доступа к совместно используемым устройствам ввода и вывода (может использоваться в качестве альтернативы systemd-logind).

- Улучшена поддержка проприетарных драйверов NVIDIA. В дополнение к ранее поддерживаемым выпускам драйверов NVIDIA 570+, добавлена поддержка старых веток 340, 390 и 470, активируемая через указание флага "legacy_nvidia_padding" при сборке Xserver и позволяющая обойтись без выставления в директиве ServerFlags параметра IgnoreABI.
На системах с драйвером NVIDIA включена поддержка архитектуры 2D-ускорения GLAMOR, которая использует OpenGL для ускорения 2D-операций (ранее поддержка GLAMOR была отключена из-за несовместимости с DDX-драйвером "modesetting (https://www.opennet.me/opennews/art.shtml?num=44844)" на системах с драйверами NVIDIA, теперь данная несовмесимость устранена).

- Возвращён X-сервер Xfbdev, использующий фреймбуфер, предоставляемый устройством framebuffer (https://docs.kernel.org/fb/framebuffer.html) (/dev/fb*) в Linux. Xfbdev может работать без графических драйверов и подходит для применения на встраиваемых системах и в окружениях с ограниченными ресурсами.

- Реализовано X11-расширение Xnamespace (https://github.com/X11Libre/xserver/blob/master/doc/Xnamespace.md), обеспечивающее изоляцию клиентов через разделение на уровне пространств имён X11.

- Добавлена поддержка платформы Cygwin (https://www.opennet.me/opennews/art.shtml?num=62903) (GNU-окружение для Windows).

- Добавлена возможность задания свойства DPI в привязке к разным мониторам.

- В драйвере dga прекращена поддержка устаревшего протокола DGA 1.0.

- В системе непрерывной интеграции реализовано тестирование сборок для платформ DragonFly BSD, FreeBSD, NetBSD, Cygwin (x86-64), macOS и Windows.

- Устранены уязвимости CVE-2026-50256, CVE-2026-50257, CVE-2026-50258, CVE-2026-50259, CVE-2026-50260, CVE-2026-50261, CVE-2026-50262 и CVE-2026-50263, недавно исправленные (https://www.opennet.me/opennews/art.shtml?num=65600) в X.Org Server 21.1.23 и xwayland 24.1.12.

Проект развивает Энрико Вайгельт (Enrico Weigelt (https://github.com/metux)), занимающий первое место по числу подготовленных для X-сервера изменений - до создания форка от Энрико в X.Org Server было принято около 1600 изменений и ещё более 1200 изменений включено в кодовую базу форка. Энрико также является мэйнтейнером драйверов AMD FCH GPIO и VIRTIO GPIO в ядре Linux, и мэйнтейнером Xnest (https://www.x.org/archive/X11R7.6/doc/man/man1/Xnest.1.xhtml). Причиной создания форка было несогласие (https://www.opennet.me/opennews/art.shtml?num=63369) с политикой сопровождающих X.Org, ведущей к стагнации разработки, в то время как Энрико выступал за активное продолжение развития и проведения большой чистки X-сервера. Недовольство сопровождающих в отношении Энрико, которое привело к прекращению приёма от него изменений, вызвано тем, что некоторые связанные с проведением чистки изменения приводили к проблемам, регрессиям, нарушению ABI и сбоям при сборке.

Источник: http://www.opennet.me/opennews/art.shtml?num=65636 (http://www.opennet.me/opennews/art.shtml?num=65636)

https://www.opennet.me/opennews/art.shtml?num=65636

Энтузиасты развивают Opengram, ...

2026-06-06T20:04:35Z

Энтузиасты развивают Opengram, открытый сервер для протокола Telegram

Сообщество энтузиастов развивает Opengram (https://github.com/opengram-server/opengram) — открытую реализацию серверной части
мессенджера Telegram. Проект представляет собой самостоятельный сервер, реализующий протокол MTProto (поддерживается layer до 216), который может использоваться для замены официальной серверной инфраструктуры Telegram при развёртывании на собственном оборудовании. Поддерживаются официальные клиенты Telegram (Telegram Desktop, мобильные приложения) после изменения в них адреса дата-центра и публичного RSA-ключа сервера.

Opengram является форком проекта mytelegram (https://github.com/loyldg/mytelegram). Код Opengram написан на языке C# (.NET 9) и
распространяется (https://github.com/opengram-server/opengram) в исходных текстах (лицензия не указана, но изначальный проект mytelegram поставляется под лицензией Apache 2.0).

Сервер построен на наборе микросервисов, запускаемых через Docker Compose: шлюз MTProto-подключений, сервер авторизации и обмена ключами, сервер сессий, серверы команд и запросов (архитектура CQRS), HTTP Bot API, служебный API администрирования, серверы хранения и раздачи файлов, TURN/STUN для звонков и сервис отправки кодов подтверждения. В качестве инфраструктуры используются MongoDB , Redis, RabbitMQ и MinIO.

Из поддерживаемых возможностей: личные чаты, группы, супергруппы и каналы, секретные (end-to-end) чаты, голосовые и видеозвонки (через TURN/STUN и SFU mediasoup), боты и Bot API, настройки приватности и двухфакторная аутентификация, стикеры, реакции и кастомные эмодзи; звёзды (Stars) и подарки (Star Gifts), включая перепродажу и апгрейд. истории (Stories), темы оформления и обои; запланированные и самоудаляющиеся сообщения.

Источник: http://www.opennet.me/opennews/art.shtml?num=65629 (http://www.opennet.me/opennews/art.shtml?num=65629)

https://www.opennet.me/opennews/art.shtml?num=65629

Изменение процесса разработки и ...

2026-06-06T12:34:35Z

Изменение процесса разработки и прогресс в развитии браузера Ladybird

Андреас Клинг (Andreas Kling), основатель web-браузера Ladybird (https://ladybird.org/), объявил (https://ladybird.org/posts/changing-how-we-develop-ladybird/3) об изменении процесса разработки проекта. Ladybird отныне прекращает приём публичных pull-запросов и переходит к продвижению изменений в кодовую базу только через сопровождающих. Все уже открытые публичные pull-запросы будут закрыты. Исходный код (https://github.com/LadybirdBrowser/ladybird) Ladybird продолжит поставляться под лицензией BSD. Сообщения о проблемах, уязвимостях и тестировании работы с сайтами продолжат приниматься без изменения. Сторонние энтузиасты также смогут принимать участие в обсуждениях, связанных с поддержкой стандартов и архитектурой проекта.

В качестве причин прекращения принятия публичных pull-запросов упоминается подготовка к первому альфа-выпуску, требующая более строгого распределения ответственности за вносимые изменения. По мнению создателей Ladybird код должен приниматься только от тех, кто заслуживает доверия и готов нести персональную ответственность за каждую строку кода, и то, соответствует ли код архитектуре проекта и сможет ли поддерживаться в будущем.

Из проблем возникающих при приёме изменений от всех желающих упоминается снижение уровня доверия к авторам патчей - из-за возможности формирования изменений через AI, размер патча теперь не корректирует с трудозатратами и потраченным на разработку временем. Принятие сторонних патчей также упрощает деятельность злоумышленников, первое время генерирующих рабочие изменения, чтобы заслужить доверие для последующего внедрения в код скрытой уязвимости.

Дополнительно можно отметить майский отчёт (https://ladybird.org/newsletter/2026-05-31/) о развитии Ladybird. Из недавних достижений отмечается:

- Реализован JIT-компилятор для WebAssembly, основанного на Cranelift (https://cranelift.dev/) (переход от интерпретации к JIT-компиляции в 8 раз повысил производительность прохождения теста CoreMark и в 3-4 раза микротестов отдельных функций);

- Задействован новый блокировщик нежелательного контента, основанный на библиотеке adblock-rust (https://github.com/brave/adblock-rust) от проекта Brave и поддерживающий фильтры в стиле Adblock Plus и EasyList;

- На языке Rust переписан парсер HTML;

- Код прокрутки содержимого вынесен из основного потока в отдельный процесс композитинга и переведён на асинхронную модель работы;

- Включён по умолчанию API Media Source Extensions (https://developer.mozilla.org/en-US/docs/Web/API/Media_Source_Extensions_API) и улучшена работа с потоковым видео;

- Добавлена система кэширования байткода JavaScript на диске;

- В сборщике мусора реализован инкрементальный режим очистки памяти, исключающий длительные приостановки вычислений и повышающий отзывчивость интерфейса;

- Расширена поддержка CSS, реализованы контейнерные запросы (@container), разграничение области видимости (@scope), "grid-template-columns: subgrid", "scroll-margin", "scroll-padding";

- Добавлен API Permissions (https://developer.mozilla.org/en-US/docs/Web/API/Permissions_API);

- Реализован протокол HSTS (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) (HTTP Strict Transport Security);

- Обеспечено автоматическое определения кодировки текста;

- В инструменты для web-разработчиков добавлена поддержка инспектирования flexbox- и grid-раскладок;

- Улучшена совместимость с Discord, Shopify, Reddit, а также с сайтами, использующими графики на базе библиотеки TradingView (https://www.tradingview.com/).

( )

- Модернизирован интерфейс пользователя на базе библиотеки Qt. Реализован режим вертикального отображения вкладок. Добавлена поддержка перемещения вкладок мышью для их группировки, отсоединения или переноса в другое окно;

( )

- Вместо типовых для Qt стилей панелей и кнопок, реализовано собственное оформление вкладок, панели инструментов и адресной строки. Добавлена возможность восстановления недавно закрытых вкладок и окон. Реализована функция вставки текста из буфера обмена средней кнопкой мыши.

( )

Браузер Ladybird (https://ladybird.org/) развивается Андреасом Клингом, который когда-то работал в компании Nokia и занимался разработкой KHTML, а затем в Apple был одним из разработчиков Safari. Изначально проект был создан как приложение для операционной системы SerenityOS (https://www.opennet.me/opennews/art.shtml?num=50753), но летом 2024 года был выделен (https://www.opennet.me/opennews/art.shtml?num=61301) в отдельный проект и получил (https://www.opennet.me/opennews/art.shtml?num=61474) пожертвование в 1 млн. долларов. Браузер написан на языке С++ (стартовал (https://www.opennet.me/opennews/art.shtml?num=64861) проект переписывания компонентов на Rust) и распространяется (https://github.com/LadybirdWebBrowser/ladybird) под лицензией BSD. Проектом развиваются собственный движок LibWeb (https://github.com/LadybirdWebBrowser/ladybird/tree/master/Userland/Libraries/LibWeb), JavaScript-интерпретатор LibJS (https://github.com/LadybirdWebBrowser/ladybird/tree/master/Userland/Libraries/LibJS) и сопутствующие библиотеки.

Источник: http://www.opennet.me/opennews/art.shtml?num=65628 (http://www.opennet.me/opennews/art.shtml?num=65628)

https://www.opennet.me/opennews/art.shtml?num=65628

Компания Alibaba опубликовала ...

2026-06-05T16:34:32Z

Компания Alibaba опубликовала инструментарий Open Code Review для рецензирования кода

Alibaba, одна из крупнейших китайских IT-компаний, опубликовала (https://github.com/alibaba/open-code-review) открытую платформу Open Code Review (https://alibaba.github.io/open-code-review/) с реализацией гибридной архитектуры рецензирования, сочетающей строгие методы проверки с гибкими возможностями больших языковых моделей. Проект основан на коде применяемой в Alibaba внутренней системы рецензирования изменений, написан на языке Go и распространяется (https://github.com/alibaba/open-code-review) под лицензией Apache 2.0.

Система поддерживает интеграцию с различными большими языковыми моделями, допускает привязку комментариев к конкретным строкам в коде и содержит встроенные наборы правил для выявление типовых проблем и уязвимостей, таких как ошибки при синхронизации потоков, межсайтовый скриптинг и подстановка SQL-кода. Проверка на основе правил предоставляется для языков Java, TypeScript, Go, Python, Kotlin, C++ и C.

Open Code Review предлагает инструментарий командной строки, читающий изменения из git, отправляющий их большой языковой модели через выбранного AI-агента и генерирующий структурированный отчёт с построчными комментариями. Помимо анализа переданных изменений AI-агент может выполнять поиск в кодовой базе, загружать файлы из репозитория и инспектировать другие изменённые файлы для более глубокого погружения к контекст и учёта связи с другими изменениями.

Источник: http://www.opennet.me/opennews/art.shtml?num=65623 (http://www.opennet.me/opennews/art.shtml?num=65623)

https://www.opennet.me/opennews/art.shtml?num=65623

Производитель телевизоров Roku ...

2026-06-05T10:34:31Z

Производитель телевизоров Roku опубликовал открытую операционную систему Roku LT OS

Компания Roku (https://en.wikipedia.org/wiki/Roku), производящая телевизоры, телеприставки и устройства для умного дома, представила (https://blog.roku.com/developer/roku-lt-os) открытую операционную систему Roku LT OS, нацеленную на использование в специализированных инженерных проектах и встраиваемые системах. Roku LT OS позволяет создавать собственные решения, способные работать в окружениях с ограниченными ресурсами и жёсткими требованиями к задержкам и предсказуемому времени выполнения операций. Код проекта написан на языке Си и распространяется (https://github.com/rokudev/lt-sdk) под лицензией Apache 2.0. Поддерживается создание прошивок для чипов ESP32 и STMicro, а также запуск Roku LT OS поверх Linux.

Для разработки решений на базе Roku LT OS поставляется SDK и примеры прошивок, а в качестве обучающего руководства предложен видеокурс (https://www.youtube.com/playlist?list=PLXLCv18IEHshzm8Tnzz9j_WBjKLuDCaTB). Roku использует Roku LT OS в пультах дистанционного управления телевизорами. Представленная ОС также задействована в университетском проекте LT Racing, развивающем гоночный электромобиль, в качестве операционной системы для блока управления (VCU, Vehicle Control Unit) на базе SoC STM32H755ZI. Данный чип включает два ядра ARM Cortex‑M4 и ARM Cortex‑M7, которые задействованы для раздельного изолированного выполнения независимых экземпляров Roku LT OS.

В качестве минимальных требований к оборудованию заявлены процессор 100Mhz и 64 Кб ОЗУ. Запускаемые в Roku LT OS приложения собираются в форме динамически загружаемых разделяемых библиотек. Имеется поддержка TCP/IP стека lwIP, кодеков MP4 и Opus, шифрования и TLS. Поставляются драйверы для различных датчиков, BlueTooth, USB, устройств ввода, Wi-Fi, SD-карт, NPU, SPI, I2C.

Источник: http://www.opennet.me/opennews/art.shtml?num=65620 (http://www.opennet.me/opennews/art.shtml?num=65620)

https://www.opennet.me/opennews/art.shtml?num=65620

Microsoft анонсировал универсальный ...

2026-06-05T08:34:33Z

Microsoft анонсировал универсальный дистрибутив Azure Linux 4.0

Компания Microsoft анонсировала (https://techcommunity.microsoft.com/blog/linuxandopensourceblog/announcing-azure-linux-4-0-purpose-built-for-azure-now-in-public-preview/4524267) первую публично доступную экспериментальную сборку дистрибутива Azure Linux 4.0 (https://learn.microsoft.com/en-us/azure/azure-linux/intro-azure-linux), подготовленную для запуске в виртуальных машинах и контейнерах. В дальнейшем обещают опубликовать экспериментальные сборки для WSL (Windows Subsystem for Linux) и AKS (Azure Kubernetes Service). Ветка Azure Linux 4 преподносится как универсальное решение, оптимизированное для платформы Azure и пригодное для использования во всех связанных с ней сферах, от виртуальных машин и контейнеров до узлов в кластере Kubernetes и систем разработчиков. Специфичные для дистрибутива изменения поставляются (https://github.com/microsoft/azurelinux/tree/4.0) под лицензией MIT.

По сравнению с Azure Linux 3.0 новая ветка переведена с собственной пакетной базы на использование пакетов из дистрибутива Fedora 43. В качестве основы используются штатные SRPM-пакеты из репозиториев Fedora, для которых поставляется набор оверлеев (https://github.com/microsoft/azurelinux/tree/4.0/base/comps/) - файлов конфигурации в формате TOML, дающих возможность пересобирать пакеты с дополнениями, оптимизациями и изменениями, необходимыми для Azure Linux. Для генерации результирующих RPM-пакетов на основе SRPM-пакетов Fedora и оверлеев применяется инструментарий azldev (https://github.com/microsoft/azure-linux-dev-tools), написанный на языке Go и поставляемый под лицензией MIT. Система сборки Azure Linux даёт возможность генерировать как классические установочные окружения с RPM-пакетами, так и монолитные атомарно обновляемые системные образы.

В Azure Linux 4.0 поставляется ядро Linux 6.18 с дополнительными оптимизациями, добавлена защита от атак через зависимости (supply chain), обеспечен предсказуемый цикл поддержки и выпуска обновлений, реализованы инструменты для интеграции с облаком Azure и включены возможности для усиления безопасности, такие как фильтрация системных вызовов, шифрование дисковых разделов, верификация репоизиториев и пакетов по цифровой подписи, защита от атак, связанных с символическими ссылками и сборка с опциями для защиты от переполнений буфера.

В состав включены новые драйверы, оптимизированные для оборудования, применяемого в Azur, улучшена интеграция с гипервизором Hyper-V и добавлена поддержка GPU- и AI-ускорителей. Пакетный менеджер tdnf (https://github.com/vmware/tdnf) заменён на dnf5. Обеспечена поддержка SELinux. Среди задействованных версий системных компонентов: glibc 2.42, OpenSSL 3.5, systemd 258, Python 3.14, RPM 6.0.

Источник: http://www.opennet.me/opennews/art.shtml?num=65618 (http://www.opennet.me/opennews/art.shtml?num=65618)

https://www.opennet.me/opennews/art.shtml?num=65618

При помощи AI-модели Mythos выявлены 23 ...

2026-05-23T16:43:10Z

При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

Компания Anthropic подвела первые итоги тестирование предварительного варианта AI-модели Mythos, в которой были существенно (https://www.opennet.ru/opennews/art.shtml?num=65165) расширены возможности по поиску ошибок, выявлению уязвимостей и написанию готовых эксплоитов. Компания Anthropic провела сканирование при помощи AI-модели Mythos более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей. 6202 уязвимостям был назначен высокий или критический уровень опасности.

1752 из 6202 уязвимостей, отнесённых моделью Mythos к категории опасных, были проверены независимыми компаниями, специализирующимися на компьютерной безопасности. В 1587 (90.6%) случаях наличие уязвимости было подтверждено, а в 1094 (62.4%) - сохранился уровень высокой или критической опасности. Anthropic планирует продолжить сканирование открытых проектов и при текущих показателях предполагается, что в дополнение к упомянутым уязвимостям Mythos вероятно выявит ещё около 3900 опасных уязвимостей в открытом ПО при проверке 50 участниками проекта Glasswing.

Сведения об 467 верифицированных уязвимостях переданы сопровождающим открытые проекты представителями компаний, проводивших рецензирование. Кроме того, по отдельным запросам сотрудники Anthropic передали сопровождающим информацию о 1129 непроверенных проблемах. Всего сопровождающие открытые проекты получили сведения о 1596 проблемах и подтвердили наличие 1451 уязвимостей. При этом в кодовых базах пока исправлено только 97 проблем и выпущено 88 публичных отчётов об уязвимостях.

Кроме того, сообщается, что 50 участниками проекта Glasswing, которым был предоставлен ранний доступ к модели Mythos, выявлено более 10 тысяч опасных уязвимостей в своих кодовых базах. Например, компания Cloudflare нашла при помощи Mythos более 2000 ошибок, из которых 400 отмечены как уязвимости с высоким и критическим уровнем опасности. Уровень ложных срабатываний по оценке Cloudflare оказался ниже, чем при тестировании людьми. Компания Mozilla при проверке кода Firefox 150 нашла (https://www.opennet.ru/opennews/art.shtml?num=65405) при помощи Mythos 271 уязвимостей, что в 10 раз больше, чем было найдено при проверке Firefox 148 моделью Claude Opus 4.6.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65515 (https://www.opennet.ru/opennews/art.shtml?num=65515)

https://www.opennet.ru/opennews/art.shtml?num=65515

GRO Frag - седьмая уязвимость класса Copy ...

2026-05-22T20:43:10Z

GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

В открытом доступе размещён эксплоит (https://gist.github.com/lcfr-eth/2566a5cef312c94a5ff8d62fa417955f) для седьмой уязвимости (1 (https://www.opennet.ru/opennews/art.shtml?num=65325), 2-3 (https://www.opennet.ru/opennews/art.shtml?num=65395), 4 (https://www.opennet.ru/opennews/art.shtml?num=65441), 5 (https://www.opennet.ru/opennews/art.shtml?num=65473), 6 (https://www.opennet.ru/opennews/art.shtml?num=65476)) в ядре Linux, позволяющей непривилегированному локальному пользователю получить права root, перезаписав данные в страничном кэше. CVE-идентификатор ещё не присвоен, кроме кода эксплоита информации о проблеме пока нет. Исправление доступно только в виде патча (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=4db79a322db8), который опубликован 20 мая и 21 мая был принят в основную ветку ядра Linux (корректирующие выпуски (https://kernel.org) ядра ещё недоступны).

Уязвимость присутствует в реализации технологии GRO (https://docs.kernel.org/networking/segmentation-offloads.html) (Generic Receive Offload), применяемой для ускорения обработки сегментированных пакетов. Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции skb_gro_receive(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. При установленном флаге SKBFL_MANAGED_FRAG_REFS пропускалось сохранение ссылки на освобождаемые страницы памяти в поле shinfo->frags, после чего данное поле присоединялось к другому skb без изменения счётчика ссылок, что приводило к обращению к памяти после её освобождения (use-after-free). Проблему удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на буфер io_uring.

Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0). Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root. Механизм эксплуатации сводится к тому, что атакующий добивается оседания базы пользователей в страничном кэше, после чего подставляет в кэш строку "hax::0:0::/root:/bin/sh". Следом запускается команда "su hax", которая получает не оригинальную базу пользователей с накопителя, а изменённую копию с подставным логином "hax", которому выставлены права root и пустой пароль. Работа эксплоита протестирована в Ubuntu 24.04.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65504 (https://www.opennet.ru/opennews/art.shtml?num=65504)

https://www.opennet.ru/opennews/art.shtml?num=65504

В Fedora решено удалить пакеты со ...

2026-05-20T11:31:08Z

В Fedora решено удалить пакеты со средой рабочего стола Deepin

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки Fedora Linux, принял решение (https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/thread/YFZBLHOTVMINNY5I7JSO4JOXHFH3SARN/) удалить из репозиториев дистрибутива пакеты, связанные со средой рабочего стола Deepin из-за проблем с их сопровождением. Команде, отвечающей за формирование релизов Fedora, предписано не восстанавливать данные пакеты, в случае поступления заявки от группы deepinde-sig, без проведения их повторной проверки.

Причиной (https://pagure.io/fesco/issue/3409) удаления стало отсутствие активности в группе сопровождающих deepinde-sig и заброшенный характер пакетов, остающихся длительное время без исправления серьёзных ошибок и предположительно имеющих неустранённые уязвимости. Некоторые из неисправленных ошибок приводили к проблемам со сборкой из исходного кода (FTBFS) или сбоям при установке (FTI).

Месяц назад участники FESCo приняли решение (https://pagure.io/fesco/issue/3409#comment-1012133) отсрочить удаление пакетов и попытались связаться с сопровождающими пакеты Deepin для уточнения состояния проекта. Разработчикам удалось связаться с главным сопровождающим, который пояснил (https://pagure.io/fesco/issue/3409#comment-1016411), что не против удаления пакетов из репозитория, так как все участники группы deepinde-sig слишком загружены основной работой и у них нет времени на продолжение сопровождения пакетов с Deepin для Fedora, а попытки привлечь новых сопровождающих не увенчались успехом.

Год назад пакеты с Deepin были удалены (https://www.opennet.ru/opennews/art.shtml?num=63205) из репозиториев openSUSE из-за того, что сопровождающий Deepin попытался обойти принятые в openSUSE правила рецензирования пакетов и не уведомив команду, отвечающую за безопасность, разместил в репозитории пакет "deepin-feature-enable", который устанавливал дополнительные компоненты, не прошедшие проверку и содержащие неустранённые проблемы с безопасностью. Если пользователь подтверждал операцию, в обход штатных механизмов установки системных компонентов осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D-Bus и политик Polkit из tar-архивов, включённых в состав пакетов deepin-daemon-dbus и deepin-daemon-polkit. В пакетах для Fedora подобные манипуляции не производились, но и не было требований по обязательному рецензированию безопасности сервисов D-Bus и политик Polkit (некоторые компоненты Deepin не прошли рецензирование в SUSE Security Team и сопровождающий пакеты в openSUSE организовал их установку обходным путём).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65480 (https://www.opennet.ru/opennews/art.shtml?num=65480)

https://www.opennet.ru/opennews/art.shtml?num=65480

Создан виртуальный музей ...

2026-05-20T10:31:10Z

Создан виртуальный музей операционных систем

Представлен (https://andreww591.blogspot.com/2026/05/ive-released-virtual-museum-with-nearly.html) проект по созданию виртуального музея операционных систем (https://virtualosmuseum.org/), в котором собрана коллекция из более 570 операционных систем. Музей оформлен в виде образа виртуальной машины с Linux, подборкой эмуляторов и встроенным графическим интерфейсом для навигации по имеющейся коллекции. Пользователю предоставлена возможность ознакомления с каждой операционной системой вживую, путём её запуска в эмуляторе. Музей основан на коллекции эмуляторов, собиравшейся автором проекта с 2003 года.

Для загрузки доступны (https://virtualosmuseum.org/downloads/) две версии: полная (121 ГБ zip (https://archive.org/download/preliminary-os-museum-image/)), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G (https://archive.org/download/preliminary-os-museum-image/)), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM (https://en.wikipedia.org/wiki/UTM_(software)).

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются (https://gitlab.com/virtualosmuseum/virtualosmuseum) под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby (https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BD%D1%87%D0%B5%D1%81%D1%82%D0%B5%D1%80%D1%81%D0%BA%D0%B0%D1%8F_%D0%BC%D0%B0%D0%BB%D0%B0%D1%8F_%D1%8D%D0%BA%D1%81%D0%BF%D0%B5%D1%80%D0%B8%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D0%B0)). Для тестирования также доступны:

- Scheme A - первая ОС, выпущенная в 1951 году.

- IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.

- B5000 MCP - первая ОС на высокоуровневом языке.

- CTSS - первая многопользовательская ОС (1961-72).

- Multics - первая ОС с иерархической файловой системой (1964), предок Unix.

- Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).

- ОС для мэйнфреймов.

- Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.

- Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.

- Visi On (1983) - первый GUI для ПК.

- Разные редакции CP/M и DOS.

- Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.

- Пререлизы старых ОС Windows.

- EPOC, Palm OS - ОС для первых карманных ПК.

- Linux-дистрибутивы 1990-х и 2000-х годов.

- Ранние версии Android (2007-11).

- Операционные системы, развиваемые энтузиастами.

( )

( )

( )

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65486 (https://www.opennet.ru/opennews/art.shtml?num=65486)

https://www.opennet.ru/opennews/art.shtml?num=65486

Релиз Firefox 151 Состоялся ...

2026-05-20T08:31:07Z

Релиз Firefox 151

Состоялся (https://www.mozilla.org/en-US/firefox/151.0/releasenotes/) релиз web-браузера Firefox 151 (https://www.mozilla.org/en-US/firefox/151.0/releasenotes/) и сформированы обновления прошлых веток (https://www.mozilla.org/en-US/firefox/organizations/all/) с длительным сроком поддержки - 140.11.0 (https://www.mozilla.org/en-US/firefox/140.11.0/releasenotes/) и 115.36.0 (https://www.mozilla.org/en-US/firefox/115.36.0/releasenotes/). На стадию бета-тестирования (https://firefox.com/channel) в ближайшее время будет переведена (https://www.mozilla.org/en-US/firefox/152.0beta/releasenotes/) ветка Firefox 152, релиз которой намечен на 16 июня.

Основные новшества в Firefox 151 (1 (https://www.mozilla.org/en-US/firefox/151.0/releasenotes/), 2 (https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/151), 3 (https://bugzilla.mozilla.org/buglist.cgi?query_format=advanced&resolution=FIXED&target_milestone=151%20Branch&limit=0&short_desc_type=anywords&short_desc=Allow Enable Add Drop Support Implement), 4 (https://blog.mozilla.org/en/firefox/more-control-firefox/)):

- Обновлено оформление страницы, показываемой при открытии новой вкладки (логотип перемещён в центр, смещена вниз строка поиска, включено фоновое изображение, которое можно сменить в настройках). Новый дизайн оптимизирован для интеграции на страницу новых возможностей (например, виджеты и улучшение работы с ярлыками), включение которых ожидается в следующем релизе.

( )

( )

- В режиме приватного просмотра реализована новая кнопка "End Private Session" (пиктограмма с изображением огня справа от адресной строки), через которую можно мгновенно очистить все данные текущего приватного сеанса, не закрывая при этом окно браузера (сайты, до этого открытые в режиме приватного просмотра, закрываются и остаётся пустой сеанс).

( )

- Во встроенном просморщике PDF реализована функция объединения нескольких страниц в документе.

( )

- Встроенный интерфейс перевода с одного языка на другой теперь доступен для вызова через секцию "More Tools" в основном меню.

( )

- Строка поиска в конфигураторе (about:preferences) расширена и теперь занимает всю доступную ширину.

- В сборках для Linux реализована поддержка резервного копирования (https://support.mozilla.org/kb/firefox-backup) профилей, позволяющая сохранить выбранный профиль в файл, после чего использовать этот файл для восстановления настроек на другой системе. Ранее данная функция была доступна только в Windows.

( )

- При переносе каталога с профилем Firefox в другие части ФС или на системы с другими операционными системами обеспечено восстановление установленных дополнений и тем оформления.

- Усилена защита от скрытой идентификации пользователя (https://www.opennet.ru/opennews/art.shtml?num=53607) (Fingerprinting Protection), применяемая при включении стандартной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Standard). Отмечается, что внесённые изменения позволили в среднем на 14% (49% для macOS) снизить долю пользователей, идентифицируемых с помощью типовых методов скрытой идентификации по сравнению с ранее имевшейся защитой.

- В интегрированный бесплатный VPN-сервис Firefox VPN (https://support.mozilla.org/kb/built-in-vpn) добавлена возможность выбора страны используемого VPN-сервера. Сервис позволяет обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.

- При запросе web-приложением доступа к данным о местоположении на платформе Windows теперь учитываются системные настройки предоставления подобного доступа.

- Добавлена возможность использования API Web Serial (https://developer.mozilla.org/docs/Web/API/Web_Serial_API) для управления микроконтроллерами, подключаемыми через последовательный порт. Например, после подтверждения полномочий можно из web-приложения программировать ESP чипы, платы Raspberry Pi Picos, 3D-принтеры и оборудование с ЧПУ. API
Web Serial также можно использовать в браузерных дополнениях, но не из контекста moz-extension.

- Для всех пользователей включено применение спецификации LNA (Local Network Access) для ограничения обращений к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. Для обращения к внутренним ресурсам пользователь должен предоставить web-приложению специальные полномочия, так как подобная активность используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети. Ранее подобная защита действовала только при включении режима усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict).

- Реализован API Fullscreen Keyboard Lock (https://developer.mozilla.org/en-US/docs/Web/API/Element/requestFullscreen#keyboard_locking), добавляющий в метод requestFullscreen (https://developer.mozilla.org/en-US/docs/Web/API/Element/requestFullscreen) аргумент keyboardLock, позволяющий полноэкранным web-приложениям перехватывать обработку некоторых клавиш и клавиатурных комбинаций, например, можно перехватить обработку нажатия на клавишу Esc (в этом случае для выхода из полноэкранного режима потребуется не нажатие, а удержание Esc).

- Улучшена отрисовка элементов с абсолютным позиционированием внутри многоколоночных блоков или при выводе на печать.

- В правилах "@container (https://developer.mozilla.org/docs/Web/CSS/Reference/At-rules/@container)" разрешено одновременное перечисление нескольких условий по аналогии с медиа-запросами.

- Внутри правил @container разрешено (https://developer.mozilla.org/docs/Web/CSS/Reference/At-rules/@container#container_style_queries) использование функции style() для проверки вычисленных значений CSS-свойств контейнера.

- Добавлено свойство CSSContainerRule.conditions, содержащие список всех условий контейнерного запроса. Старые свойства CSSContainerRule.containerName и CSSContainerRule.containerQuery объявлены устаревшими.

- Изменено поведение якорного позиционирования в CSS (CSS Anchor Positioning (https://developer.mozilla.org/docs/Web/CSS/Guides/Anchor_positioning)). Свойство position-anchor (https://developer.mozilla.org/docs/Web/CSS/Reference/Properties/position-anchor) теперь по умолчанию принимает значением "normal", а при использовании свойства position-area (https://developer.mozilla.org/docs/Web/CSS/Reference/Properties/position-area) неявные якоря применяются автоматически. Всплывающие окна (popovers), использующие anchor() или anchor-center, теперь требуют явного указания свойства "position-anchor: auto".

- Добавлена поддержка API Document Picture-in-Picture (https://developer.mozilla.org/docs/Web/API/Document_Picture-in-Picture_API) для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через новый API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.

- В API Permissions (https://developer.mozilla.org/docs/Web/API/Permissions_API) обеспечена корректная обработка временных полномочий, предоставленных сайту.

- Предоставлена (https://developer.mozilla.org/en-US/docs/Web/HTML/Reference/Elements/template#shadowrootslotassignment) возможность использования декларативного синтаксиса для определения того, как элементы распределяются в слоты внутри Shadow DOM (https://developer.mozilla.org/en-US/docs/Web/API/Web_components/Using_shadow_DOM).

- В Firefox для Android (https://www.firefox.com/en-US/firefox/android/151.0/releasenotes/) добавлена поддержка быстрого переключения между вкладками, используя вертикальный скользящий жест в области панели. В конфигуратор по аналогии с десктоп-версией добавлен переключатель для отключения всех функций, использующих AI, а также реализованы настройки для выборочного включения отдельных AI-функций.

( )

Кроме новшеств и исправления ошибок в Firefox 151 устранено 154 уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2026-46/) (65 собрано под CVE-2026-8973, 54 под CVE-2026-8974 и 7 под CVE-2026-8975). 146 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В ночных сборках (https://www.firefox.com/channel/desktop/#nightly) Firefox началось тестирование переделанного интерфейса конфигуратора, в котором расширены средства для поиска настроек, улучшена навигация, обновлены метки и описание настроек.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65481 (https://www.opennet.ru/opennews/art.shtml?num=65481)

https://www.opennet.ru/opennews/art.shtml?num=65481

Атакующие получили доступ к ...

2026-05-20T06:01:08Z

Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Сервис GitHub предупредил (https://x.com/github/status/2056884788179726685) о выявлении неавторизированного доступа к своим внутренним репозиториям. Причиной стала компрометация рабочей станции одного из сотрудников, установившего новую версию одного из расширений к редактору кода VS Code, в которую был интегрирован вредоносный код. Подробности обещают опубликовать после завершения разбирательства. По предварительным данным информация пользователей, хранимая вне внутренних репозиториев компании GitHub, не пострадала.

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент (https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised) с дополнением Nx Console (https://github.com/nrwl/nx-console), насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить (https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w) информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию (https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/) 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы (https://www.opennet.ru/opennews/art.shtml?num=65432) в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI - системы сотрудников данной компании также были поражены (https://openai.com/index/axios-developer-tool-compromise/) вредоносным ПО в апреле после установки вредоносного релиза (https://www.opennet.ru/opennews/art.shtml?num=65109) NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата (https://www.opennet.ru/opennews/art.shtml?num=65134) учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65484 (https://www.opennet.ru/opennews/art.shtml?num=65484)

https://www.opennet.ru/opennews/art.shtml?num=65484

Компания Canonical опубликовала ...

2026-05-19T19:31:07Z

Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 26

Компания Canonical представила (https://canonical.com/blog/canonical-launches-ubuntu-core-26) релиз Ubuntu Core 26 (https://www.ubuntu.com/core), компактного варианта дистрибутива Ubuntu, адаптированного для применения на устройствах интернета вещей (IoT), в контейнерах, потребительском и промышленном оборудовании. Ubuntu Core поставляется в форме неделимого монолитного образа базовой системы, в котором не применяется разбивка на отдельные deb-пакеты. Образы Ubuntu Core 26, состав которых синхронизирован с пакетной базой Ubuntu 26.04 (https://www.opennet.ru/opennews/art.shtml?num=65274), подготовлены (http://cdimage.ubuntu.com/ubuntu-core/26/stable/current/) для систем x86_64 и ARM64. Время сопровождения выпуска составит 15 лет.

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy (http://www.ubuntu.com/cloud/tools/snappy) даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются (https://docs.ubuntu.com/core/en/guides/intro/security) при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием (https://ubuntu.com/core/docs/uc26/full-disk-encryption) TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные (https://documentation.ubuntu.com/core/uc26/) новшества (https://documentation.ubuntu.com/core/reference/release-notes/index.html#ref-release-notes-ubuntu-core-26-release-notes):

- Задействована новая система сборки на базе инструментария Chisel (https://github.com/canonical/chisel/), позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.

- Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.

- Обеспечено выполнение требований европейского закона CRA (https://www.opennet.ru/opennews/art.shtml?num=60358) (Cyber Resilience Act (https://en.wikipedia.org/wiki/Cyber_Resilience_Act)), который вводит юридическую ответственность за несоблюдение требований безопасности.

- Добавлена возможность применения технологии Livepatch (https://ubuntu.com/security/livepatch) для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.

- Обеспечена интеграция с инструментарием COS (Canonical Observability Stack (https://documentation.ubuntu.com/observability/track-2/)), основанным на движке оркестровки Juju (https://documentation.ubuntu.com/juju/3.6/) и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.

- Добавлена поддержка компонентов (https://documentation.ubuntu.com/snapcraft/stable/reference/components/), позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.

- В Snapd REST API (https://snapcraft.io/docs/reference/development/snapd-rest-api/) обеспечена совместимость со спецификацией OpenAPI (https://www.openapis.org/).

- В дисплейный сервер Ubuntu Frame (https://ubuntu.com/frame), позволяющий (https://www.opennet.ru/opennews/art.shtml?num=55933) создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.

- Добавлена системная настройка interface.allow-auto-connection (https://snapcraft.io/docs/reference/administration/system-options/#system-interface) для определения правил автоматического подключения интерфейсов.

- Добавлена поддержка механизма Confdb (https://snapcraft.io/docs/explanation/how-snaps-work/confdb-configuration-mechanism/) для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.

- Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина (https://documentation.ubuntu.com/snapcraft/stable/how-to/integrations/craft-a-python-app/).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65477 (https://www.opennet.ru/opennews/art.shtml?num=65477)

https://www.opennet.ru/opennews/art.shtml?num=65477

Microsoft развивает дистрибутив общего ...

2026-05-19T18:01:07Z

Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux

Компания Microsoft опубликовала (https://github.com/microsoft/azurelinux/tree/4.0) наработки, связанные с дистрибутивом Azure Linux 4, который по сравнению с веткой 3.0 (https://github.com/microsoft/azurelinux/tree/3.0) кардинально переработан и переведён с собственной пакетной базы на использование пакетов из дистрибутива Fedora 43 (https://www.opennet.ru/opennews/art.shtml?num=64127). Если ранее Azure Linux позиционировался как платформа для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft, то теперь Azure Linux преподносится как защищённая и надёжная операционная система общего назначения, оптимизированная для облака Azure, которую можно использовать в виртуальных машинах, контейнерах, окружении WSL (Windows Subsystem Linux) и в качестве основной ОС на компьютерах.

Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать ветку Azure Linux 3 (https://www.opennet.ru/opennews/art.shtml?num=65419). Готовые сборки пока не предоставляются, но имеется инструкция (https://github.com/microsoft/azurelinux/blob/4.0/DEVELOPING.md) по сборке. Специфичные для дистрибутива изменения поставляются (https://github.com/microsoft/azurelinux/tree/4.0) под лицензией MIT.

При формировании дистрибутива вместо создания форка Fedora в Azure Linux 4 применён декларативный подход, позволяющий пересобирать RPM-пакеты с необходимыми изменениями и настройками из штатных репозиториев Fedora, используя конфигурационные файлы в формате TOML. Дополнительная функциональность определяется в форме оверлеев (https://github.com/microsoft/azurelinux/tree/4.0/base/comps/), позволяющих генерировать специфичные для Azure Linux spec-файлы пакетов на основе штатных SRPM-пакетов из Fedora Linux. Оверлеи определяют изменения, вносимые поверх пакетов Fedora, такие как дополнительные конструкции в spec-файлах, патчи и параметры сборки.

Пакетной единицей в Azure Linux 4 являются "компоненты" (исходный пакет), которые по большей части импортируются из Fedora через dist-git и могут формировать один или несколько RPM-пакетов. Все компоненты собираются из исходного кода, бинарные пакеты из Fedora не переносятся. Для генерации результирующих RPM-пакетов на основе оверлеев применяется инструментарий azldev (https://github.com/microsoft/azure-linux-dev-tools), написанный на языке Go и поставляемый под лицензией MIT.

Из особенностей Azure Linux 4 отмечается поставка ядра Linux с дополнительными оптимизациями, защита от атак через зависимости (supply chain), предсказуемый цикл поддержки и выпуска обновлений, встроенные возможности для интеграции с облаком Azure, изменения для усиления безопасности. Система сборки Azure Linux позволяет генерировать как установочные окружения с RPM-пакетами, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа.

Из применяемых в Azure Linux мер по повышению безопасности:

- Фильтрация системных вызовов при помощи механизма seccomp.

- Шифрование дисковых разделов.

- Верификация пакетов по цифровой подписи.

- Рандомизация адресного пространства.

- Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.

- Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.

- Опция для запрета загрузки модулей ядра после инициализации системы.

- Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

- Поставка минимально необходимых пакетов, без активации лишних сервисов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65479 (https://www.opennet.ru/opennews/art.shtml?num=65479)

https://www.opennet.ru/opennews/art.shtml?num=65479

PinTheft - шестая уязвимость класса Copy ...

2026-05-19T15:31:08Z

PinTheft - шестая уязвимость класса Copy Fail, предоставляющая права root в Linux

Раскрыта (https://github.com/v12-security/pocs/tree/main/pintheft) информация о шестой уязвимости (1 (https://www.opennet.ru/opennews/art.shtml?num=65325), 2-3 (https://www.opennet.ru/opennews/art.shtml?num=65395), 4 (https://www.opennet.ru/opennews/art.shtml?num=65441), 5 (https://www.opennet.ru/opennews/art.shtml?num=65473)), позволяющей непривилегированному локальному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимость получила кодовое имя PinTheft. Доступен прототип эксплоита (https://github.com/v12-security/pocs/blob/main/pintheft/poc.c). CVE-идентификатор ещё не присвоен. Исправление пока доступно только в виде патча (https://lore.kernel.org/netdev/20260505234336.2132721-1-achender@kernel.org/), который опубликован 5 мая, но пока не включён в корректирующие выпуски (https://kernel.org) ядра.

Уязвимость присутствует в реализации сетевого протокола RDS (https://docs.kernel.org/networking/rds.html) (Reliable Datagram Sockets), предназначенного для высокоскоростного обмена сообщениями между узлами в кластере, с минимальной задержкой и гарантированной доставкой. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0) и ядром, собранным с опциями CONFIG_RDS, CONFIG_RDS_TCP и CONFIG_IO_URING. Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root.

Для автоматической загрузки модуля ядра rds_tcp эксплоит запрашивает отправку данных через RDS с использованием транспорта SO_RDS_TRANSPORT=2. Отмечается, что среди протестированных дистрибутивов Linux в конфигурации по умолчанию модуль ядра rds предоставляется только в Arch Linux. Для блокирования уязвимости обходным путём можно заблокировать автозагрузку модулей ядра rds и rds_tcp:

rmmod rds_tcp rds
printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции rds_message_zcopy_from_user(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации.
В случае сбоя не производилась очистка поля rm->data.op_nents, из-за чего выполнялось двойное освобождение буфера (double-free). Появление некорректного значения в счётчике ссылок удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на фиксированный буфер io_uring.

В остальном механизм эксплуатации типичен для всех уязвимостей данного класса - атакующий добивается оседания файла программы с флагом suid root в страничном кэше, после чего подставляет в ELF-заголовок код для запуска /usr/bin/sh. После данной манипуляции запуск программы приводит к загрузке в память не оригинального исполняемого файла с накопителя, а изменённой копии из страничного кэша. В отличие от прошлых эксплоитов, новый вариант адаптирован для только для атаки на утилиту "su", но и может применяться при наличии в системе таких suid-программ, как mount,
passwd, chsh, newgrp, umount и pkexec.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65476 (https://www.opennet.ru/opennews/art.shtml?num=65476)

https://www.opennet.ru/opennews/art.shtml?num=65476

IncidentRelay - открытая система для ...

2026-05-19T15:01:09Z

IncidentRelay - открытая система для организации дежурств и маршрутизации оповещений

Опубликован проект IncidentRelay (https://incidentrelay.io/), развивающий открытую систему для организации дежурств, маршрутизации оповещений и сопровождения инцидентов, запускаемую на собственном сервере (self-hosted). Проект ориентирован на SRE, DevOps и инфраструктурные команды, которым требуется локально разворачиваемая альтернатива SaaS-сервисам для управления дежурством (on-call management), применения политик эскалации и реагирования на инциденты. Код проекта написан на Python и распространяется (https://github.com/roxy-wi/IncidentRelay) под лицензией MIT.

IncidentRelay принимает события из систем мониторинга, сопоставляет их с правилами маршрутизации и доставляет уведомления ответственным дежурным или командам. В системе реализованы расписания дежурств, ротации, переопределения смен, подтверждение получения инцидента, перевод инцидента в resolved, напоминания, эскалации и silences для подавления известных или плановых срабатываний.

Поддерживается приём событий из Prometheus Alertmanager, Zabbix и произвольных webhook-ов. Для отправки уведомлений предусмотрены каналы Mattermost, Telegram, email, webhook и голосовые провайдеры. В Mattermost и Telegram уведомления могут содержать действия для подтверждения и решения проблемы, что позволяет обрабатывать инцидент без перехода в отдельный интерфейс.

В IncidentRelay предусмотрена модель разделения доступа по группам и командам. Это позволяет разграничить видимость расписаний, маршрутов, каналов уведомлений и алертов между различными командами. Для автоматизации доступен HTTP API, а для интеграций используются bearer-токены и route-токены.

Проект может применяться как промежуточный слой между системами мониторинга и каналами уведомлений: Alertmanager или Zabbix отправляет событие в IncidentRelay, после чего система определяет команду, текущего дежурного, применяет правила маршрутизации и отправляет уведомление в нужный канал. Для неподтверждённых инцидентов могут выполняться повторные напоминания и эскалация на следующего участника ротации.

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65475 (https://www.opennet.ru/opennews/art.shtml?num=65475)

https://www.opennet.ru/opennews/art.shtml?num=65475

DirtyDecrypt - очередная уязвимость ...

2026-05-18T21:01:08Z

DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux

В ядре Linux выявлена (https://github.com/v12-security/pocs/tree/main/dirtydecrypt) уязвимость, по аналогии с уязвимостями Copy Fail (https://www.opennet.ru/opennews/art.shtml?num=65325), Dirty Frag (https://www.opennet.ru/opennews/art.shtml?num=65395) и Fragnesia (https://www.opennet.ru/opennews/art.shtml?num=65441), позволяющая непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимости присвоено кодовое имя DirtyDecrypt (проблема также упоминается под именем DirtyCBC). Доступен прототип эксплоита (https://github.com/v12-security/pocs/blob/main/dirtydecrypt/poc.c).

CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию (https://github.com/v12-security/pocs/blob/main/dirtydecrypt/poc.c) внутри эксплоита, в нём используется уязвимость CVE-2026-31635 (https://nvd.nist.gov/vuln/detail/CVE-2026-31635), исправление (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=e2f1a80d8b1ed6a5ae585a399c2b46500bdcc305) для которой было принято в ядро в апреле и вошло в состав ветки 7.0.0 и сформированного 18 апреля выпуска 6.18.23. Проблема проявляется (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=9d1d2b59341f) начиная с ядра 6.16.

Как и в случае с серией уязвимостей Dirty Frag новая уязвимость присутствует в драйвере RxRPC (https://docs.kernel.org/networking/rxrpc.html), реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Проблема вызвана ошибкой (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=e2f1a80d8b1ed6a5ae585a399c2b46500bdcc305) при проверке размера данных в функции rxgk_verify_response() - вместо проверки "if (auth_len › len)" в коде было указано "if (auth_len ‹ len)", что приводило к передаче в функцию rxgk_decrypt_skb() данных с размером, больше допустимого. При выполнении функции rxgk_decrypt_skb() расшифровка данных осуществлялась с подстановкой изменений напрямую в страничный кэш для исключения лишней буферизации. Из-за неверной проверки размера возникала возможность перезаписи данных в страничном кэше по выбранному смещению.

Эксплуатация уязвимости сводится к чтению файла программы с флагом suid root (для его оседании в страничном кэше) и замене в страничном кэше части кода программы кодом для запуска /usr/bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполнядолжен бытьемый файл с накопителя, а изменённая копия из страничного кэша. В качестве suid-программ в эксплоите предусмотрена возможность использования "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" и "/usr/bin/chsh".

Для эксплуатации уязвимости при сборке ядра должна быть активна опция CONFIG_RXGK, а для автозагрузки доступен модуль ядра rxrpc.ko (в некоторых системах он не собирается). Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2026-31635), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-31635), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-31635), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-31635), Arch (https://security.archlinux.org/package/linux),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=8). В качестве обходного пути защиты можно заблокировать загрузку модуля ядра rxrpc:

sh -c "printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"

Дополнительно можно отметить публикацию в списке рассылки разработчиков ядра Linux патчей (https://lore.kernel.org/all/20260504225328.25356-1-ebiggers@kernel.org/), полностью отключающих в crypto API (AF_ALG (https://www.kernel.org/doc/html/v6.1/crypto/userspace-if.html)) оптимизации, использующие прямое обращение к страничному кэшу при расшифровке с использованием алгоритмов "skcipher" и "aead". Оптимизации исключают лишнюю буферизацию данных, но создают риски возникновения серьёзных уязвимостей. Предполагается, что их отключение приведёт лишь к незначительному снижению производительности из-за появления дополнительной операции копирования в отдельный буфер. Патчи приняты (https://lore.kernel.org/all/agbxnDKpD7o1uFOq@gondor.apana.org.au/) сопровождающим подсистему crypto API и включены (https://git.kernel.org/pub/scm/linux/kernel/git/herbert/cryptodev-2.6.git/commit/?id=ffdd2bc378953b525aca61902534e753f1f8e734) в ветку "cryptodev", в которой развиваются возможности для передачи в основной состав будущих выпусков ядра Linux.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65473 (https://www.opennet.ru/opennews/art.shtml?num=65473)

https://www.opennet.ru/opennews/art.shtml?num=65473

Выпуск Phosh 0.55.0, GNOME-окружения для ...

2026-05-18T09:01:10Z

Выпуск Phosh 0.55.0, GNOME-окружения для смартфонов

Опубликован (https://phosh.mobi/releases/rel-0.55.0/) релиз Phosh 0.55 (https://gitlab.gnome.org/World/Phosh/phosh/), экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS (https://www.opennet.ru/opennews/art.shtml?num=61380), Mobian (https://www.opennet.ru/opennews/art.shtml?num=53151), ALT Mobile (https://www.opennet.ru/opennews/art.shtml?num=65104), Droidian (https://droidian.org/), некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов (https://www.opennet.ru/opennews/art.shtml?num=53822). Phosh использует композитный сервер Phoc (https://gitlab.gnome.org/World/Phosh/phoc), работающий поверх Wayland, а также собственную экранную клавиатуру. Наработки проекта распространяются (https://gitlab.gnome.org/World/Phosh/) под лицензией GPLv3+.

( )

Среди изменений (https://gitlab.gnome.org/World/Phosh/phosh/-/releases/v0.55.0):

- Добавлен новый компонент syncbus (https://gitlab.gnome.org/World/Phosh/syncbus) с реализацией сервера для доступа через D-Bus к функциональности P2P-системы синхронизации файлов Syncthing (https://www.opennet.ru/opennews/art.shtml?num=63722). На базе библиотеки Adwaita подготовлен начальный прототип мобильного клиента для Syncthing. Код написан на Rust.

- В блок быстрых настроек добавлена кнопка для включения и отключения синхронизации файлов через Syncthing.

- Добавлен интерфейс phosh-first-boot (https://gitlab.gnome.org/World/Phosh/phosh-first-boot), вызываемый во время первой загрузки для создания пользователя и настройки его окружения. Код написан на Rust.

- На устройствах без датчика освещённости отключена функциональность автоматического изменения яркости и затемнения экрана.

- В композитном сервере Phoc задействованы Wayland-протоколы: "xdg-dialog (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/xdg-dialog)" для создания модальных диалогов, блокирующих взаимодействие пользователя с остальной частью интерфейса, и ext-data-control-manager-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/ext-data-control?ref_type=heads) для реализации менеджера буфера обмена.

Улучшена реализация модальных диалогов, используя Wayland-протоколы xdg-dialog-v1 и gtk-shell. Добавлен отступ при мозаичной компонентов слева или справа. Улучшена обработка операций сброса GPU.

Осуществлён переход на выпуск библиотеки wlroots (https://gitlab.freedesktop.org/wlroots/wlroots/) 0.20 (https://gitlab.freedesktop.org/wlroots/wlroots/-/releases/0.20.0), в котором реализована поддержка определения цветового представления Wayland-поверхности, управления цветом и использования HDR при помощи протоколов color-representation-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/blob/main/staging/color-representation/color-representation-v1.xml?ref_type=heads) и color-management-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/color-management) при использовании бэкенда отрисовки через API Vulkan. Добавлена поддержка Wayland-протоколов cursor-shape-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/cursor-shape) для настройки внешнего вида курсора,
ext-workspace-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/ext-workspace?ref_type=heads) для использования концепции виртуальных рабочих столов и xdg-toplevel-tag-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/xdg-toplevel-tag) для идентификации окон/поверхностей через привязку тегов.

- В конфигураторе phosh-mobile-settings добавлена новая панель с настройками языка. В настройки экранной клавиатуры добавлена опция для автоматической подстановки пробелов.

- Виджет выбора файлов pfs (https://gitlab.gnome.org/World/Phosh/pfs) (Phosh File selector) обновлён до версии 0.1, в которой реализована поддержка закладок. В xdg-desktop-portal-phosh добавлен портал для добавления и использования закладок на файлы и каталоги.

- В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка дисплейных панелей устройств
MacBook 14 M1 Pro (2021), MacBook 14 M2 Pro (2023) и Xiaomi Redmi Note 10 Pro.

- Осуществлён переход на компоненты GNOME 50. Обновлены версии зависимостей: ModemManager 1.25.95, wys 0.1.12, callaudiod 0.1.10, Calls 50.0, cellbroadcastd 0.0.3, feedbackd 0.8.9, feedbackd-device-themes 0.8.9, iio-sensor-proxy 3.9,
mmsd-tng 2.6.4.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65469 (https://www.opennet.ru/opennews/art.shtml?num=65469)

https://www.opennet.ru/opennews/art.shtml?num=65469

Линус Торвальдс раскритиковал ...

2026-05-18T07:31:07Z

Линус Торвальдс раскритиковал приватный разбор отчётов об уязвимостях, созданных через AI

В анонсе очередного предварительного выпуска ядра 7.1-rc4 Линус Торвальдс призвал (https://lkml.org/lkml/2026/5/17/896) исследователей безопасности, использующих AI, не отправлять отчёты о найденных уязвимостях в приватный список рассылки "security@kernel.org" и следовать принятым на днях правилам и модели угроз (https://www.opennet.ru/opennews/art.shtml?num=65461) при отправке информации об уязвимостях. Отмечается, что использование типовых AI-инструментов приводит к выявлению одних и тех же уязвимостей и отправке большого числа дублирующихся отчётов, разбор которых создаёт огромную дополнительную нагрузку на сопровождающих и делает процесс работы через список рассылки почти полностью неуправляемым.

Список рассылки "security@kernel.org" является закрытым и сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать отчёты, отправленные другими участниками, и их обсуждение разработчиками ядра. Приватный разбор созданных через AI-инструменты проблем признан пустой тратой времени, как для сопровождающих, тратящих ресурсы на отсеивание дубликатов, так и для разработчиков, впустую анализирующих проблемы, о которых уже сообщил кто-то другой.

В связи с этим предписано сообщать об уязвимостях, выявленных при помощи AI, только через публичные списки рассылки, за исключением особо критических проблем. Исследователям безопасности рекомендуется не заниматься бездумной переотправкой того, что выдаёт AI-ассистент, а проанализировать проблему, убедиться в её существовании, изучить документацию (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Documentation/process/security-bugs.rst?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3) по отправке отчётов об ошибках, подготовить патч и тщательно проверить, не исправлена ли уже проблема в актуальной кодовой базе ядра, чтобы сопровождающие не отвлекались на написание ответов о том, что проблема уже исправлена неделю или месяц назад.

По мнению Линуса AI-инструменты великолепны, но только когда действительно помогают, а не создают лишнюю головную боль и бессмысленную имитацию работы. Использование AI-инструментов при разработке ядра допустимо, но так, чтобы это приводило к результату и делало работу приятнее.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65467 (https://www.opennet.ru/opennews/art.shtml?num=65467)

https://www.opennet.ru/opennews/art.shtml?num=65467

ModuleJail для блокировки ...

2026-05-17T20:31:08Z

ModuleJail для блокировки неиспользуемых модулей ядра Linux

Джаспер Нюйенс (Jasper Nuyens (https://github.com/jnuyens/)), основатель организации Linux Belgium, создавший надстройку (https://www.opennet.ru/opennews/art.shtml?num=50119) для использования Linux в информационной системе автомобилей Tesla, предложил простой способ снизить поверхность атаки на ядро Linux для снижения вероятности компрометации на фоне всплеска выявления опасных уязвимостей при помощи AI. Так как многие уязвимости, как правило, находят в специфичных модулях ядра, доступных для автозагрузки, но обычно не применяемых большинством пользователей, Джаспер предложил по умолчанию блокировать неиспользуемые в текущей системе или в общем виде редко используемые модули.

В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail (https://github.com/jnuyens/modulejail/), который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется (https://github.com/jnuyens/modulejail/) под лицензией GPLv3.

Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл
/etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобны подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.

При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65466 (https://www.opennet.ru/opennews/art.shtml?num=65466)

https://www.opennet.ru/opennews/art.shtml?num=65466

На соревновании Pwn2Own в Берлине ...

2026-05-16T20:02:08Z

На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Windows 11 и AI-агентов

Подведены (https://www.zerodayinitiative.com/blog/2026/5/16/pwn2own-berlin-2026-day-three-results-and-master-of-pwn) итоги трёх дней соревнований Pwn2Own Berlin 2026, на которых были продемонстрированы успешные атаки с использованием 47 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Суммарный размер выплаченных вознаграждений составил более $1.2 миллиона долларов США ($1,298,250). Наиболее успешная команда
DEVCORE сумела заработать на соревнованиях 505 тысяч долларов США. Обладатели второго места (STARLabs SG) получили 242 тысяч долларов, а третьего (Out Of Bounds) - 95 тысяч долларов.

( )

Осуществлённые атаки:

- Red Hat Enterprise Linux: 4 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения, состоянием гонки и использованием неинициализированной памяти. Участникам выплачено $20,000, $10,000, $7,000 и $5,000.

- Windows 11: 5 успешные атаки, позволившие получить права администратора. Уязвимости вызваны целочисленным переполнением, переполнением буфера, обращением к памяти после освобождения и некорректным управлением доступом. Участникам выплачено $30,000, две премии по $15,000 и две премии по $7,500.

- VMware ESX: атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено $200,000.

- NV Container Toolkit: 2 успешные атаки, позволившие обойти изоляцию контейнера. Проблемы вызваны обращением к памяти после освобождения. Участникам выплачено $25,000 и $50,000

- Microsoft Edge: Удалённое выполнение кода c обходом sandbox. Участникам выплачено $175,000.

- Microsoft SharePoint: Удалённое выполнение кода. Участникам выплачено $100,000.

- Microsoft Exchange: Удалённое выполнение кода с правами SYSTEM. Участникам выплачено $200,000.

- OpenAI Codex: 4 успешных взлома. Выплачено: $40,000, две премии по $20,000 и $10,000.

- NVIDIA Megatron Bridge: 4 успешных взлома. Выплачено: $20,000, две премии по $10,000, $2,500.

- Anthropic Claude Code: 3 успешных взлома. Выплачены три премии по $20,000.

- LM Studio: 2 успешных взлома. Выплачено: $40,000 и $20,000.

- Cursor: 2 успешных взлома. Выплачено: $30,000 и $15,000.

- LiteLLM: 3 успешных взлома. Выплачено: $17,750, $40,000 и $8,000.

- Chroma: Один взлом, выплачено $20,000.

- Ollama: Один взлом, выплачено $28,000.

- Anthropic Claude Desktop: Один взлом, выплачено $10,000.

Кроме вышеотмеченных успешных атак, 7 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома VMware ESXi, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux, Firefox, OpenAI Codex,
Oracle Autonomous AI Database, NV Container Toolkit.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована (https://www.zerodayinitiative.com/advisories/published/) только через 90 дней (https://www.zerodayinitiative.com/advisories/disclosure_policy/), которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65464 (https://www.opennet.ru/opennews/art.shtml?num=65464)

https://www.opennet.ru/opennews/art.shtml?num=65464

Модель угроз и особенности оценки ...

2026-05-16T16:02:03Z

Модель угроз и особенности оценки уязвимостей в ядре Linux

Линус Торвальдс принял (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3) в состав ядра документ (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3), регламентирующий процесс обработки ошибок, связанных с безопасностью, определяющий модель угроз, поясняющий, какие ошибки в ядре трактуются как уязвимости, и разбирающий действия с ошибками, выявленными при помощи AI. Документ подготовлен (https://lore.kernel.org/all/20260509094755.2838-1-w@1wt.eu/) Вилли Тарро (Willy Tarreau), автором HAProxy и давним разработчиком ядра Linux, отвечавшим за сопровождение нескольких стабильных веток ядра. В качестве основы использованы договорённости, достигнутые в ходе обсуждения недавно выявленных критических уязвимостей в ядре (1 (https://www.opennet.ru/opennews/art.shtml?num=65325), 2 (https://www.opennet.ru/opennews/art.shtml?num=65395), 3 (https://www.opennet.ru/opennews/art.shtml?num=65441), 4 (https://www.opennet.ru/opennews/art.shtml?num=65452)), раскрытых до публикации исправлений и для которых, благодаря AI, удалось сразу создать рабочие эксплоиты.

Основную массу связанных с безопасностью ошибок предписывается (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/diff/Documentation/process/security-bugs.rst?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3) обрабатывать публично, чтобы привлечь максимально широкую аудиторию и найти оптимальное решение. В отдельный приватный список рассылки предлагается отправлять только экстренные сообщения об уязвимостях, легко эксплуатируемых, представляющих угрозу для многих пользователей и позволяющих получить расширенные привилегии или возможности.

Уязвимости, выявленные при помощи AI-ассистентов, всегда предлагается обсуждать публично, так как подобные проблемы часто обнаруживаются одновременно несколькими исследователями. При этом не следует раскрывать в отчёте экплоит - достаточно упомянуть, что он доступен, и передать его в частном порядке в ответ на запрос сопровождающего.

Отдельно описываются правила передачи отчётов, созданных при помощи AI-ассистентов. Подобных отчётов присылают очень много и благодаря им время от времени удаётся выявлять ошибки в плохо отрецензированных частях кода, но сопровождающие часто их игнорируют из-за низкого качества и неточностей. Основные требования к отчётам, созданными при участии AI:

- Краткость, без воды и с указанием сути и важных деталей в самом начале.

- Только голый текст без Markdown-тегов и декорирования.

- Понимание модели угроз и указание проверяемых фактов (например, "ошибка позволяет любому пользователю получить CAP_NET_ADMIN"), а не теоретических измышлений и домыслов о последствиях уязвимости.

- Перед отправкой отчёта обязательно тщательно протестировать работоспособность эксплоита, сформированного через AI, и убедиться в возможности воспроизвести проблему.

- Привлечение AI для разработки и тестирования исправления выявленной проблемы.

По статистике сопровождающих, большинство отчётов об ошибках, присылаемых под видом устранения уязвимостей, таковыми не являются, и должны обрабатываться в общем порядке как обычные ошибки. Для разделения уязвимостей и обычных ошибок описана модель угроз (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/diff/Documentation/process/threat-model.rst?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3) ядра Linux. Среди возможностей и гарантий, нарушение которых может рассматриваться как уязвимость:

- Изоляция на уровне пользователей: доступ к файлам только для владельца, память процесса недоступна другим пользователям, ptrace запрещён для чужих процессов, изоляция IPC и сетевых коммуникаций.

- Защита на основе capabilities: без CAP_SYS_ADMIN нельзя менять конфигурацию ядра, память, состояние системы, без CAP_NET_ADMIN нельзя менять сетевые настройки или перехватывать трафик, без CAP_SYS_PTRACE нельзя отслеживать процессы других пользователей.

- Пространство имён идентификаторов пользователей (CONFIG_USER_NS) позволяет непривилегированным пользователям создавать свои изолированные окружения, из которых нельзя влиять на глобальное пространство имён, например, менять время, загружать модули и монтировать блочные устройства.

- Отладочные интерфейсы (/proc/kmsg, perf, debugfs), через которые можно получить доступ к конфиденциальной информации, доступны только после явного предоставления доступа администратором.

Возможности, которые не рассматриваются как уязвимости:

- Использование устаревших веток ядра.

- Сборка с включением опций для разработчиков или снижающих безопасность (например, CONFIG_NOMMU).

- Выставление небезопасных настроек sysctl, опций командной строки, прав доступа в ФС, capabilities или открытие непривилегированным пользователям доступа к привилегированным интерфейсам (например, доступ на запись в procfs и debugfs).

- Проблемы в функциях, предназначенных только для разработки и отладки ядра, таких как LOCKDEP, KASAN и FAULT_INJECTION, которые не предназначены для включения в рабочих конфигурациях.

- Проблемы в драйверах, модулях и подсистемах, находящихся в секции STAGING или помеченных как экспериментальные, небезопасные или неработоспособные.

- Использование сторонних модулей ядра или неофициальных форков ядра.

- Требование избыточных привилегий, таких как необходимость выполнения действий с правами root или от пользователя, имеющего права CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_SYS_RAWIO и CAP_SYS_MODULE.

- Теоретические атаки, требующие лабораторных условий, миллиардов попыток, эмуляции или модификации оборудования, несоразмерных затрат и нереалистичных конфигураций (например, системы с десятками тысяч ядер CPU).

- Обход механизмов защиты (например, ASLR) без демонстрации эксплоита. Отсутствие проверок аргументов и возвращаемых кодов ошибок, не имеющих явных последствий.

- Случайные утечки информации, неподконтрольные атакующим, такие как
остаточные данные в сообщениях об ошибках и утечки адресов/указателей на память ядра без прямой возможности эксплуатации.

- Ошибки при монтировании повреждённых дисковых образов, если драйвер не заявлен как пригодный для использования с не заслуживающими доверия носителями. Проблемы с дисковыми образами, выявляемые и устраняемые через запуск утилиты fsck.

- Атаки требующие физического доступа к оборудованию, модификации оборудования или подключения аппаратных устройств, таких как платы для атаки на DMA и логические анализаторы, если система специально не настроена для защиты от подобных атак (IOMMU).

- Регрессии c функциональностью и производительностью, устраняемые настройкой прав и лимитов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65461 (https://www.opennet.ru/opennews/art.shtml?num=65461)

https://www.opennet.ru/opennews/art.shtml?num=65461

Релиз Erlang/OTP 29 Состоялся ...

2026-05-16T11:31:13Z

Релиз Erlang/OTP 29

Состоялся (https://www.erlang.org/news/188) релиз функционального языка программирования Erlang 29 (http://www.erlang.org), нацеленного на разработку распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 29 (Open Telecom Platform) - сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang.

Основные новшества (https://github.com/erlang/otp/releases/tag/OTP-29.0):

- В SSH-сервере по умолчанию отключены сервисы shell и exec, а также подсистема SFTP. Для выполнения Erlang-кода аутентифицированными пользователями через SSH теперь требуется изменение настроек. В SSH по умолчанию активирован гибридный алгоритм обмена ключами mlkem768x25519-sha256.

- В библиотеке SSL в конфигурации по умолчанию выставлен наиболее приоритетным гибридный алгоритм обмена ключами "x25519mlkem768", стойкий к подбору на квантовом компьютере и представляющий собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber).

- Добавлен атрибут "-unsafe" для пометки функций небезопасными (unsafe). В библиотеке Erlang/OTP подобные функции помечены и для них компилятор теперь выдаёт предупреждение. Добавлена возможность отслеживания через xref вызова unsafe-функций и функций без документации.

- Для корректной работы сторонних сборочных инструментов, таких как Rebar3, фильтрация игнорируемых вызовов (ignore_xref) теперь выполняется непосредственно внутри xref.

- Добавлен модуль ct_doctest для автоматического тестирования примеров кода из документации.

- Добавлен модуль io_ansi для создания консольных приложений, поддерживающих подстановку в терминал ANSI-последовательностей (Virtual Terminal Sequences), например, для изменения стиля и цвета текста.

- При поиске файловых путей с кодом (PATH) текущий каталог (".") перемещён с первой на последнюю позицию списка и теперь проверяется в последнюю очередь.

- Прекращено формирования 32-разрядных сборок для Windows.

- Реализован полноценный отдельный тип данных для записей (native record, EEP-79 (https://github.com/erlang/eep/pull/81)), который можно использовать вместо традиционных записей, построенных на кортежах.

- Добавлен ограничитель "is_integer/3" для проверки целых чисел на принадлежность диапазону (например, "is_integer(I, 0, 100)").

- Реализованы генераторы списков с множественными значениями (EEP-78 (https://www.erlang.org/eeps/eep-0078)), возвращающие несколько элементов за итерацию (например, "[-I, I || I <- [1, 2, 3]]" выдаст "[-1,1,-2,2,-3,3]").

- Добавлен флаг compr_assign, позволяющий связывать переменные прямо внутри генераторов (например, "[H || E <- List, H = erlang:phash2(E), H rem 10 =:= 0]").

- В JIT-компиляторе улучшена генерация машинного кода для сопоставления и создания бинарных данных с несколькими little-endian сегментами.

- В компиляторе повышена эффективность генерируемого кода в ситуациях, когда значения в "map" не зависят от генератора (например, "#{K => 42 || K <- List}").

- В компиляторе реализован вывод предупреждений при использовании устаревшего оператора "catch" вместо "try...catch", экспорта переменных из подвыражений (например, "file:open(File, AllOpts = [write, {encoding,utf8}])"), использования "and"/"or" вместо "andalso"/"orelse", указания неоптимальных шаблонов сопоставления (например, "{a,B} = {X,Y}").

- В STDLIB реализованы функции rand:shuffle/1 и rand:shuffle_s/2 для перемешивания списков в случайном порядке.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65455 (https://www.opennet.ru/opennews/art.shtml?num=65455)

https://www.opennet.ru/opennews/art.shtml?num=65455

QEMUtiny - уязвимости в QEMU, позволяющие ...

2026-05-15T17:13:37Z

QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы

Исследователи, которые на днях выявили уязвимость Fragnesia (https://www.opennet.ru/opennews/art.shtml?num=65441) в ядре Linux, опубликовали (https://github.com/v12-security/pocs/tree/main/qemu) информацию об уязвимостях в QEMU (https://www.qemu.org/), позволяющих из гостевой системы получить root-доступ к хост-окружению. Проблеме присвоено кодовое имя QEMUtiny, но CVE-идентификатор пока не назначен. Подготовлен эксплоит (https://github.com/v12-security/pocs/blob/main/qemu/poc.c), в котором задействованы две уязвимости в коде эмуляции устройства CXL (https://www.qemu.org/docs/master/system/devices/cxl.html) (Compute Express Link).

Обе уязвимости присутствуют в коде cxl-mailbox-utils.c (https://github.com/qemu/qemu/blob/master/hw/cxl/cxl-mailbox-utils.c). Первая уязвимость проявляется начиная с выпуска QEMU 7.1.0 и приводит к чтению памяти из области вне выделенного буфера из-за того, что функция cmd_logs_get_log() ошибочно трактует запрошенное смещение CEL-лога как индекс в массиве, в то время как оно задаётся в байтах. Вторая уязвимость проявляется начиная с QEMU 11.0.0 и приводит к переполнению буфера в функции cmd_features_set_feature() из-за обработки смещения на структуры при записи атрибутов без проверки, что вычисленное значение "offset + bytes_to_copy" укладывается в размер выбранной структуры.

Фактически атака возможна только на последнюю ветку QEMU 11.0.0. Об исправлении пока ничего не сообщается, указано только, что перед раскрытием уязвимости, информация о ней была передана разработчикам QEMU, которые ответили, что поддержка устройства CXL в QEMU реализована не для использования при виртуализации.

Эксплоит проверен с кодовой базой QEMU от 11 мая с последним коммитом
5e61afe (https://github.com/qemu/qemu/commit/5e61afe). Работа эксплоита завязана на раскладку структур в памяти каждой конкретной сборки QEMU и системной libc, но по мнению исследователей, воспользовавшись для сканирования памяти уязвимостью, приводящей к чтению из области вне буфера, можно создать универсальный эксплоит, работающий с разными версиями QEMU.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65456 (https://www.opennet.ru/opennews/art.shtml?num=65456)

https://www.opennet.ru/opennews/art.shtml?num=65456

Пересмотр решения о создании ...

2026-05-15T11:43:33Z

Пересмотр решения о создании редакции Fedora AI Developer Desktop

Управляющий совет проекта Fedora (Fedora Council (https://docs.fedoraproject.org/en-US/council/)) отозвал (https://forge.fedoraproject.org/council/tickets/issues/562) ранее принятое решение о создании Fedora AI Developer Desktop - официальной редакции дистрибутива для разработчиков, использующих AI-инструменты. Изначально все 6 членов управляющего совета проголосовали (https://forge.fedoraproject.org/council/tickets/issues/562#issuecomment-697648) за создание проекта, но после ознакомления с критикой, высказанной в ходе обсуждения (https://discussion.fedoraproject.org/t/fedora-ai-developer-desktop-objective/184941/151) в сообществе, через несколько дней два участника изменили (https://forge.fedoraproject.org/council/tickets/issues/562#issuecomment-698875) свои голоса и высказались против. Так как единогласия не достигнуто, утверждение решения отложено. Вопрос планируют решить до проведения конференции Flock 2026, которая пройдёт с 14 по 16 июня.

Недовольство связано с намерением использовать в составе Fedora AI Developer Desktop сторонние модули ядра и проприетарные компоненты для поддержки технологии NVIDIA CUDA. Поставка сторонних модулей нарушает сложившийся в проекте консенсус в отношении политики поставки сторонних модулей ядра, а поставка CUDA идёт в разрез с идеологией проекта, не приветствующей продвижение проприетарного ПО и привязку решений к одному производителю. Кроме того, в новой редакции предлагалось поставлять LTS-ветки ядра, но не ясно кто их будет поддерживать отдельно от штатных постоянно обновляемых пакетов с ядром, сопровождаемых в Fedora.

По мнению изменившего свой голос члена управляющего совета, изменение стратегии в отношении поставки модулей для ядра в
Fedora требует дополнительного согласования и получения экспертных мнений от инженеров и юристов. Предполагается, что проблема может быть урегулирована через переход к поставке штатного драйвера Nova вместо сторонних отрытых модулей от компании NVIDIA, доведение которого до готовности ожидается ближе к концу года.

Изначально предполагалось, что участники из сообщества обратятся к
представителям управляющего совета в случае опасений по тем или иным предстоящим решениям, но на деле совет не был уведомлен о возможных проблемах и голосовал на основе информации, предоставленной автором инициативы. Для того чтобы недопустить в будущем решений совета, идущих в разрез с мнением сообщества, Джеф Спалета (Jef Spaleta), лидер проекта Fedora, предложил (https://discussion.fedoraproject.org/t/fedora-ai-developer-desktop-objective/184941/151) до начала голосования публиковать позиции совета, по которым в достигнут консенсус, чтобы сообщество могло успеть отреагировать и попытаться переубедить участников. Также упоминается вариант введения предварительного голосования на этапе обсуждения вопросов, вынесенных на рассмотрение совета, с публикацией результатов вне протоколов заседаний для ознакомления сообщества с мнением совета до проведения окончательного голосования.

Проект Fedora AI Developer Desktop нацелен (https://discussion.fedoraproject.org/t/fedora-ai-developer-desktop-objective/184941) на создание дополнительных атомарно обновляемых дектоп-редакций Fedora Linux для разработчиков, использующих и разрабатывающих AI-технологии. В качестве основы планировалось использовать наработки дистрибутивов Silverblue (https://fedoraproject.org/atomic-desktops/silverblue/) (GNOME) и Kinoite (https://fedoraproject.org/atomic-desktops/kinoite/) (KDE), дополненные модулями ядра, инструментариями, платформами и библиотеками для развёртывания AI-моделей на локальной системе, а также разработки приложений, использующих AI.
Для тестирования доступен прототип сборки (https://quay.io/repository/gordonmessmer/atomic-desktop/silverblue) Fedora AI Developer Desktop на базе Fedora Silverblue.

Конечной целью называется желание предоставить решение для использования AI из коробки, не требующее ручной настройки и установки дополнительного ПО. Для корректной работы многих AI-фреймворков обычно требуется ручная настройка и согласование версий ядра, драйверов NVIDIA, инструментария CUDA и runtime для запуска контейнеров. Fedora AI Developer Desktop предоставит уже протестированное рабочее окружение, позволяющее сразу запускать готовые контейнеры с преднастроенными AI-платформами и использовать средства ускорения выполнения AI-моделей при помощи GPU.

Все AI-инструменты и платформы по умолчанию будут поставляться без отправки телеметрии и с отключённым обращением к облачным сервисам. Для задействования ускорения на GPU NVIDIA в состав включены открытые компанией NVIDIA модули ядра (https://github.com/NVIDIA/open-gpu-kernel-modules/), используемые (https://www.opennet.ru/opennews/art.shtml?num=61577) в проприетарных драйверах NVIDIA (в будущем модули ядра NVIDIA планируют заменить на драйвер Nova (https://www.opennet.ru/opennews/art.shtml?num=60821)). Поверх открытых модулей предусмотрена возможность установки CUDA Runtime или CUDA Toolkit. Помимо GPU NVIDIA в планах упомянута возможность работы на системах с GPU ARM, AMD и Intel. Из входящих в базовую поставку компонентов, отмечены преднастроенные AI-агент Goose (https://github.com/aaif-goose/goose) и графический интерфейс для создания, запуска и управления контейнерами Podman Desktop (https://podman-desktop.io/).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65454 (https://www.opennet.ru/opennews/art.shtml?num=65454)

https://www.opennet.ru/opennews/art.shtml?num=65454

Уязвимость в Linux-подсистеме pidfd, ...

2026-05-15T06:13:35Z

Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

В ядре Linux выявлена (https://www.openwall.com/lists/oss-security/2026/05/15/2) четвёртая (1 (https://www.opennet.ru/opennews/art.shtml?num=65325), 2 (https://www.opennet.ru/opennews/art.shtml?num=65395), 3 (https://www.opennet.ru/opennews/art.shtml?num=65441)) за последние две недели критическая уязвимость, позволяющая пользователю поднять свои привилегии в системе. Опубликовано (https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn) два рабочих эксплоита: sshkeysign_pwn (https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn/blob/main/sshkeysign_pwn.c) даёт возможность непривилегированному пользователю прочитать содержимое закрытых хостовых SSH-ключей /etc/ssh/ssh_host_*_key, а chage_pwn (https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn/blob/main/chage_pwn.c) - прочитать содержимое файла /etc/shadow с хэшами паролей пользователей.

Сведения об уязвимости не были запланированы для раскрытия, но один из исследователей безопасности на основе предложенного для ядра патча (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a) смог определить (https://x.com/spendergrsec/status/2054974174926430322) суть уязвимости, позволяющей прочитать файлы, доступные только пользователю root, например, /etc/shadow. В добавленном в ядро изменении корректировалась логика использования функции get_dumpable() в ptrace при определении уровня доступа в функции ptrace_may_access().

Непосредственно уязвимость вызвана состоянием гонки, приводящим к возможности непривилегированного доступа к файловому дескриптору pidfd после обращения к файлу из suid root процесса. В момент времени между открытием файла и сбросом привилегий в suid-программе (например, через функцию setreuid), возникает ситуация, когда приложение, запустившее suid root программу, через дескриптор pidfd может обратиться к открытому в suid-программе файлу, даже если это не позволяют права доступа на файл.

Окно для эксплуатации возникает из-за того, что функция "__ptrace_may_access()" пропускает проверку возможности доступа к файлу, если поле task->mm оказывается выставлено в значение NULL после выполнения exit_mm(), но до вызова exit_files(). В данный момент системный вызов pidfd_getfd считает, что идентификатор пользователя (uid) вызывающего процесса, соответствует идентификатору, которому разрешён доступ к файлу. Примечательно, что ранее на проблему обращали внимание (https://lore.kernel.org/all/20201016024019.1882062-1-jannh@google.com/) ещё в 2020 году, но она осталась неисправленной.

В эксплоите (https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn/blob/main/chage_pwn.c), получающем содержимое /etc/shadow, атака сводится к цикличному запуску через fork+execl приложения /usr/bin/chage с флагом suid root, читающего содержимое /etc/shadow. После того как процесс ответвился выполняется системный вызов pidfd_open (https://man7.org/linux/man-pages/man2/pidfd_open.2.html) и осуществляется цикличный перебор доступных pidfd-дескрипторов через системный вызов pidfd_getfd (https://man7.org/linux/man-pages/man2/pidfd_getfd.2.html) и их проверка через /proc/self/fd. В эксплоите sshkeysign_pwn похожие манипуляции осуществляются с suid root программой ssh-keysign.

CVE-идентификатор проблеме пока не присвоен, обновление ядра и пакетов в дистрибутивах не опубликованы. В выпущенных (https://www.kernel.org/) несколько часов назад ядрах 7.0.7, 6.18.30 и 6.12.88 уязвимость не устранена. На момент написания новости можно использовать только патч (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a). Обсуждаются (https://www.openwall.com/lists/oss-security/2026/05/15/3) возможные обходные пути блокирования уязвимости, такие как выставление
sysctl kernel.yama.ptrace_scope (https://www.kernel.org/doc/Documentation/security/Yama.txt) или удаление флага suid root с исполняемых файлов в системе (как минимум с утилит ssh-keysign и chage, используемых в эксплоитах).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65452 (https://www.opennet.ru/opennews/art.shtml?num=65452)

https://www.opennet.ru/opennews/art.shtml?num=65452

Linux Foundation опубликовал ...

2026-05-14T20:13:36Z

Linux Foundation опубликовал автомобильный дистрибутив AGL UCB 21.0 и платформу SoDeV

Организация Linux Foundation представила (https://www.linuxfoundation.org/press/automotive-grade-linux-releases-open-source-sodev-reference-platform-for-software-defined-vehicles-and-welcomes-five-new-members) двадцать первый выпуск дистрибутива AGL UCB (https://automotive.linuxfoundation.org/) (Automotive Grade Linux Unified Code Base), в рамках которого развивается универсальная платформа для использования в различных автомобильных подсистемах, от приборных панелей до автомобильных информационно-развлекательных систем. Одновременно представлен (https://www.automotivelinux.org/announcements/automotive-grade-linux-releases-open-source-sodev-reference-platform-for-software-defined-vehicles-and-welcomes-five-new-members/) первый выпуск эталонной платформы AGL SoDeV (Software Defined Vehicle), предназначенной для создания программно определяемых автомобильных систем на базе Automotive Grade Linux.

SoDeV представляет собой комбинированный продукт, сочетающий дистрибутив AGL UCB, Linux-контейнеры, VirtIO, гипервизор Xen, Zephyr RTOS и другие проекты Linux Foundation. Первый релиз SoDeV может запускаться на платах Renesas Sparrow Hawk, в облачных окружениях или в виртуальных машинах. Проект позволяет автопроизводителям ускорить вывод продукта на рынок, благодаря отделения разработки программного обеспечения от аппаратных систем и абстрагирования оборудования через виртуализацию. В течение 2026 года планируют реализовать более широкую поддержку SoC, применяемых автопроизводителями. Проект развивается при участии компаний Panasonic Automotive Systems, Honda, Toyota, Mazda, AISIN и Renesas.

( )

Дистрибутив AGL UCB основан на наработках проектов Tizen (https://www.tizen.org), GENIVI (http://www.genivi.org/) и Yocto (http://www.yoctoproject.org/). Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы (https://wiki.automotivelinux.org/agl-distro/release-notes) для QEMU, плат Renesas H3, Intel Up², Raspberry Pi 4 и Raspberry Pi 5. В разработке дистрибутива участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны (https://git.automotivelinux.org/) под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Среди изменений (https://wiki.automotivelinux.org/agl-distro/release-notes#latest_stable_release) в новой версии AGL UCB:

- Осуществлена синхронизация с компонентами платформы Yocto 5.0.16 (https://www.yoctoproject.org/);

- Обновлены инструментарии Flutter Embedder и Workspace Automation, в которые повышена производительность, решены проблемы с отрисовкой, добавлены новые возможности интерфейса пользователя. Обновлены версии
Flutter SDK 3.38.3 и языка Dart 3.10.1.

- Задействована библиотека Qt 6.8.

- До версии 6.0 обновлена спецификация VSS (https://covesa.github.io/vehicle_signal_specification/) (Vehicle Signal Specification).

- Фреймворк распределённого отображения (Distributed Display Framework) переведён на использование протокола gRPC.

- Обновлены пакеты BSP (Board Support Package):
meta-arm,
meta-freescale,
meta-freescale-3rdparty,
meta-raspberrypi,
meta-renesas,
meta-riscv,
meta-rockchip,
meta-tegra,
meta-ti.

- Обновлены пакеты
meta-aws,
meta-clang,
meta-flutter,
meta-openembedded,
meta-selinux,
meta-virtualization,
meta-python-ai,
meta-qt6.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65449 (https://www.opennet.ru/opennews/art.shtml?num=65449)

https://www.opennet.ru/opennews/art.shtml?num=65449

Бета-выпуск KDE Plasma 6.7 Объявлено ...

2026-05-14T18:43:33Z

Бета-выпуск KDE Plasma 6.7

Объявлено (https://kde.org/announcements/plasma/6/6.6.90/) о переходе ветки KDE Plasma 6.7 на стадию бета-тестирования и заморозке кодовой базы от внесения функциональных изменений (допускается только приём исправлений). Релиз KDE Plasma 6.7 намечен (https://community.kde.org/Schedules/Plasma_6) на 16 июня.

Основные изменения (https://community.kde.org/Plasma/Plasma_6#Plasma_6.7) в KDE Plasma 6.7:

- В состав включён пользовательский интерфейс Plasma Bigscreen (https://plasma-bigscreen.org/), предназначенный для использования на мультимедийных устройствах, подключаемых к телевизорам и проекторам. Окружение оптимизировано для работы с большими экранами и управления без клавиатуры c использованием пультов дистанционного управления или голосового помощника.

( )

( )

( )

- В состав включён унифициорованный движок стилей Union (https://invent.kde.org/plasma/union), позволяющий использовать (https://api.kde.org/union-index.html) разные технологии стилевого оформления приложений, доступные в KDE. По умолчанию для стилей задействован формат CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS.
Движок Union состоит из трёх слоёв:

Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS.
Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу.

Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека. Например, на выходе могут формироваться стили для QtQuick или Qt Widgets.

( )

- В композитном менеджере KWin реализована (https://invent.kde.org/plasma/kwin/-/merge_requests/9023) поддержка экспериментального Wayland-протокола xx-fractional-scale-v2 (https://invent.kde.org/plasma/kwin/-/blob/a116bbc081057a5353893fb0cf2febdcf55ce30f/src/wayland/protocols/xx-fractional-scale-v2.xml), благодаря которому удалось избавиться от излишних зазоров между соседними элементами на экранах с высокой плотностью пикселей, например, между развёрнутым на весь экран окном и панелью. Протокол xx-fractional-scale предоставляет (https://invent.kde.org/plasma/kwin/-/merge_requests/9023/diffs?commit_id=12161c0aba047bef10574c251f144c49db77382b&file=ebe04047b053c2b26ecdcfc74e0450b3654101f3) возможность масштабирования системы логических координат, значения в которой задаются целыми числами, для повышения точности позиционирования и увеличения разрешения логических координат до отдельных пикселей. Подобная возможность решает проблему с ограниченным разрешением системы логических координат, недостаточным для позиционирования на уровне отдельных пикселей, необходимого для полноценной реализации дробного масштабирования в KDE.

При помощи протокола xx-fractional-scale композитный сервер и клиент могут согласованно использовать разные системы координат (логические и пиксельные) при работе с объектом wl_surface. Логические координаты применяются для описания размера содержимого и позиций окон с точки зрения пользователя, а пиксельные координаты отражают фактические размеры в буферах при отрисовке на экран. Протокол xx-fractional-scale вводит коэффициент масштабирования (scale), связывающий логические и пиксельные координаты, и позволяющий обрабатывать ситуации, когда на единицу логических координат приходится несколько пикселей.

- Реализована (https://bugs.kde.org/show_bug.cgi?id=436318) полноценная поддержка сохранения и восстановления сеансов при использовании Wayland, позволяющая восстановить состояние, привязку к виртуальным рабочим столам и позицию окон прерванного сеанса после перезагрузки или аварийного завершения работы. Реализация основана на добавленной в KWin поддержке протокола xdg-session-management (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/xdg-session-management), предложенного в выпуске Wayland-Protocols 1.48 (https://www.opennet.ru/opennews/art.shtml?num=65120).

- Добавлена (https://bugs.kde.org/show_bug.cgi?id=107302) возможность независимого переключения между виртуальными рабочими столами на каждом экране (ранее виртуальные рабочие столы переключались синхронно на всех мониторах, а теперь в привязке к каждому монитору).

- Добавлен (https://merritt.codes/blog/2026/03/13/2026/_plasma-keyboard-funding-diacritics) режим ввода с клавиатуры диакритических знаков (https://ru.wikipedia.org/wiki/%D0%94%D0%B8%D0%B0%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D0%B7%D0%BD%D0%B0%D0%BA%D0%B8) и спецсимволов, отсутствующих на физической клавиатуре. При удержании нажатия клавиши, связанной со спецсимволом, теперь показывается всплывающая подсказка, позволяющая во время ввода быстро выбрать нужный спецсимвол. Выбор осуществляется клавишами управления курсором, нажатием упомянутых в подсказке цифр или кликом мыши. Режим реализован в модуле plasma-keyboard и требует включения виртуальной клавиатуры (System Settings > Keyboard > Virtual Keyboard).

- Предоставлена (https://invent.kde.org/plasma/plasma-keyboard/-/merge_requests/83) возможность установки собственных звуковых тем из загруженных архивов, без необходимости их предварительной ручной распаковки в каталог .../share/sounds.

( )

- Добавлена (https://bugs.kde.org/show_bug.cgi?id=435256) функция (https://invent.kde.org/plasma/plasma-pa/-/commit/6d0efd26cdeea8b644ffc1e5e11899dd73c63f4e) для проверки настроек микрофона, позволяющая записать себя, а потом воспроизвести запись для оценки выставленной чувствительности микрофона.

- В композитный менеджер KWin добавлена (https://invent.kde.org/plasma/kwin/-/merge_requests/8926) возможность использования замещающих друг друга виртуальных фреймбуферов при работе с несколькими GPU (multi-GPU swapchain (https://en.wikipedia.org/wiki/Swap_chain)), а также реализована поддержка графического API Vulkan в DRM-бэкенде (Direct Rendering Manager), что после внесения оптимизаций в будущем позволит добиться увеличения производительности в конфигурациях с несколькими GPU. На текущем этапе производительность связок из встроенных GPU AMD и Intel с дискретными видеокартами AMD и NVIDIA при использовании Vulkan примерно соответствует OpenGL.

- Добавлена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6312) поддержка xdg-портала Notification (https://flatpak.github.io/xdg-desktop-portal/docs/doc-org.freedesktop.portal.Notification.html) для настройки и вывода уведомлений из изолированных приложений, например, поставляемых в формате Flatpak.

- В KWin внесены оптимизации (https://zamundaaa.github.io/wayland/2026/05/06/making-wl-shm-fast.html), повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметна в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.

- В KWin продолжена (https://invent.kde.org/plasma/kwin/-/merge_requests/9027) работа по реализации поддержки графического API Vulkan
в DRM-бэкенде (Direct Rendering Manager). Ожидается, что использование
Vulkan позволит добиться увеличения производительности в конфигурациях с несколькими GPU. Реализована возможность использования Vulkan для загрузки текстур из GPU в CPU. Добавлен обработчик vulkanToQImageFormat() для преобразования форматов изображений в QImage. Расширены возможности VulkanDevice::createCommandBuffer(). Реализован метод isSoftwareRenderer() в VulkanDevice. Добавлены интеграционные тесты. Проведено тестирование на системе с видеокартой NVIDIA RTX 5070 Ti с проприетарным драйвером 595.58.03.

- На системах с драйверами i915 и Intel XE для GPU Intel в KWin включена (https://invent.kde.org/plasma/kwin/-/merge_requests/8699) поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Изменение повысило производительность и сократило энергопотребление приложений и игр, поддерживающих добавленную функциональность.

- В меню, использующих тему оформления Breeze, реализовано (https://invent.kde.org/plasma/breeze/-/merge_requests/605) изменение фона элементов при клике.

- Упрощён (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6451) интерфейс показа QR-кода в виджете работы с буфером обмена (кнопка копирования перенесена в заголовок).

( )

- Повышена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6452) точность позиционирования виджетов на рабочем столе. При перемещении виджета в область, в которую он не помещается, теперь выводится эскиз, показывающий ближайшее свободное место, в котором фактически окажется виджет.

- Обеспечено (https://invent.kde.org/plasma/libplasma/-/merge_requests/1435) изменение стиля всплывающих подсказок в соответствии с активной темой оформления.

- Улучшена (https://invent.kde.org/plasma/kwin/-/merge_requests/8951) реализация эффекта Mouse Marks (превращение курсора в маркер, оставляющий линии на экране) на сенсорных экранах. Добавлена поддержка рисования одновременно нескольких линий на экранах с поддержкой мультитач.

- В синхронизированные с Plasma Login Manager настройки добавлены (https://bugs.kde.org/show_bug.cgi?id=516778) параметры раскладки клавиатуры.

- В виджетах Task Manager и System Tray удалена (https://bugs.kde.org/show_bug.cgi?id=511439) опция для использования более крупных пиктограмм и увеличенных отступов на сенсорных экранах и планшетах. Указано, что данная опция не работала корректно и приводила к проблемам при отображении.

- Реализован глобальный режим push-to-talk (https://invent.kde.org/plasma/plasma-pa/-/merge_requests/394), при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш.

- В виджеты управления яркостью и цветопередачей добавлены (https://invent.kde.org/plasma/powerdevil/-/merge_requests/576) кнопки для быстрого переключения между светлым и тёмным режимами оформления.

- В конфигураторе реализован (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3436) показ страниц настройки игровых контроллеров, мыши и тачпада только при наличии данных устройств.

- Улучшено (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3442) редактирование элементов на рабочем столе на системах с сенсорным экраном.

- При поиске по слову "память" (memory) теперь в числе рекомендаций предлагается запустить приложение System Monitor.

- В виджетах и приложении System Monitor реализована (https://invent.kde.org/plasma/ksystemstats/-/merge_requests/41) поддержка отслеживания сетевой активности на платформе FreeBSD.

- Старый диалог для управления очередью вывода на печать заменён (https://invent.kde.org/plasma/print-manager/-/merge_requests/280) на вызов отдельного приложения plasma-print-queue, позволяющего наглядно управлять несколькими очередями для разных локальных или внешних принтеров.

( )

- В диалог завершения зависших процессов добавлен (https://invent.kde.org/plasma/kwin/-/merge_requests/8818) индикатор прогресса выполнения операции.

- В виджете определения цвета пикселя (Color Picker) обеспечен (https://invent.kde.org/plasma/kdeplasma-addons/-/merge_requests/1010) вывод подсказки об отсутствии выбранного цвета (ранее показывалось, что выбран цвет #000000).

( )

- В обзорном режиме реализована (https://bugs.kde.org/show_bug.cgi?id=453109) возможность использования прокрутки или клавиш Page Up/Page Down для переключения между виртуальными рабочими столами.

- На системах с Wayland обеспечена (https://bugs.kde.org/show_bug.cgi?id=505663) синхронизация изображения указателя стилуса с указателем мыши и тачпада.

- В KWin реализована (https://invent.kde.org/plasma/kwin/-/merge_requests/8828) возможность определения постоянных правил, исключающих содержимое определённых окон при записи скринкастов.

- В программу для создания скриншотов Spectacle добавлена (https://invent.kde.org/plasma/spectacle/-/merge_requests/479) опция "--release-capture", эквивалентная опции "Accept on click-and-release" в настройках (создание скриншота сразу после отпускания кнопки мыши после выделения прямоугольной области, без отдельного подтверждения операции).

- В приложении System Monitor и виджете для отслеживания состояния системы учтён (https://bugs.kde.org/show_bug.cgi?id=453854) выбор единиц измерения информации, например, GB (миллиард байт) или GiB (2^30).

- Реализовано (https://invent.kde.org/plasma/kwin/-/merge_requests/8742) округление уровня масштабирования экрана, близкого к 100%, 200% и 300%, до данных величин для повышения производительности.

- На рабочем столе обеспечено (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6251) появление панели управления виджетами (Widget Explorer) рядом с указателем мыши, а не рядом с левым краем экрана.

- В конфигураторе страница с настройками удалённого рабочего стола (Remote Desktop) перенесена (https://invent.kde.org/plasma/krdp/-/merge_requests/139) в группу "Безопасность и приватность".

( )

- В виджете "Disks & Devices" улучшена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6260) обработка устройств, примонтированных в loop-режиме.

- В меню приложений Kicker по аналогии с Kickoffпоявилась (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3522) возможность использования не квадратных кнопок в панели.

- В конфигураторе реализована (https://invent.kde.org/plasma/sddm-kcm/-/merge_requests/99) поддержка предпросмотра видео для тем оформления экрана входа SDDM.

- Улучшено (https://blog.broulik.de/2026/02/nifty-dialogs/) оформление диалогов, создаваемых KWin.

( )

- Добавлена (https://bugs.kde.org/show_bug.cgi?id=486389) настройка для изменения задержки перед появлением интерфейса переключения между окнами после начала удержания Alt+Tab.

- В настройки виджета просмотра списка окон добавлены (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3434) опции для изменения порядка сортировки и группировки по виртуальным рабочим столам и комнатам (activitie).

( )

- В конфигураторе на странице настройки курсора при предпросмотре обеспечено (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6244) приведение изображений курсоров к выбранному размеру.

( )

- В Kwin реализовано (https://bugs.kde.org/show_bug.cgi?id=488138) запоминание для каждого экрана отступов между окнами в мозаичном режиме.

- При повторном открытии интерфейса выбора обоев рабочего стола обеспечен (https://bugs.kde.org/show_bug.cgi?id=389554) переход к тому месту, на котором пользователь остановился в прошлый раз.

- В интерфейсе выбора Emoji варианты значков с разным цветом кожи сгруппированы (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3426) в отдельный всплывающий диалог.

( )

- Предоставлена возможность выставления глобальной комбинации клавиш для очистки истории уведомлений.

- В конфигураторе задействована (https://invent.kde.org/plasma/systemsettings/-/merge_requests/390) более традиционная кнопка "< Back" для возвращения из подкатегорий (ранее было "< Название категории").

( )

- Добавлен (https://bugs.kde.org/show_bug.cgi?id=406211) отдельный интерфейс для конфигурирования сетевых принтеров, совместно используемых в Windows-сетях.

( )

- В конфигураторе на странице с настройками уведомлений реализована (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6214) поддержка воспроизведения выбираемых звуков уведомлений, независимо от включения звука уведомлений.

- В конфигураторе на страницу настройки сети добавлены (https://invent.kde.org/plasma/plasma-nm/-/merge_requests/480) опции для VPN L2TP.

- Возвращена (https://invent.kde.org/plasma/oxygen/-/merge_requests/77) возможность выбора темы оформления Air Plasma, более легковесной, чем тема Oxygen.

- В KWin добавлена (https://invent.kde.org/plasma/kwin/-/merge_requests/4890) поддержка Wayland-протокола ext-background-effect-v1 (https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/ext-background-effect), дающего возможность
создавать такие эффекты, как размытие фона.

- Реализован (https://invent.kde.org/plasma/breeze/-/merge_requests/583) скруглённый стиль выделения элементов в приложениях на базе QtWidgets, таких как Dolphin, Okular и KMail. Изменение позволило унифицировать внешний вид и повсеместно перейти к стилю выделения, ранее задействованному в приложениях на базе QtQuick.

( )

( )

- В меню приложений Kickoff обеспечено (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3565) мерцание секции меню "избранное" сразу после добавления приложения в "избранное" через контекстное меню, чтобы наглядно показать где теперь можно быстро найти приложение.

- В уведомлениях, генерируемых рабочим столом Plasma, изменена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6353) пиктограмма и сокращён заголовок.

( )

( )

- В виджет с часами добавлена поддержка вьетнамского лунного календаря.

( )

- Обновлён (https://invent.kde.org/plasma/plasma-nm/-/merge_requests/517) интерфейс для настройки OpenVPN, в который добавлена поддержка параметров (https://invent.kde.org/plasma/plasma-nm/-/merge_requests/517/commits) для управления сжатием, MTU, NCP, TLS, таймаутами и шифрами.

- В конфигураторе на странице настройки сетевого соединения объединены (https://invent.kde.org/plasma/plasma-nm/-/merge_requests/491) вкладки "Wi-Fi" и "Wi-Fi Security".

- В конфигураторе на странице управления правами доступа приложений появилась (https://invent.kde.org/plasma/flatpak-kcm/-/merge_requests/169) кнопка для отзыва разом всех полномочий на запись приложениями скринкастов.

- Подготовлен (https://blogs.kde.org/2026/03/13/introducing-kio-s3/) обработчик KIO S3, позволяющий напрямую из Dolphin и приложений KDE работать с файлами, хранимыми в S3-совместимых облачных хранилищах, таких как Amazon S3, Cloudflare R2, DigitalOcean Spaces и MinIO.

( )

- В виджетах для управления буфером обмена и сетевым подключением реализовна (https://invent.kde.org/plasma/plasma-nm/-/merge_requests/6393) унифицированная кнопка возврата на прошлую страницу (на вложенных страницах теперь не показываются две кнопки "Назад").

- В KRunner по умолчанию включён (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3590) плагин вывода информации о глобальных комбинациях клавиш.

( )

- В виджете с реализацией глобального меню обеспечен (https://bugs.kde.org/show_bug.cgi?id=420418) показ меню для активного окна, даже если это окно размещено на другом экране. Для возвращения старого поведения, при котором меню пропадает после перемещения окна на другой экран, в настройки добавлена специальная опция.

- При мозаичной компоновке двух смежных окон они теперь равномерно центрируются (https://bugs.kde.org/show_bug.cgi?id=484975) во всём доступном экранном пространстве с учётом панелей (раньше ближайшее к панели окно сжималось больше, чем другое окно).

- В изолированных приложениях повышена (https://invent.kde.org/plasma/xdg-desktop-portal-kde/-/merge_requests/526) надёжность инициирования записи скринкастов и запросов к удалённым рабочим столам.

- Налажено (https://bugs.kde.org/show_bug.cgi?id=441409) задействование 3D-ускорения в конфигурациях с несколькими GPU, один из которых не поддерживает OpenGL.

- Решены (https://bugs.kde.org/show_bug.cgi?id=514317) проблемы работы с буфером обмена в некоторых приложениях на базе фреймворка wxWidgets, таких как KiCad и Audacity. Исправление включено в состав находящейся в разработке ветки wxWidgets 3.3.3 (https://github.com/wxWidgets/wxWidgets/tags).

- В утилиту kscreen-doctor добавлена (https://invent.kde.org/plasma/libkscreen/-/merge_requests/291) поддержка изменения свойства экранов "AutoRotatePolicy", определения (https://invent.kde.org/plasma/libkscreen/-/merge_requests/294) активного экрана и одновременного включения/выключения поддержки HDR и расширенного диапазона цветов (Wide Gamut (https://en.wikipedia.org/wiki/Wide-gamut_RGB_color_space)).

- В диалоге выбора экрана для его трансляции на другие системы или предоставления совместного доступа улучшена (https://invent.kde.org/plasma/xdg-desktop-portal-kde/-/merge_requests/532) визуализация эскизов и обеспечен показ обоев рабочего стола в качестве фона.

( )

- Предоставлена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6417) возможность добавления дополнительных виджетов с часами для разных часовых поясов, которые среди прочего будут показывать отличия времени от текущего часового пояса.

( )

- В менеджере приложений Discover по умолчанию включена (https://invent.kde.org/plasma/discover/-/merge_requests/1274) сортировка приложений по числу отзывов (сортировку по рейтингу можно вернуть в настройках). С главной страницы убран (https://invent.kde.org/plasma/discover/-/merge_requests/1287) показ элементов, не связанных с приложениями.

( )

- В виджете с глобальным меню скруглены (https://invent.kde.org/plasma/libplasma/-/merge_requests/1459) углы подсвечиваемых элементов меню.

- Предоставлена (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3547) возможность определения отдельной клавиши-модификатора для перевода фокуса на панель.

- Диалог для выбора каталогов унифицирован (https://bugs.kde.org/show_bug.cgi?id=197938) с диалогом, применяемым при сохранении и открытии файлов (вместо отдельного диалога для каталогов в штатный диалог открытия файлов добавлен режим показа только каталогов).

- В инструмент для шифрования каталогов Plasma Vault добавлена (https://invent.kde.org/plasma/plasma-vault/-/merge_requests/72) индикация монтирования в режиме только для чтения.

- В апплете настройки сети предоставлена (https://invent.kde.org/plasma/plasma-nm/-/merge_requests/536) возможность ограничения диапазона частот Wi-Fi (2.4 GHz или 5 GHz).

- При отключении активации KRunner при попытке набора с клавиатуры на рабочем столе, реализован (https://bugs.kde.org/show_bug.cgi?id=427961) вызов обработчика для выделения файлов по первым набранным буквам.

- В виджет System Tray добавлена (https://bugs.kde.org/show_bug.cgi?id=517016) опция для сортировки элементов в обратном порядке.

- На системах с несколькими GPU обеспечена (https://bugs.kde.org/show_bug.cgi?id=518008) корректная запись содержимого экрана в Spectacle и приложениях на базе KPipeWire (раньше могло использоваться не то устройство отрисовки).

- В утилиту System Monitor и виджет показа информации о системе добавлено (https://invent.kde.org/plasma/ksystemstats/-/merge_requests/132) определение конфигураций с несколькими GPU, а так же предоставление (https://invent.kde.org/plasma/ksystemstats/-/merge_requests/86) статистики о полнодисковом шифровании и RAID.

- В KWin добавлена (https://invent.kde.org/plasma/kwin/-/merge_requests/8475) поддержка 3D LUTs (3D Lookup Tables (https://en.wikipedia.org/wiki/3D_lookup_table)) для переназначения цветов, что снизило потребление ресурсов на GPU, предоставляющих функции для ускорения преобразования цветов.

- Прекращено (https://invent.kde.org/plasma/plasma-integration/-/merge_requests/209) создание контекстов OpenGL для приложений, не использующих OpenGL, что позволило снизить потребление памяти на 10-15 MB для каждого подобного приложения и сократить время запуска.

- В KWin внесены (https://invent.kde.org/plasma/kwin/-/merge_requests/8997) оптимизации, повышающие производительность интерфейса переключения между окнами по Alt+Tab при включении эффекта "Highlight Window" и большом числе свёрнутых окон.

- В конфигураторе на странице "Default Applications" появилась (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6468) возможность выбора вызываемого по умолчанию приложения с реализацией календаря-планировщика.

( )

- В апплет, вызываемый при клике средней кнопки мыши на часах, добавлена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6462) опция для открытия календаря-планировщика.

( )

- Добавлена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6224) поддержка помещения в избранное операций в приложениях, показанных в результатах поиска.

( )

- В контекстное меню, показываемое при клике правой кнопкой мыши на обоях рабочего стола, добавлен (https://invent.kde.org/plasma/kdeplasma-addons/-/merge_requests/1035) пункт для просмотра информации об изображении.

( )

- В менеджер приложений Discover добавлена (https://bugs.kde.org/show_bug.cgi?id=508743) опция для автоматического выхода из программы после завершения установки обновлений.

( )

- В Discover оптимизировано оформление элементов списка приложений.

( )

- В System Monitor обеспечено разделение GPU по названиям. Через контекстное меню, показываемое для приложения System Monitor, теперь можно напрямую вызвать конкретные режимы мониторинга, например, просмотр списка запущенных процессов.

( )

- Виджет для вставки в панель разделителя теперь доступен (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/6494) через кнопку добавления новых элементов на странице настройки панели, а не через боковую панель со списком виджетов.

( )

- Для многомониторных конфигураций добавлена (https://bugs.kde.org/show_bug.cgi?id=329696) опция, позволяющая отображать интерфейс переключения между окнами по Alt+Tab только на основном экране, независимо от того на каком экране находится фокус ввода.

- В меню приложений Kicker обеспечена (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3649) маркировка специальным значком недавно установленных программ, по аналогии с тем как это делается в интерфейсе Kickoff.

- Разрешено (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3652) перемещение мышью приложений в секцию "избранное" виджетов Kickoff, Kicker и Dashboard.

- В KRunner расширены (https://bugs.kde.org/show_bug.cgi?id=496343) возможности вычисления произвольных математических выражений, например, теперь можно вводить не только "sqrt(2) + 2", но и "2 + sqrt(2)".

- Уменьшен (https://invent.kde.org/plasma/kpipewire/-/merge_requests/247) размер анимированных GIF-изображений, создаваемых в приложениях, использующих библиотеку KPipeWire.

- В KWin добавлена (https://bugs.kde.org/show_bug.cgi?id=515784) эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.

- Реализована (https://bugs.kde.org/show_bug.cgi?id=514239) возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.

- Для многих ноутбуков с процессорами AMD реализована (https://bugs.kde.org/show_bug.cgi?id=511801) возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.

- В менеджере приложений Discover улучшены (https://invent.kde.org/plasma/discover/-/merge_requests/1316) средства для выявления дублирующихся приложений, установленных из системных пакетов и из внешних каталогов в формате Flatpak.

- При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся (https://bugs.kde.org/show_bug.cgi?id=511801) в единицах измерения, заданных в системных настройках.

- В меню Kickoff добавлена (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3662) поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.

- В виджет управления выводом на печать добавлена (https://invent.kde.org/plasma/print-manager/-/merge_requests/324) индикация числа активных и находящихся в очереди заданий вывода на печать по отдельности для каждого из принтеров.

( )

- В KWin добавлены (https://invent.kde.org/plasma/kwin/-/merge_requests/9120) оптимизации, снижающие энергопотребление при работе с полноэкранными окнами и эффектами, на которые не влияет применение прямого вывода (direct scan-out).

- В меню приложений Kicker добавлена (https://bugs.kde.org/show_bug.cgi?id=420951) опция для отображения списка недавно открытых каталогов. В виджетах Kicker и Dashboard предоставлена возможность удаления элементов из секции "Избранное" через их перемещение мышью за пределы виджета.

( )

- В виджет управления сетью добавлена (https://bugs.kde.org/show_bug.cgi?id=499188) поддержка создания дубликатов профилей сетевых соединений.

( )

- В правила переопределения атрибутов окон приложений (KWin Window Rules (https://userbase.kde.org/KWin_Rules)) добавлена (https://invent.kde.org/plasma/kwin/-/merge_requests/8969) возможность привязки диалоговых окон к указанному родительскому окну.

- В менеджере установки приложений Discover переделано (https://invent.kde.org/plasma/discover/-/merge_requests/1297) оформление области с параметрами приложений, в которую перенесена кнопка для установки.

- Добавлена (https://invent.kde.org/plasma/plasma-workspace/-/merge_requests/5703) поддержка портала (xdg-desktop-portal (https://github.com/flatpak/xdg-desktop-portal/)) "Background apps" (org.freedesktop.background.Monitor (https://flatpak.github.io/xdg-desktop-portal/docs/doc-org.freedesktop.background.Monitor.html)), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке.

- Добавлена (https://invent.kde.org/plasma/xdg-desktop-portal-kde/-/merge_requests/493) поддержка второй версии портала
org.freedesktop.impl.portal.InputCapture (https://flatpak.github.io/xdg-desktop-portal/docs/doc-org.freedesktop.impl.portal.InputCapture.html), применяемого для организации доступа к захвату ввода из изолированных приложений.

- Добавлена (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3657) возможность переименования или перемещения типового каталога "Projects", который с недавних пор стал создаваться дистрибутивами в домашнем каталоге пользователя в дополнение к каталогам "Documents", "Downloads", "Desktop", "Videos", "Music" и "Pictures".

( )

- Добавлена (https://bugs.kde.org/show_bug.cgi?id=509770) функция увеличения содержимого экрана без заметной потери качества, основанная на эффекте Zoom в KWin.

( )

- В размещаемый на панели виджет вывода на печать добавлены (https://invent.kde.org/plasma/print-manager/-/merge_requests/323) метки о числе активных и находящихся в очереди работ.

( )

- При запросе X11-приложением, выполняемым через XWayland, прав на отправку программно сгенерированных событий мыши и клавиатуры, теперь отображается имя приложения. В конфигураторе обеспечен (https://invent.kde.org/plasma/kwin/-/merge_requests/9123) вывод списка приложений, которым ранее было предоставлено подобное полномочие.

( )

- Обеспечено (https://bugs.kde.org/show_bug.cgi?id=499562) применение стиля оформления KDE к диалогам, выводимым Qt-приложениями, использующими QML-тип MessageDialog (например, используется приложением Sticky Note в диалоге подтверждения).

( )

- В менеджере приложений Discover реализована (https://bugs.kde.org/show_bug.cgi?id=511002) обработка запуска на системах без выхода в интернет. Улучшено (https://bugs.kde.org/show_bug.cgi?id=422498) информирование о запланированном обновлении прошивки при следующей перезагрузке.

( )

- Упрощено (https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/3511) нажатие на кнопки в верхней части Widget Explorer (нажатие теперь срабатывает если кликнуть уперев курсор в границу экрана над кнопкой, без точного попадания по кнопке).

( )

- Реализован (https://invent.kde.org/plasma/kwin/-/merge_requests/9145) учёт дополнительных параметров при автоматическом изменении яркости экрана для более качественной работы в условиях часто меняющегося освещения.

- Убрано (https://invent.kde.org/plasma/kdeplasma-addons/-/merge_requests/1013) ограничение, отводившее 25 секунд на выбор цвета после вызова виджета с пипеткой (Color Picker).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65450 (https://www.opennet.ru/opennews/art.shtml?num=65450)

https://www.opennet.ru/opennews/art.shtml?num=65450

Утверждён перевод JavaScript-платформы ...

2026-05-14T17:43:34Z

Утверждён перевод JavaScript-платформы Bun на язык Rust

Джарред Самнер (Jarred Sumner (https://github.com/Jarred-Sumner)), создатель и основной разработчик серверной JavaScript-платформы Bun (https://bun.sh/), признал успешным эксперимент (https://www.opennet.ru/opennews/art.shtml?num=65379) по переписыванию проекта с языка Zig и Rust при помощи AI-ассистента Claude Code, и принял решение (https://github.com/oven-sh/bun/pull/30412) о переводе Bun на язык Rust. Переписанный вариант на языке Rust уже принят (https://github.com/oven-sh/bun/commit/23427dbc12fdcff30c23a96a3d6a66d62fdc091d) в основной репозиторий проекта, а код на языке Zig намечен (https://github.com/oven-sh/bun/pull/30680) к удалению. Также автор Bun объявил (https://job-boards.greenhouse.io/anthropic/jobs/5218395008) о найме сотрудников для поддержки Bun, имеющих более 5 лет опыта разработки на языках C/C++ и Rust.

На данный момент на Rust реализован прямой порт с языка Zig, который включает множество блоков (https://github.com/search?q=repo%3Aoven-sh%2Fbun+%22unsafe+%22+lang%3Arust&type=code) unsafe кода, использует ту же архитектуру, те же структуры данных и прежние внешние библиотеки. Отмечается, что порт на Rust успешно прошёл проверку существующим тестовым набором на всех платформах. Попутно было устранено несколько утечек памяти и сбоев в тестах.

После сборки версии на Rust исполняемый файл получился на 3-8 МБ меньше, чем при сборке версии на Zig. В тестах производительности версия на Rust оказалась либо быстрее, либо на том же уровне. При этом по мнению Джарред самым важным преимуществом варианта на Rust стала возможность отлавливания и предотвращения ошибок при работе с памятью, диагностика которых последние годы отнимала у разработчиков Bun уйму времени.

В качестве причины переписывания на Rust ранее отмечалось желание устранить проблемы в Bun, вызванные утечками памяти, наличие разногласий с авторами Zig в плане применения AI для написания кода и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит (https://www.opennet.ru/opennews/art.shtml?num=59738) набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка (https://www.opennet.ru/opennews/art.shtml?num=61915) для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore (https://developer.apple.com/documentation/javascriptcore) и компоненты проекта WebKit (https://webkit.org/) с дополнительными патчами (https://github.com/oven-sh/WebKit).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65448 (https://www.opennet.ru/opennews/art.shtml?num=65448)

https://www.opennet.ru/opennews/art.shtml?num=65448

Red Hat представил Hummingbird, защищённую ...

2026-05-14T11:13:34Z

Red Hat представил Hummingbird, защищённую редакцию Fedora на базе контейнеров

Компания Red Hat представила (https://fedoramagazine.org/fedora-hummingbird-linux-taking-the-hummingbird-model-to-the-full-os/) на конференции Red Hat Summit 2026 проект Fedora Hummingbird (https://hummingbird-project.io/), предлагающий новую непрерывно обновляемую редакцию Fedora Linux, формируемую в форме коллекции непрерывно обновляемых (rolling) контейнеров. Для уменьшения поверхности атаки контейнеры включают только минимальный набор компонентов, необходимый для решения конкретных задач. Версии программ обновляются оперативно, по возможности сразу после выпуска основными проектами. Процесс установки обновлений автоматизирован. Используемый в проекте инструментарий открыт (https://gitlab.com/redhat/hummingbird) под лицензией MIT.

Образы контейнеров публикуются для архитектур amd64 и arm64. В настоящее время в каталоге (https://catalog-hummingbird.hummingbird-project.io/) предложено 49 вариантов контейнеров (c учётом редакций FIPS и multi-arch - 157), позволяющих развернуть рабочие окружения с Python, Go, Node.js, Rust, Ruby, OpenJDK, .NET, PostgreSQL, nginx и другими открытыми проектами. Образы формируются в соответствии с принципом "Distroless", т.е. не включают пакетный менеджер и программный интерпретатор (shell), а содержат только целевое приложения и необходимые для его работы компоненты.

95% пакетов, задействованных в образах контейнеров Hummingbird, собираются из репозитория Fedora Rawhide (https://docs.fedoraproject.org/en-US/releases/rawhide/), а остальные 5% загружаются и собираются напрямую из репозиториев основных проектов (upstream). В эти 5% входят приложения, отсутствующие в Rawhide или имеющие в Rawhide не самые свежие выпуски. Для формирования Hummingbird независимо от Fedora раздельно сопровождаются собственные RPM-пакеты, собираемые в отдельной инфраструктуре из штатных SPEC-файлов Fedora, что позволяет при необходимости добавлять в них специфичные для проекта оптимизации и модификации.

Предоставляемые сборки совместимы с образами из Docker Hub, Red Hat UBI и других реестров, что упрощает миграцию на Hummingbird уже имеющихся систем. В отличие от проекта CoreOS, предоставляющего минималистичные хостовые сборки сборки для оркестровки контейнеров, Hummingbird нацелен на разработчиков, которым необходимо одновременно использовать разные версии runtime (Python 3.11- 3.14, Go 1.25-1.26, Node.js 20-25 и т.п.) и раздельно поддерживать жизненный цикл каждой версии.

В отличие от традиционных контейнеров, большинство вариантов Hummingbird работают по умолчанию под непривилегированным пользователем без прав root. Контейнеры поддерживают воспроизводимую сборку и могут быть пересобраны пользователем из предоставляемого исходного кода (https://gitlab.com/redhat/hummingbird/containers), чтобы убедиться что свои и распространяемые проектом готовые образы полностью совпадают. Для упрощения проверки отдельно поставляются source-контейнеры со всем необходимым кодом и исходными RPM-пакетами. Для обеспечения безопасности содержимое контейнеров собирается в изолированном окружении, не имеющем доступа к сети.

Помимо контейнеров для запуска конечных приложений проектом развивается загрузочный хостовый образ bootc-os (https://quay.io/repository/hummingbird-community/bootc-os), построенный с использованием технологии загрузочных контейнеров (https://docs.fedoraproject.org/en-US/bootc/) и пригодный для установки на диск. Системный образ комбинирует компоненты Hummingbird, пакеты c ядром Linux (https://gitlab.com/cki-project/kernel-ark) от проекта CKI (https://cki-project.org/) (Continuous Kernel Integration), загрузчик и системные сервисы из Fedora. Вся система оформляется в виде контейнера OCI. Обновление bootc-os осуществляется автоматически при каждой перезагрузке. Для запуска контейнеров из окружения bootc-os задействованы инструментарии Podman и Skopeo.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65446 (https://www.opennet.ru/opennews/art.shtml?num=65446)

https://www.opennet.ru/opennews/art.shtml?num=65446

Фонд Sovereign выделил почти 1.3 миллиона ...

2026-05-14T07:43:34Z

Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE

Проект KDE объявил (https://kde.org/announcements/sovereign-tech-fund-invests-kde/) о получении почти 1.3 млн евро (https://www.sovereign.tech/tech/kde) от фонда STF (https://www.sovereign.tech) (Sovereign Tech Fund) на развитие проекта в 2026 и 2027 годах. Целью предоставления финансирования названо повышение надёжности архитектуры и модернизация технологического стека. В KDE деньги планируют направить на повышение устойчивости и безопасности ключевых элементов инфраструктуры, коммуникационных сервисов и продуктов.

Отмечено, что выделенные средства помогут вывести основные продукты проекта, такие таких как среда рабочего стола KDE Plasma и дистрибутив KDE Linux (https://www.opennet.ru/opennews/art.shtml?num=63834), на новый уровень, который позволит обычным пользователям, компаниям и госучреждениям восстановить свою приватность, безопасность и контроль над цифровым суверенитетом. Фонд STF рассматривает выделение средств ключевым средам рабочего стола, используемым в Linux, как инвестицию в устойчивость и надёжность цифровой инфраструктуры, на которую опирается современное общество. В 2023 и 2024 годах похожее финансирование получил (https://www.sovereign.tech/tech/gnome) проект GNOME.

Организация STF учреждена в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии (https://ru.wikipedia.org/wiki/%D0%A4%D0%B5%D0%B4%D0%B5%D1%80%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D0%B5%D1%80%D1%81%D1%82%D0%B2%D0%BE_%D1%8D%D0%BA%D0%BE%D0%BD%D0%BE%D0%BC%D0%B8%D0%BA%D0%B8_%D0%B8_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B_%D0%BA%D0%BB%D0%B8%D0%BC%D0%B0%D1%82%D0%B0_%D0%93%D0%B5%D1%80%D0%BC%D0%B0%D0%BD%D0%B8%D0%B8), и курируется Федеральным агентством прорывных инноваций SPRIND (https://www.sprind.org/en/) (Federal Agency for Breakthrough Innovation). Отмечается, что инвестирование в открытое ПО способствует развитию инноваций в Германии и Европе, а также повышает конкурентоспособность, продуктивность и возможность продвижения инноваций в малых и средних предприятиях.

Помимо KDE в этом году финансовую поддержку на 2026 и 2027 годы получили проекты:

- Mastodon (https://www.sovereign.tech/tech/mastodon) (614 тысяч евро),
- libmicrohttpd3 (https://www.sovereign.tech/tech/libmicrohttpd3) (234 тысячи евро),
- Debian CI (https://www.sovereign.tech/tech/debian-ci) (180 тысяч евро),
- PHPStan (https://www.sovereign.tech/tech/phpstan) (210 тысяч евро),

- OSGi (https://www.sovereign.tech/tech/osgi) (165 тысяч евро),
- Sequoia (https://www.sovereign.tech/tech/sequoia-2026) (225 тысяч евро),
- FFmpeg (https://www.sovereign.tech/tech/ffmpeg-2026) (280 тысяч евро).

Всего с 2022 года организация STF инвестировала 37.3 млн евро в 108 (https://www.sovereign.tech/tech/) открытых проектов, среди которых FreeBSD, GNOME, Samba, Rust, Pipewire, Eclipse, OpenStreetMap, Arch Linux и FFmpeg. Помимо уже отмеченных KDE и Mastodon, наибольший объем средств выделен проектам:

- GNOME (https://www.sovereign.tech/tech/gnome) (миллион евро),
- Rust (https://www.sovereign.tech/tech/rust-foundation) (826 тысяч евро),
- Samba (https://www.sovereign.tech/tech/samba) (688 тысяч евро),
- FreeBSD (https://www.sovereign.tech/tech/freebsd) (686 тысяч евро),
- Arch Linux (https://www.sovereign.tech/tech/arch-linux-package-management) (562 тысячи евро),
- Servo (https://www.sovereign.tech/tech/servo) (545 тысяч евро),
- Eclipse (https://www.sovereign.tech/tech/eclipse-foundation) (515 тысяч евро),
- Maven (https://www.sovereign.tech/tech/apache-mavenиApache) (450 тысяч евро),
- OpenSSL (https://www.sovereign.tech/tech/openssl-foundation) (405 тысяч евро),
- systemd (https://www.sovereign.tech/tech/systemd-2025) (399 тысяч евро),
- R Project (https://www.sovereign.tech/tech/r-project) (392 тысячи евро),

- Scala (https://www.sovereign.tech/tech/scala) (377 тысяч евро),
- PHP (https://www.sovereign.tech/tech/php-2025) (223 тысячи евро)

Источник: https://www.opennet.ru/opennews/art.shtml?num=65444 (https://www.opennet.ru/opennews/art.shtml?num=65444)

https://www.opennet.ru/opennews/art.shtml?num=65444

Обновление nginx 1.31.0 с устранением ...

2026-05-13T21:43:34Z

Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос

Сформирован (https://github.com/nginx/nginx/releases/tag/release-1.31.0) выпуск основной ветки nginx 1.31.0 (https://nginx.org/), в рамках которой продолжается развитие новых возможностей, а также выпуск (https://github.com/nginx/nginx/releases/tag/release-1.30.1) параллельно поддерживаемой стабильной ветки nginx 1.30.1, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей (https://nginx.org/en/security_advisories.html), наиболее опасная из которых допускает удалённое выполнение кода через отправку специально оформленного HTTP-запроса. Для angie (https://github.com/webserver-llc/angie/tags) и freenginx (https://freenginx.org/) на момент написания новости исправления не опубликованы.

Уязвимость (https://github.com/advisories/GHSA-gcgv-v5gf-c543) (CVE-2026-42945), которой присвоен критический уровень опасности, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано (https://depthfirst.com/nginx-rift) для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI. Проблема проявляется в конфигурациях с директивой "rewrite", в которой в регулярных выражениях используются подстановки масок при помощи неименованных переменных (например, $1 и $2), при условии, что в заменяющей строке имеется символ "?". Пример уязвимой конструкции:

rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;

Выражения с именованными подстановками уязвимости не подвержены. Например, уязвимость не затрагивает конструкции:

rewrite ^/users/(?‹user_id›[0-9]+)/profile/(?‹section›.*)$ /profile.php?id=$user_id&tab=$section last;

Уязвимость присутствует начиная с версии 0.6.27 (https://nginx.org/en/CHANGES-0.6), выпущенной в марте 2008 года. Причиной (https://depthfirst.com/research/nginx-rift-achieving-nginx-rce-via-an-18-year-old-vulnerability) появления уязвимости стало то, что буфер выделялся с расчётом, что в него будут записаны неэкранированные данные, а фактически копировались данные после выполнения экранирования спецсимволов, размер которых был больше, так как каждый символ "+", "%" и "&" кодировался не одним, а тремя байтами. Подобное рассогласование возникало из-за того, что при наличии в правиле rewrite символа "?" выставлялся флаг "e->is_args", при котором включалось экранирование, но выделение буфера осуществлялось при сброшенном флаге, при котором экранирование не применялось.

Другие уязвимости:

- CVE-2026-42926 (https://github.com/advisories/GHSA-v43f-895r-chhh) - возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2).

- CVE-2026-40701 (https://github.com/advisories/GHSA-x88q-x2r7-vg3g) - обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp".

- CVE-2026-42946 (https://github.com/advisories/GHSA-fm65-xrrr-c358) - чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.

- CVE-2026-42934 (https://github.com/advisories/GHSA-6vmc-2wh4-77qp) - чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.

- CVE-2026-40460 (https://github.com/advisories/GHSA-h7rq-f9gq-mc8r) - уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений.

Улучшения (https://nginx.org/en/CHANGES), добавленные в выпуске nginx 1.31.0:

- В состав включён модуль ngx_http_tunnel_module (https://nginx.org/en/docs/http/ngx_http_tunnel_module.html), реализующий возможность работы в виде прокси ("forward proxy"), перенаправляющего запросы на другой сервер при обращении клиента при помощи метода HTTP/1.1 CONNECT. Возможна настройка аутентификации обращения к прокси, используя директивы "auth_basic", "satisfy" и "auth_delay".

- В блок "upstream" добавлена директива "least_time (https://nginx.org/en/docs/http/ngx_http_upstream_module.html#least_time)", включающая метод балансировки нагрузки с передачей запроса серверу с
наименьшими средним временем ответа и наименьшим числом активных соединений.

- В модуль "stream_proxy" добавлена директива "proxy_ssl_alpn (https://nginx.org/en/docs/stream/ngx_stream_proxy_module.html#proxy_ssl_alpn)" для задания списка протоколов, допустимых в расширении ALPN при подключении к проксируемому серверу. Например:
"proxy_ssl_alpn h2 http/1.1".

- Обеспечено отклонение запросов по протоколам HTTP/2 и HTTP/3, включающим заголовки "Connection", "Proxy-Connection", "Keep-Alive", "Transfer-Encoding", "Upgrade".

- В модуле ngx_http_dav_module обеспечено отклонение запросов COPY и MOVE с повторяющимися исходным и целевым ресурсом или вложенными коллекциями.

- Уровень логгирования ошибок SSL "invalid alert", "record
layer failure" и "SSL alert number N" понижен с "crit" до "info".

- В скрипт configure добавлен параметр "--without-http_upstream_sticky_module" для отключения сборки модуля http_upstream_sticky_module (параметр "--without-http_upstream_sticky" объявлен устаревшим).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65442 (https://www.opennet.ru/opennews/art.shtml?num=65442)

https://www.opennet.ru/opennews/art.shtml?num=65442

Fragnesia - ещё одна уязвимость в ядре ...

2026-05-13T19:43:38Z

Fragnesia - ещё одна уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша

В ядре Linux выявлена (https://github.com/v12-security/pocs/tree/main/fragnesia) четвёртая за последние две недели уязвимость (CVE-2026-46300 (https://security-tracker.debian.org/tracker/CVE-2026-46300)), позволяющая непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимости присвоено кодовое имя Fragnesia или Copy Fail 3.0. Суть уязвимости аналогична ранее раскрытым уязвимостям Copy Fail (https://www.opennet.ru/opennews/art.shtml?num=65325) и Dirty Frag (https://www.opennet.ru/opennews/art.shtml?num=65395). Как и в случае с Dirty Frag новая уязвимость присутствует в подсистеме xfrm-ESP (https://docs.kernel.org/networking/xfrm/index.html), но вызвана другой ошибкой и требует отдельного исправления. Доступен рабочий эксплоит (https://github.com/v12-security/pocs/blob/d4043edc2acbd75d093e3f5795751b678c66b259/fragnesia/fragnesia.c).

Уязвимость проявляется (https://www.openwall.com/lists/osps-security/2026/05/13/6) в ядрах Linux, выпущенных после 5 мая, из-за случайной активации исправлением уязвимости Dirty Frag. Для устранения уязвимости Fragnesia для ядра Linux было предложено исправление (https://lore.kernel.org/netdev/20260513041635.1289541-1-vakzz@zellic.io/). Анализ данного исправления показал, что его недостаточно, после чего был подготовлен второй вариант (https://lore.kernel.org/all/agRfuVOeMI5pbHhY@v4bel/) патча.

Уязвимость присутствует в подсистеме xfrm в реализации механизма инкапсуляции протокола ESP (Encapsulating Security Payload) в TCP (ESP-in-TCP (https://android.googlesource.com/kernel/common/%2B/7d998f6b7365d/net/xfrm/espintcp.c), RFC 8229 (https://datatracker.ietf.org/doc/html/rfc8229)), применяемой для туннелирования трафика IPsec поверх TCP. Для исключений лишней буферизации операции с использованием алгоритма AES-GCM выполнялись по месту через выполнение операции XOR к данным в страничном кэше. Из-за логической ошибки, возникали условия, позволяющие перезаписать 1 байт в страничном кэше по выбранному смещению. Повторяя операции можно байт за байтом изменить содержимое любого файла в страничном кэше.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root, предварительного прочитанного для попадания в страничный кэш. В предложенном исследователями эксплоите первые 192 байт файла /usr/bin/su в страничном кэше перезаписываются кодом для запуска /usr/bin/sh. Последующий запуск утилиты "su" приводит к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Для эксплуатации уязвимости Fragnesia в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена (https://www.opennet.ru/opennews/art.shtml?num=59897), но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor.
В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2026-46300), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-46300), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-46300), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-46300), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46300), Arch (https://security.archlinux.org/package/linux),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=8). В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4 и esp6:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

Источник: https://www.opennet.ru/opennews/art.shtml?num=65441 (https://www.opennet.ru/opennews/art.shtml?num=65441)

https://www.opennet.ru/opennews/art.shtml?num=65441

Уязвимость в Exim, приводящая к ...

2026-05-13T11:13:35Z

Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере

В почтовом сервере Exim выявлена (https://xbow.com/blog/dead-letter-cve-2026-45185-xbow-found-rce-exim) критическая уязвимость (https://exim.org/static/doc/security/EXIM-Security-2026-05-01.1/EXIM-Security-2026-05-01.1.txt) (CVE-2026-45185 (https://security-tracker.debian.org/tracker/CVE-2026-45185)), позволяющая удалённо добиться выполнения кода на сервере. Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена (https://code.exim.org/exim/exim/commit/040c1ce6889f435206677ed532c9a4185cf0bcaf) в выпуске Exim 4.99.3 (https://code.exim.org/exim/exim/releases/tag/exim-4.99.3). Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает.

Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13 (https://security-tracker.debian.org/tracker/CVE-2026-45185), Ubuntu 24.04+ (https://ubuntu.com/security/CVE-2026-45185), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-45185), Arch Linux (https://archlinux.org/packages/?q=exim), Alpine Linux 3.19+ (https://pkgs.alpinelinux.org/packages?name=exim&branch=v3.19), ALT Linux p11 (https://packages.altlinux.org/en/p11/srpms/exim/), ROSA (https://abf.io/import/exim/tree/rosa2023.1), Gentoo (https://packages.gentoo.org/packages/mail-mta/exim), OpenWRT (https://openwrt.org/packages/pkgdata/exim-gnutls), Fedora (https://bodhi.fedoraproject.org/updates/?search=exim), EPEL (https://dl.fedoraproject.org/pub/epel/9/Everything/source/tree/Packages/e/) (exim не входит в штатный репозиторий RHEL) и FreeBSD (https://www.vuxml.org/freebsd/). Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts (https://www.exim.org/exim-html-current/doc/html/spec_html/ch-main_configuration.html#SECID113) в файле конфигурации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65436 (https://www.opennet.ru/opennews/art.shtml?num=65436)

https://www.opennet.ru/opennews/art.shtml?num=65436

Уязвимость в CPU AMD Zen 2, позволяющая ...

2026-05-13T08:13:34Z

Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин

Компания AMD раскрыла (https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7052.html) сведения об уязвимости (CVE-2025-54518) в процессорах на базе микроархитектуры Zen 2, вызывающей повреждение кэша объектных кодов. Успешная эксплуатация уязвимости позволяет выполнить инструкции CPU на более высоком уровне привилегий. На практике, проблема потенциально позволяет повысить свои привилегии в системе, например, из пространства пользователя добиться выполнения кода с правами ядра или получить доступ к хост-окружению из виртуальной машины.

Уязвимость выявлена сотрудниками AMD, детали эксплуатации пока не приводятся. Заявлено, что проблема вызвана некорректной изоляцией совместно используемых ресурсов при выполнении операций с кэшем объектных кодов CPU. Через повреждение элементов в кэше атакующий может добиться изменения инструкций, выполняемых на другом уровне привилегий.

Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen2 (Fam17h). Проблема затрагивает гипервизор Xen и может использоваться для обхода изоляции. Для веток Xen c 4.17 по 4.21 опубликованы (https://www.openwall.com/lists/oss-security/2026/05/12/15) патчи. Исправление для блокирования уязвимости также передано (https://lore.kernel.org/all/20260512173946.614667321@linuxfoundation.org/) для включения в состав ядра Linux.

В десктопных и мобильных сериях CPU AMD Ryzen 3000, 4000, 5000, 7020, 7030 и Threadripper PRO 3000 WX уязвимость устранена осенью прошлого года. Во встраиваемых CPU AMD Ryzen Embedded V2000 уязвимость устранена в конце декабря. В процессорах серии AMD EPYC 7002 проблема остаётся неисправленной и её предлагается блокировать на уровне операционной системы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65435 (https://www.opennet.ru/opennews/art.shtml?num=65435)

https://www.opennet.ru/opennews/art.shtml?num=65435

Google представил ноутбуки Googlebook, ...

2026-05-13T05:43:34Z

Google представил ноутбуки Googlebook, поставляемые с платформой Android

Компания Google анонсировала (https://blog.google/products-and-platforms/platforms/android/meet-googlebook/) ноутбуки Googlebook (https://googlebook.google/), поставляемые с редакцией платформы Android, развиваемой под кодовым именем Aluminium (https://www.opennet.ru/opennews/art.shtml?num=64748) и сочетающей возможности Android и ChromeOS. Серия Googlebook идёт на смену устройствам Chromebook с операционной системой ChromeOS, сопровождение которых продлится до 2034 года. Время поступления в продажу первых моделей Googlebook не уточняется, указано лишь, что работа по их созданию ведётся с индустриальными партнёрами Acer, ASUS, Dell, HP и Lenovo. Заявлено, что все модели будут созданы с использованием премиальных материалов и представлены в различных формах и размерах. Общей отличительной чертой устройств GoogleBook станет светящаяся индикаторная полоса на крышке.

Интерфейс пользователя основан на развиваемом в ветке Android 16 (https://www.opennet.ru/opennews/art.shtml?num=64914) десктоп-режиме для больших экранов, позволяющем одновременно работать с окнами нескольких приложений по аналогии с традиционной средой рабочего стола.

(https://www.gstatic.com/marketing-cms/assets/images/df/cd/1b55c0e54e0884ab683f0edd9ca9/app-cast.webp=n-w1314-h820-fcrop64=1,00320000ffb5ffff-rw)

Платформа Googlebook преподносится как переход от традиционных операционных систем к умным системам, в которые тесно интегрированы AI-сервисы. Активация AI-ассистента Gemini осуществляется при помощи курсора - достаточно подёргать курсор из стороны в сторону, и курсор перейдёт в режим вывода контекстных подсказок, появляющихся при его наведении на любой интересующий контент на экране. Например, после наведения курсора на дату в письме AI-ассистент предложит назначить встречу, а при выборе курсором нескольких изображений можно сгенерировать новое изображение на их основе. Подобным образом также можно сравнивать контент и задавать AI-ассистенту вопросы о содержимом.

При помощи AI также осуществляется создание пользовательских виджетов - достаточно нажать кнопку создания виджета и естественным языком описать, что хочется получить. Для создания персонализированных виджетов, AI-ассистент Gemini может выполнить поиск в интернете и подключиться к приложениям Google, таким как Gmail и Calendar.

Поддерживается бесшовное взаимодействие со смартфонами на базе платформы Android и предоставляется возможность устанавливать созданные для Android приложения из каталога Google Play. Из интерфейса Googlebook также можно запускать приложения, установленные на связанном смартфоне, не доставая смартфон и не переустанавливая их на ноутбуке.

Для работы с файлами имеется полноценный файловый менеджер, через который можно не только осуществлять навигацию по файловой системе ноутбука, но и обращаться к содержимому смартфона и быстро переносить, просматривать и искать файлы на разных Android-устройствах пользователя.

(https://www.gstatic.com/marketing-cms/assets/images/13/19/ea80edec47d38e55255a2005b631/quick-access.webp=n-w1312-h820-fcrop64=1,00000000ffffffff-rw)

В платформе задействованы перенесённые из Chrome OS интерфейс запуска приложений (Launcher), файловый менеджер, а также отдельные системные сервисы, приложения, элементы прошивки, фоновые процессы и библиотеки. Ядро Linux, GKI-модули (Generic Kernel Image), компоненты взаимодействия с оборудованием (HAL), Android Runtime, Android API, системные фоновые процессы, библиотеки и другие компоненты задействованы из Android.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65433 (https://www.opennet.ru/opennews/art.shtml?num=65433)

https://www.opennet.ru/opennews/art.shtml?num=65433

В 42 NPM-пакета TanStack интегрирован ...

2026-05-12T20:43:34Z

В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

В результате компрометации (https://tanstack.com/blog/npm-supply-chain-compromise-postmortem) процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось (https://github.com/TanStack/router/security/advisories/GHSA-g7cv-rxg3-hmpx) опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack (https://tanstack.com). Некоторые из скомпрометированных пакетов насчитывали (https://www.npmjs.com/search?page=0&q=%40tanstack&sortBy=downloads_weekly) более 10 миллионов загрузок в неделю.

Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/‹pid›/mem.

NPM-пакеты с вредоносными изменениями были опубликованы 11 мая с 22:20 до 22:26 (MSK), замечены через 20 минут и блокированы спустя полтора часа. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован (https://github.com/TanStack/router/issues/7383) код для активации червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении. В случае обнаружения токена подключения к каталогу NPM червь автоматически публиковал новые вредоносные релизы для разрабатываемых в текущем окружении пакетов, поражая дерево зависимостей. Таким способом было поражено (https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack) более 400 NPM-пакетов, использующих пакеты TanStack в числе зависимостей.

Червь размещался (https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem) в файле router_init.js и активировался при установке поражённого пакета вручную разработчиком или автоматизированно в окружении непрерывной интеграции при помощи команд "npm install", "pnpm install" или "yarn install". После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp и KubernetesK8s, а также закрытых ключей SSH. Найденные данные отправлялись злоумышленникам через децентрализованный P2P-мессенджер getsession.org (https://getsession.org/).

В черве было предусмотрено (https://github.com/TanStack/router/issues/7383#issuecomment-4425225340) совершение деструктивных действий в случае отзыва перехваченного NPM-токена - в системе настраивался периодический запуск скрипта ~/.local/bin/gh-token-monitor.sh, который каждые 60 секунд проверял активность токена через обращение к api.github.com/user и в случае отзыва токена выполнял команду "rm -rf ~/".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65432 (https://www.opennet.ru/opennews/art.shtml?num=65432)

https://www.opennet.ru/opennews/art.shtml?num=65432

Уязвимости в dnsmasq, допускающие ...

2026-05-12T15:13:35Z

Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root

В пакете Dnsmasq (http://www.thekelleys.org.uk/dnsmasq/doc.html), объединяющем кэширующий DNS-резолвер, сервер DHCP, сервис для анонсов маршрутов IPv6 и систему загрузки по сети, выявлено (https://www.kb.cert.org/vuls/id/471747) 6 уязвимостей, позволяющих выполнить код с правами root, перенаправить домен на другой IP, определить содержимое памяти процесса и вызвать аварийное завершение сервиса. Проблемы устранены в выпуске dnsmasq 2.92rel2 (https://thekelleys.org.uk/dnsmasq/). Исправления также доступны в форме патчей (https://www.openwall.com/lists/oss-security/2026/05/11/10). Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian (https://security-tracker.debian.org/tracker/CVE-2026-4892), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-4892), SUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-4892), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-4892), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-4892), Arch (https://security.archlinux.org/package/dmsmasq),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=1606), FreeBSD (https://www.vuxml.org/freebsd/).

Выявленные проблемы:

- CVE-2026-4892 (https://security-tracker.debian.org/tracker/CVE-2026-4892) - переполнение (https://thekelleys.org.uk/dnsmasq/CVE/CVE-2026-4892.diff) буфера в реализации DHCPv6, позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6. Переполнение вызвано тем, что при записи DHCPv6 CLID в буфер не учитывалось то, что в пакете данные сохраняются в шестнадцатеричном представлении, в котором используется три байта "%xx" на на каждый фактический байт CLID (например, сохранение 1000-байтового CLID приведёт к записи 3000 байт).

- CVE-2026-2291 (https://security-tracker.debian.org/tracker/CVE-2026-2291) - переполнение (https://thekelleys.org.uk/dnsmasq/CVE/CVE-2026-2291.diff) буфера в функции extract_name(), позволяющее атакующему подставить фиктивные записи в кэш DNS и добиться перенаправления домена на другой IP-адрес. Переполнение возникло из-за выделения буфера без учёта экранирования некоторых символов во внутреннем представлении доменного имени в dnsmasq.

- CVE-2026-4893 (https://security-tracker.debian.org/tracker/CVE-2026-4893) - утечка (https://thekelleys.org.uk/dnsmasq/CVE/CVE-2026-4893.diff) информации, позволяющая обойти проверку через отправку специально оформленного DNS-пакета с информацией о подсети клиента (RFC 7871). Уязвимость может использоваться для изменения маршрута DNS-ответа и перенаправления пользователей на домен атакующего. Уязвимость вызвана тем, что в функцию check_source() передавалась длина записи OPT вместо длины пакета, из-за чего функция всегда возвращала успешный результат проверки.

- CVE-2026-4891 (https://security-tracker.debian.org/tracker/CVE-2026-4891) - чтение (https://thekelleys.org.uk/dnsmasq/CVE/CVE-2026-4891.diff) из области вне границы буфера при валидации DNSSEC, приводящее к утечке в ответе данных из памяти процесса при обработке специально оформленного DNS-запроса.

- CVE-2026-4890 (https://security-tracker.debian.org/tracker/CVE-2026-4890) - зацикливание (https://thekelleys.org.uk/dnsmasq/CVE/CVE-2026-4890.dnsmasq-2.92.diff) при валидации DNSSEC, позволяющее вызвать отказ в обслуживании через отправку специально оформленного DNS-пакета.

- CVE-2026-5172 (https://security-tracker.debian.org/tracker/CVE-2026-5172) - чтение (https://thekelleys.org.uk/dnsmasq/CVE/CVE-2026-5172.diff) из области вне буфера в функции extract_addresses(), приводящее к аварийному завершению при обработке специально оформленных DNS-ответов.

Проект Dnsmasq объединяет в одном пакете кэширующий DNS-резолвер, сервер DHCP, сервис для анонсов маршрутов IPv6 и систему загрузки по сети. Проект задействован (https://android.googlesource.com/platform/external/dnsmasq/+/68a974de72b5091ce608815a349daaeb05cdeab5/FAQ) в платформе Android и специализированных дистрибутивах, таких как OpenWrt и DD-WRT, а также в прошивках беспроводных маршрутизаторов многих производителей. В обычных дистрибутивах Dnsmasq может устанавливаться при использовании libvirt для обеспечения работы DNS-сервиса в виртуальных машинах или активироваться (https://fedoramagazine.org/using-the-networkmanagers-dnsmasq-plugin/) в конфигураторе NetworkManager.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65431 (https://www.opennet.ru/opennews/art.shtml?num=65431)

https://www.opennet.ru/opennews/art.shtml?num=65431

Бета-выпуск языка программирования ...

2026-05-12T10:45:44Z

Бета-выпуск языка программирования Mojo 1.0

Представлен (https://mojolang.org/releases/v1.0.0b1/) первый бета выпуск (https://github.com/modular/modular/releases/tag/mojo%2Fv1.0.0b1) языка программирования Mojo 1.0 (https://mojolang.org/), который ознаменовал стабилизацию языка и реализацию всех базовых возможностей. Выпуск оценивается как почти готовый к повсеместному использованию. Финальный релиз Mojo 1.0 ожидается в начале осени. Использование данной ветки позволит начать разрабатывать крупные проекты, не опасаясь появления в языке изменений, нарушающих совместимость.

В состав платформы (https://pypi.org/project/modular/) включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo notebook. Исходный код стандартной библиотеки Mojo открыты (https://github.com/modular/modular/tree/main/mojo/stdlib) под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Исходный код компилятора планируют открыть (https://github.com/modular/modular/tree/main/mojo/) после завершения стабилизации внутренней архитектуры.

Язык Mojo развивается под руководством Криса Латнера (Chris Lattner (https://en.wikipedia.org/wiki/Chris_Lattner)), основателя и главного архитектора проекта LLVM и создателя языка программирования Swift. Синтаксис Mojo основан на языке Python, а система типов близка к C/C++. Проект преподносится как язык общего назначения, расширяющий (https://docs.modular.com/) возможности языка Python средствами системного программирования, подходящий для широкого круга задач и сочетающий простоту применения для исследовательских разработок и быстрого создания прототипов с пригодностью для формирования высокопроизводительных конечных продуктов.

Простота достигается благодаря использованию привычного синтаксиса языка Python, а разработке конечных продуктов способствуют возможность компиляции в машинный код, механизмы безопасной работы с памятью и задействование средств для аппаратного ускорения вычислений. Для достижения высокой производительности поддерживается распараллеливание вычислений с задействованием всех имеющихся в системе аппаратных ресурсов гетерогенных систем, таких как GPU, специализированные ускорители для машинного обучения и векторные процессорные инструкции (SIMD). При интенсивных вычислениях распараллеливание и задействование всех вычислительных ресурсов даёт возможность добиться производительности, превосходящей приложения на C/C++.

Язык поддерживает статическую типизацию и средства для безопасной низкоуровневой работы с памятью, напоминающие возможности языка Rust, такие как отслеживание времени жизни ссылок и проверка заимствования переменных (borrow checker). При этом в языке доступны и возможности для низкоуровневой работы, например, возможно прямое обращение к памяти в режиме unsafe с использованием типа Pointer, вызов отдельных SIMD-инструкций или доступ к аппаратным расширениям, таким как TensorCores и AMX.

Mojo может использоваться как в режиме интерпретации с использованием JIT, так и для компиляции в исполняемые файлы (AOT, ahead-of-time). В компилятор встроены современные технологии автоматической оптимизации, кэширования и распределённой компиляции. Исходный код на языке Mojo преобразуются в низкоуровневый промежуточный код MLIR (https://mlir.llvm.org/) (Multi-Level Intermediate Representation), развиваемый проектом LLVM. Компилятор позволяет применять для генерации машинного кода различные бэкенды, поддерживающие MLIR.

Среди изменений (https://mojolang.org/releases/v1.0.0b1/) в Mojo 1.0.0b1:

- Ключевое слово "fn" объявлено устаревшим - для объявления функций следует использовать ключевое слово "def" (возможности "fn" и "def" объединены, и в "def" реализована семантика "fn" без генерации исключений).

- Унифицирована реализация замыканий (closure). Не учитывающие контекст замыкания (stateless closure) теперь автоматически преобразуются в функции верхнего уровня и могут использоваться как callback-вызовы в FFI (Foreign Function Interface). Добавлена поддержка захвата по ссылке (ref capture). При объявлении функций добавлен признак "thin" для объявления простого типа указателя на функцию без захвата состояния.

- Указатели с типом UnsafePointer теперь не могут принимать значение null по умолчанию, а для работы с null-указателями необходимо использовать "Optional[UnsafePointer[...]]", что позволяет исключить накладные расходы при работе с null-указателями и сохранить возможность безопасного применения в FFI.

- По умолчанию в коде для CPU в коллекциях включена проверка допустимых границ (на GPU проверка отключена для производительности, но может быть включена при сборке с "mojo build -D ASSERT=all"). Прекращена поддержка указания отрицательных значений в индексах (запрещено "x[-1]", но можно указывать "x[len(x)-1]").

- Из стандартной библиотек удалён тип NDBuffer, вместо которого следует использовать TileTensor.

- Расширена поддержка работы с GPU через графический API Metal на системах Apple (например, появилась поддержка print() и матричных инструкций M5). Добавлена поддержка ускорителей AMD MI250X и NVIDIA B300.

- Идентификаторы примитивов GPU (индексы потоков и блоков) переведены на возвращение типа Int вместо UInt.

- Контекст CPU ('DeviceContext(api="cpu")') стал потокозависимым (stream-ordered). Для упорядоченного выполнения задач добавлены функции enqueue_cpu_function() и enqueue_cpu_range().

- В типах String и StringSlice добавлена поддержка графемных кластеров (Unicode UAX #29), позволяющая корректно вычислять длину и обрезать строки с emoji и комбинированных символов. Добавлены методы graphemes() и count_graphemes(), а также синтаксис слайсов "[grapheme=...]".

- Реализовано уточнение типов (Type Refinement) на этапе компиляции для автоматического сужения типов внутри выражений "where", "if" и "assert" (позволяет обойтись без явного указания trait_downcast).

- Предложен унифицированный API рефлексии, в котором предложена новая функция reflect[T](), возвращающая Reflected[T] и заменяющая семейство функций struct_field_* и старые методы get_type_name().

Одновременно сформирован (https://github.com/modular/modular/releases/tag/max%2Fv26.3.0) выпуск движка MAX Framework 26.3 (https://www.modular.com/open-source/max), предлагающего платформу для разработок в области машинного обучения. MAX Framework дополняет инструментарий Mojo средствами для разработки и отладки приложений, использующих модели машинного обучения в различных форматах (TensorFlow, PyTorch, ONNX и т.п.). В новой версии MAX Framework добавлена возможность генерации видео, расширена поддержка работ с использованием нескольких GPU, значительно повышена производительность интерпретатора (некоторые операции стали выполняться быстрее в 10-20 раз).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65415 (https://www.opennet.ru/opennews/art.shtml?num=65415)

https://www.opennet.ru/opennews/art.shtml?num=65415

В Debian утверждена обязательная ...

2026-05-12T10:45:08Z

В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

Команда, отвечающая за формирование релизов Debian, объявила (https://lists.debian.org/debian-devel-announce/2026/05/msg00001.html) о переводе воспроизводимой пересборки (https://reproduce.debian.net/) пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки.

В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% (https://tests.reproducible-builds.org/debian/trixie/index_suite_amd64_stats.html) для архитектуры x86_64 и 96.8% (https://tests.reproducible-builds.org/debian/trixie/index_suite_arm64_stats.html) для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён (https://tests.reproducible-builds.org/debian/reproducible.html) в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета (3%), а у 7952 пакетов (21%) возникли общие проблемы при компиляции из исходного кода.

Повторяемые сборки (https://reproducible-builds.org/) дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65418 (https://www.opennet.ru/opennews/art.shtml?num=65418)

https://www.opennet.ru/opennews/art.shtml?num=65418

Выпуск редактора изображений Photoflare ...

2026-05-12T10:44:37Z

Выпуск редактора изображений Photoflare 1.7.0

После двух с половиной лет разработки и почти семи лет с прошлого значительного выпуска опубликован (https://photoflare.io/photoflare-v1-7-0-released/) релиз редактора изображений Photoflare 1.7.0 (https://photoflare.io/), разработчики которого пытаются найти оптимальный баланс между функциональностью и удобством интерфейса. Изначально проект был основан как попытка создания открытой и многоплатформенной альтернативы Windows-приложению PhotoFiltre (http://photofiltre.free.fr/frames_en.htm). Код проекта написан на языке С++ с использованием библиотеки Qt и распространяется (https://github.com/PhotoFlare/photoflare/) под лицензией GPLv3. Готовые сборки сформированы в формах AppImage (https://github.com/PhotoFlare/photoflare/releases/tag/v1.7.0) и Flatpak (https://flathub.org/en/apps/io.photoflare.photoflare).

Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме (https://photoflare.github.io/photoflare/batch.html). Например Photoflare позволяет изменять формат и размер, применять фильтры, поворачивать изображение, выравнивать яркость и насыщенность сразу в нескольких выбранных файлах.

В новой версии (https://github.com/PhotoFlare/photoflare/releases/tag/v1.7.0):

- Осуществлён переход c Qt5 на ветку Qt6. Переработана система сборки, заменён устаревший API и обновлены зависимости.

- Реализована поддержка масштабирования на экранах с высокой плотностью пикселей (HiDPI). Инструменты выделения и реализации курсоров адаптированы для работы с HiDPI.

- Полностью переписан код отрисовки элементов на холсте, значительно повышена производительность рисования и применения фильтров, повышена гладкость отрисовки линий. Для снижения потребления памяти и снижения нагрузки на CPU обеспечена перерисовка только изменённых областей. По сравнению с прошлым движком отрисовки новый движок быстрее при работе с изображениями с разрешением 1920×1080 в 2-3 раза, 4K - в 5-10 раз и
9999×9999 - в 10-50 раз.

- Обеспечена (https://photoflare.io/what-gmic-adds-to-photoflare/) полная интеграция с инструментарием для обработки изображений G'MIC (https://www.opennet.ru/opennews/art.shtml?num=63760) и добавлена возможность применения предоставляемых в G'MIC эффектов и фильтров для обработки изображений. Добавлено отдельное меню Filters, включающее несколько сотен фильтров, разбитых на категории.

( )

- Обновлён инструмент выделения областей на изображении, который теперь может применяться раздельно для каждой вкладки. Добавлена поддержка перемещения выделенной области при помощи мыши или клавиатуры. Реализованы новые типы выделения - "эллипс" для выделения овальных областей и "лассо" - для выделения произвольной формы.

( )

- Добавлен режим редактирования, не выходя за границы выделенной области. Ограничение в данном режиме действует среди прочего для фильтров и манипуляций с цветом.

( )

- Расширены инструменты рисования. Добавлен режим ограничения излома линий прямыми углами, активируемый при удержании клавиши Shift. В ластик добавлен режим стирания с заменой цвета на прозрачность. Для быстрого стирания теперь можно использовать правую кнопку мыши. Улучшена гладкость штрихов кисти.

- Помимо фильтров из набора G’Mic, в состав включено несколько собственных фильтров:
Пикселизация

( )

Виньетирование

( )

Пиксельное рассеивание

( )

Эскиз

( )

- На холст добавлены вертикальная и горизонтальная линейки, которые можно включать и отключать через меню View.

( )

- Предложен новый набор пиктограмм для тёмного режима оформления.

( )

- Обеспечено сохранение исходных метаданных Exif и их просмотр в диалоге со свойствами изображения.

( )

- При вставке изображений из файла или буфера обмена обеспечен показ опций для поворота и масштабирования вставленного изображения. В панель добавлены кнопки для вставки как нового изображения. Реализована поддержка перемещения изображений мышью в режиме drag&drop.

( )

- Добавлена опция для изменения размера изображения в процентах.

( )

- Добавлена возможность панорамирования после увеличения масштаба через перемещение курсора, удерживая среднюю кнопку мыши.

- Обеспечено сохранение позиции панелей и виджетов, а также выбранных цветов между перезапусками. Настройки инструментов при перезапуске сбрасываются в состояние по умолчанию.

- В панель инструментов добавлены кнопки для увеличения и уменьшения масштаба, а также изменения настроек координатной сетки.

- Добавлен переносимый режим, при котором настройки размещаются в одном каталоге с исполняемым файлом.

- Реализована начальная поддержка расширения функциональности через плагины.

Отдельно авторами Photoflare анонсировано создание расширенного коммерческого редактора PhotoFlare Studio (https://photoflare.io/studio/), который попытается занять нишу между GIMP и Affinity Photo, и будет интересен тем, кто считает работу в GIMP слишком сложной, но не нуждается в продвинутых возможностях Affinity Photo. В PhotoFlare Studio будут реализованы такие возможности, как слои, режимы смешивания недеструктивное редактирование, профессиональная работа с кистями через libmypaint, встроенные AI-инструменты на базе локально выполняемых моделей, работа с RAW-изображениями.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65423 (https://www.opennet.ru/opennews/art.shtml?num=65423)

https://www.opennet.ru/opennews/art.shtml?num=65423

GitLab объявил о сокращении персонала, ...

2026-05-12T09:13:35Z

GitLab объявил о сокращении персонала, реструктуризации и подготовке к эре AI-агентов

Руководитель компании GitLab опубликовал (https://about.gitlab.com/blog/gitlab-act-2/) обращение к клиентам и акционерам, в котором объявил о грядущем сокращении персонала и реструктуризации компании для перехода в "эру AI-агентов", в которой код будет создаваться, рецензироваться, исправляться и развёртываться при помощи AI, а люди сохранят за собой функции принятия решений и управления архитектурой. Предполагается, что создание программного обеспечения помощи AI-агентов значительно снизит стоимость и время разработки, и приведёт к увеличению числа создаваемых программных продуктов.

Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить управление в компании и убрать лишние уровни менеджмента для того чтобы руководители были ближе к исполнителям. В процессе реорганизации отделов R&D (https://ru.wikipedia.org/wiki/%D0%9D%D0%B0%D1%83%D1%87%D0%BD%D0%BE-%D0%B8%D1%81%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D1%81%D0%BA%D0%B8%D0%B5_%D0%B8_%D0%BE%D0%BF%D1%8B%D1%82%D0%BD%D0%BE-%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%82%D0%BE%D1%80%D1%81%D0%BA%D0%B8%D0%B5_%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B) будет выделено 60 небольших автономных команд, которые будут нести полную ответственность за создаваемый продукт. Внутренние рутинные процессы будут оптимизированы с вовлечением AI-агентов для согласования решений, проверки выполнения работы и координации выполнения задач.

Объявлены три принципа, на основе которых будет формироваться новая система ценностей GitLab: скорость с качеством (работа малых команд короткими циклами с высокой планкой качества), мышление собственника (каждый сотрудник несёт ответственность за результат и ощущает себя владельцем компании) и клиентоориентированность (основное внимание на пользу для клиента). Для стимулирования сотрудников будет введена программа премий, которые будут составлять до 10% от зарплаты и зависеть от достигнутых результатов. Сотрудникам, не согласным с новой политикой компании, предлагается до 18 мая принять решение о добровольном увольнении.

Платформа GitLab будет оптимизирована для трёх режимов работы: разработка человеком, использование человеком AI-агентов и автономная работа AI-агентов. Помимо оплаты по подписке, будет внедрена возможность оплаты по факту потребления ресурсов, израсходованных AI-агентами. Средства непрерывной интеграции и доставки (CI/CD) будут расширены возможностями для координации работы AI-агентов, оценки результатов и проверки соблюдения ими правил.

Инфраструктура и Git будут расширены в плане предоставления API для AI-агентов и оркестровки работы AI-агентов, а также оптимизированы для нагрузок, создаваемых AI-агентами. В ядро платформы будет интегрированы инструменты для контроля и аудита. Планируется задействование единой AI-модели, доступной через API, которую можно будет использовать для написания кода, рецензирования изменений, планирования работы и проверки безопасности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65427 (https://www.opennet.ru/opennews/art.shtml?num=65427)

https://www.opennet.ru/opennews/art.shtml?num=65427

NVIDIA опубликовала CUDA-oxide, компилятор ...

2026-05-12T07:13:33Z

NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA

Компания NVIDIA опубликовала (https://github.com/NVlabs/cuda-oxide/releases/tag/v0.1.0) первый выпуск инструментария CUDA-oxide (https://nvlabs.github.io/cuda-oxide/), позволяющего создавать на языке Rust параллельно исполняемые в GPU ядра CUDA SIMT (https://docs.nvidia.com/cuda/cuda-programming-guide/02-basics/writing-cuda-kernels.html) (Single Instruction, Multiple Threads). Проект позволяет компилировать код на языке Rust, использующий штатную систему типов и модель владения (https://doc.rust-lang.org/book/ch04-01-what-is-ownership.html) Rust, напрямую в инструкции для выполнения в виртуальной машине CUDA PTX (https://docs.nvidia.com/cuda/parallel-thread-execution/) (Parallel Thread Execution) без применения промежуточных предметно-ориентированных языков (DSL) и обвязок. Код инструментария написан на языке Rust и распространяется (https://github.com/NVlabs/cuda-oxide) под лицензией Apache 2.0. Первый выпуск позиционируется как начальная альфа-версия.

Инструментарий включает в себя:

- Бэкенд генерации кода для компилятора rustc, позволяющий компилировать функции с атрибутом "#[kernel] (https://nvlabs.github.io/cuda-oxide/gpu-programming/kernels-and-device-functions.html)" в параллельно исполняемые на GPU ядра в представлении CUDA PTX. При компиляции используется штатная для rustc цепочка преобразований на базе фреймворка Pliron (https://github.com/vaivaswatha/pliron): Rust -> MIR -> Pliron IR -> LLVM IR -> PTX.

- Унифицированная система сборки компонентов, выполняемых на хост-системе и на GPU, которая сводится к выполнению команд "cargo oxide build" и "cargo oxide run".

- Набор Rust-абстракций, который можно использовать в ядрах на стороне GPU. Например, доступны функции для индексации, использования разделяемой памяти и барьеров, атомарных операций, синхронизации групп потоков, TMA (https://nvlabs.github.io/cuda-oxide/advanced/tensor-memory-accelerator.html) (Tensor Memory Accelerator). Возможен вызов обвязок над низкоуровневыми инструкциями, специфичными для архитектуры Blackwell (например, расширенные матричные операции).

- Crate-пакеты с выполняемыми на стороне хоста компонентами CUDA runtime, позволяющими управлять памятью, запускать ядра на GPU и взаимодействовать с выполняемыми на GPU функциями в асинхронном режиме.

- Коллекция примеров ядер, демонстрирующих такие возможности, как работа с векторами, умножение матриц (GEMM), атомарные операции, асинхронное выполнение, интеграция с библиотекой MathDx (https://docs.nvidia.com/cuda/mathdx/), применение дженериков и замыканий, взаимодействия с CUDA-ядрами на C++/CCCL.

Ядра для GPU создаются на обычном Rust (не диалект), но выполняются в окружении no_std (https://docs.rust-embedded.org/book/intro/no-std.html) и могут использовать только функции из библиотеки
libcore (https://doc.rust-lang.org/core/) и ранее отмеченные специализированные Rust-абстракции, без доступа к стандартной библиотеке Rust (libstd). Поддерживаются примитивные типы (u8..u64, f32, f64, bool), структуры, перечисления, кортежи, массивы
([T; N]) и слайсы (&[T]), операторы match / if / if let, циклы for и while, итераторы (.iter(), .enumerate()), замыкания и дженерики. Не поддерживаются типы String, Vec и Box, макросы format!, panic! и println!, Trait-объекты и реализуемые через обращение к операционной системе функции стандартной библиотеки (работа с файлами, ввод/вывод, сетевые операции).

Доступно (https://nvlabs.github.io/cuda-oxide/gpu-safety/the-safety-model.html) три уровня обеспечения безопасности CUDA-ядер на Rust: защита через систему типов (safe), использование блоков unsafe и обращение к низкоуровневым аппаратным инструкциям.
Производительность созданной на CUDA-oxide реализации матричного умножения (GEMM SoL) на GPU B200 достигает 868 триллионов операций в секунду, что составляет 58% от производительности оптимизированной библиотеки cuBLAS (https://developer.nvidia.com/cublas).

https://www.opennet.ru/opennews/pics_base/CFD0C5CECEC5D4_1778568221.svg
(https://nvlabs.github.io/cuda-oxide/_images/memory-hierarchy.svg)

https://www.opennet.ru/opennews/pics_base/CFD0C5CECEC5D4_1778568272.svg
(https://nvlabs.github.io/cuda-oxide/_images/cuda-streams.svg)

https://www.opennet.ru/opennews/pics_base/CFD0C5CECEC5D4_1778568287.svg
(https://nvlabs.github.io/cuda-oxide/_images/scalarization-abi.svg)

https://www.opennet.ru/opennews/pics_base/CFD0C5CECEC5D4_1778568308.svg
(https://nvlabs.github.io/cuda-oxide/_images/simt-thread-hierarchy.svg)

https://www.opennet.ru/opennews/pics_base/CFD0C5CECEC5D4_1778568321.svg
(https://nvlabs.github.io/cuda-oxide/_images/simt-warp-execution.svg)

https://www.opennet.ru/opennews/pics_base/CFD0C5CECEC5D4_1778568335.svg
(https://nvlabs.github.io/cuda-oxide/_images/simt-hardware-mapping.svg)

Источник: https://www.opennet.ru/opennews/art.shtml?num=65426 (https://www.opennet.ru/opennews/art.shtml?num=65426)

https://www.opennet.ru/opennews/art.shtml?num=65426

Выпуск редактора изображений Photoflare ...

2026-05-11T12:14:20Z

Выпуск редактора изображений Photoflare 1.7.0

После двух с половиной лет разработки и почти семи лет с прошлого значительного выпуска опубликован (https://photoflare.io/photoflare-v1-7-0-released/) релиз редактора изображений Photoflare 1.7.0 (https://photoflare.io/), разработчики которого пытаются найти оптимальный баланс между функциональностью и удобством интерфейса. Изначально проект был основан как попытка создания открытой и многоплатформенной альтернативы Windows-приложению PhotoFiltre (http://photofiltre.free.fr/frames_en.htm). Код проекта написан на языке С++ с использованием библиотеки Qt и распространяется (https://github.com/PhotoFlare/photoflare/) под лицензией GPLv3. Готовые сборки сформированы в формах AppImage (https://github.com/PhotoFlare/photoflare/releases/tag/v1.7.0) и Flatpak (https://flathub.org/en/apps/io.photoflare.photoflare).

Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме (https://photoflare.github.io/photoflare/batch.html). Например Photoflare позволяет изменять формат и размер, применять фильтры, поворачивать изображение, выравнивать яркость и насыщенность сразу в нескольких выбранных файлах.

В новой версии (https://github.com/PhotoFlare/photoflare/releases/tag/v1.7.0):

- Осуществлён переход c Qt5 на ветку Qt6. Переработана система сборки, заменён устаревший API и обновлены зависимости.

- Реализована поддержка масштабирования на экранах с высокой плотностью пикселей (HiDPI). Для работы с HiDPI адаптированы инструменты выделения и реализации курсоров.

- Полностью переписан код отрисовки элементов на холсте, значительно повышена производительность рисования и применения фильтров, повышена гладкость отрисовки линий. Для снижения потребления памяти и снижения нагрузки на CPU обеспечена перерисовка только изменённых областей. По сравнению с прошлым движком отрисовки новый движок быстрее при работе с изображениями с разрешением 1920×1080 в 2-3 раза, 4K - в 5-10 раз и
9999×9999 - в 10-50 раз.

- Обеспечена (https://photoflare.io/what-gmic-adds-to-photoflare/) полная интеграция с инструментарием для обработки изображений G'MIC (https://www.opennet.ru/opennews/art.shtml?num=63760) и добавлена возможность применения предоставляемых в G'MIC эффектов и фильтров для обработки изображений. Добавлено отдельное меню Filters, включающее несколько сотен фильтров, разбитых на категории.

( )

- Обновлён инструмент выделения областей на изображении, которые теперь может применяться раздельно для каждой вкладки. Добавлена поддержка перемещения выделенной области при помощи мыши или клавиатуры. Реализованы новые типы выделения - "эллипс" для выделения овальных областей и "лассо" - для выделения произвольной формы.

( )

- Добавлен режим редактирования, не выходя за границы выделенной области. Ограничение в данном режиме действует среди прочего для фильтров и манипуляций с цветом.

( )

- Расширены инструменты рисования. Добавлен режим ограничения излома линий прямыми углами, активируемый при удержании клавиши Shift. В ластик добавлен режим стирания с заменой цвета на прозрачность. Для быстрого стирания теперь можно использовать правую кнопку мыши. Улучшена гладкость штрихов кисти.

- Помимо фильтров из набора G’Mic, в состав включено несколько собственных фильтров:
Пикселизация

( )

Виньетирование

( )

Пиксельное рассеивание

( )

Эскиз

( )

- На холст добавлены вертикальная и горизонтальная линейки, которые можно включать и отключать через меню View.

( )

- Предложен новый набор пиктограмм для тёмного режима оформления.

( )

- Обеспечено сохранение исходных метаданных Exif и их просмотр в диалоге со свойствами изображения.

( )

- При вставке изображений из файла или буфера обмена обеспечен показ опций для поворота и масштабирования вставленного изображения. В панель добавлены кнопки для вставки как нового изображения. Реализована поддержка перемещения изображений мышью в режиме drag&drop.

( )

- Добавлена опция для изменения размера изображения в процентах.

( )

- Добавлена возможность перемещения по увеличенному изображению (панорамирование) при нажатии средней кнопки мыши.

- Обеспечено сохранение позиции панелей и виджетов, а также выбранных цветов между перезапусками. Настройки инструментов при перезапуске сбрасываются в состояние по умолчанию.

- В панель инструментов добавлены кнопки для увеличения и уменьшения масштаба, а также изменения настроек координатной сетки.

- Добавлен переносимый режим, при котором настройки размещаются в одном каталоге с исполняемым файлом.

- Реализована начальная поддержка расширения функциональности через плагины.

Отдельно авторами Photoflare анонсировано создание расширенного коммерческого редактора PhotoFlare Studio (https://photoflare.io/studio/), который попытается занять нишу между GIMP и Affinity Photo, и будет интересен тем, кто считает работу в GIMP слишком сложной, но не нуждается в продвинутых возможностях Affinity Photo. В PhotoFlare Studio будут реализованы такие возможности, как слои, режимы смешивания недеструктивное редактирование, профессиональная работа с кистями через libmypaint, встроенные AI-инструменты на базе локально выполняемых моделей, работа с RAW-изображениями.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65423 (https://www.opennet.ru/opennews/art.shtml?num=65423)

https://www.opennet.ru/opennews/art.shtml?num=65423

Новый reCAPTCHA не позволит пройти ...

2026-05-11T05:43:36Z

Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google

Компания Google анонсировала (https://cloud.google.com/blog/products/identity-security/introducing-google-cloud-fraud-defense-the-next-evolution-of-recaptcha/) новое поколение системы отсеивания ботов reCAPTCHA, применяемой на многих сайтах для проверки обращения человеком. В новой реализации reCAPTCHA вместо выбора картинок, соответствующих заданному вопросу, применяется подтверждение через сканирование QR-кода смартфоном. Проблема в том, что в числе требований к смартфонам, которые могут использоваться для прохождения капчи, заявлены относительно новые версии iPhone/iPad, а также устройства с платформой Android c установленным проприетарным пакетом Google Play Services.

Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), не смогут (https://reclaimthenet.org/google-broke-recaptcha-for-de-googled-android-users) пройти новую капчу. Суть метода на основе QR-кода в
подтверждении (https://privatecaptcha.com/blog/google-cloud-fraud-defence-wei/) обладания сертифицированным устройством. В случае с Android, подтверждение осуществляется при помощи API Play Integrity (https://developer.android.com/google/play/integrity), предоставляемого в Play Services для аттестации аппаратного обеспечения, и позволяющего убедиться, что устройство не модифицировано и сертифицировано в Google. Для устройств Apple используется API App Attest (https://developer.apple.com/documentation/devicecheck/preparing-to-use-the-app-attest-service).

Дополнение: Проект GrapheneOS (https://grapheneos.org/), разрабатывающий защищённую свободную прошивку на базе Android, считает (https://grapheneos.social/@GrapheneOS/116550899908879585), что продвижение API аттестации аппаратного обеспечения, на фоне усложнения их обхода и навязывания пользователям других ОС через капчу в Web, следует рассматривать как действия по подавлению конкуренции и построению компаниями Apple и Google дуополии в сфере мобильных устройств. По мнению разработчиков GrapheneOS, аттестация оборудования не должна применяться для привязки пользователей к определённому оборудованию и операционным системам. Отмечается, что для верификации через reCAPTCHA в GrapheneOS можно использовать сервисы Google Play, запущенные в изолированном sandbox-окружении, но Google блокирует использование в GrapheneOS сервиса Play Integrity, так как проект не лицензировал пакет Google Mobile Services и отказывается выполнять антиконкурентные правила, уже признанные незаконными в Южной Корее и некоторых других странах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65420 (https://www.opennet.ru/opennews/art.shtml?num=65420)

https://www.opennet.ru/opennews/art.shtml?num=65420

В Debian утверждена обязательная ...

2026-05-10T16:13:33Z

Опубликован музыкальный ...

2026-05-10T15:43:34Z

Опубликован музыкальный проигрыватель Nocturne 1.0

Представлен (https://www.reddit.com/r/gnome/comments/1t34zh5/nocturne_100_release/) выпуск Nocturne 1.0 (https://jeffser.com/nocturne/), музыкального проигрывателя с возможностями управления музыкальной библиотекой и подключения к сетевым музыкальным сервисам. Код проекта написан на языке Python с использованием виджетов libadwaita и мультимедийной библиотеки gstreamer, и распространяется (https://github.com/Jeffser/Nocturne) под лицензией GPLv3. Готовые сборки доступны (https://flathub.org/apps/com.jeffser.Nocturne) в формате Flatpak.

Основные возможности:

- Поддержка воспроизведения локальных файлов, а также музыки из потоковых сервисов и интернет-радио.

- Управление музыкальной библиотекой с использованием музыкального сервера Navidrome (https://www.navidrome.org/) и возможностью группировки по альбомам, музыкантам и спискам воспроизведения.

- Наличие визуализатора звука и эквалайзера.

- Автоматическая загрузка и отображение текстов песен для проигрываемых композиций. Режим караоке с симуляцией пословного показа лирики.

- Возможность обращения к внешним музыкальным библиотекам при помощи протоколов OpenSubsonic (https://opensubsonic.netlify.app/) и Jellyfin (https://jellyfin.org/).

- Поддержка протокола MPRIS (Media Player Remote Interfacing Specification) для управления воспроизведением (например, для управления из панельных виджетов).

- Возможность работы в offline-режиме.

Среди изменений в выпуске Nocturne 1.0:

- Поддержка изменения максимального битрейта.

- Поддержка нормализации громкости (ReplayGain).

- Настройка для отображения плеера в боковой панели.

- Режим воспроизведения без пауз между треками (Gapless).

- Возможность группировки песен в альбоме в привязке к дискам.

- Опция для динамической смены фона основного окна.

- Возможность динамической загрузки списков воспроизведения и альбомов.

- Поддержка технологии входа Quick Connect в Jellyfin.

( )

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65416 (https://www.opennet.ru/opennews/art.shtml?num=65416)

https://www.opennet.ru/opennews/art.shtml?num=65416

Бета-выпуск языка программирования ...

2026-05-10T07:43:33Z

Бета-выпуск языка программирования Mojo 1.0

Представлен (https://mojolang.org/releases/v1.0.0b1/) первый бета выпуск (https://github.com/modular/modular/releases/tag/mojo%2Fv1.0.0b1) языка программирования Mojo 1.0 (https://mojolang.org/), который ознаменовал стабилизацию языка и реализацию всех базовых возможностей. Выпуск оценивается как почти готовый к повсеместному использованию. Финальный релиз Mojo 1.0 ожидается в начале осени. Использование данной ветки позволит начать разрабатывать крупные проекты, не опасаясь появления в языке изменений, нарушающих совместимость.

В состав платформы (https://pypi.org/project/modular/) включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo notebook. Исходный код стандартной библиотеки Mojo открыты (https://github.com/modular/modular/tree/main/mojo/stdlib) под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Исходный код компилятора планируют открыть (https://github.com/modular/modular/tree/main/mojo/) после завершения стабилизации внутренней архитектуры.

Язык Mojo развивается под руководством Криса Латнера (Chris Lattner (https://en.wikipedia.org/wiki/Chris_Lattner)), основателя и главного архитектора проекта LLVM и создателя языка программирования Swift. Синтаксис Mojo основан на языке Python, а система типов близка к C/C++. Проект преподносится как язык общего назначения, расширяющий (https://docs.modular.com/) возможности языка Python средствами системного программирования, подходящий для широкого круга задач и сочетающий простоту применения для исследовательских разработок и быстрого создания прототипов с пригодностью для формирования высокопроизводительных конечных продуктов.

Простота достигается благодаря использованию привычного синтаксиса языка Python, а разработке конечных продуктов способствуют возможность компиляции в машинный код, механизмы безопасной работы с памятью и задействование средств для аппаратного ускорения вычислений. Для достижения высокой производительности поддерживается распараллеливание вычислений с задействованием всех имеющихся в системе аппаратных ресурсов гетерогенных систем, таких как GPU, специализированные ускорители для машинного обучения и векторные процессорные инструкции (SIMD). При интенсивных вычислениях распараллеливание и задействование всех вычислительных ресурсов даёт возможность добиться производительности, превосходящей приложения на C/C++.

Язык поддерживает статическую типизацию и средства для безопасной низкоуровневой работы с памятью, напоминающие возможности языка Rust, такие как отслеживание времени жизни ссылок и проверка заимствования переменных (borrow checker). При этом в языке доступны и возможности для низкоуровневой работы, например, возможно прямое обращение к памяти в режиме unsafe с использованием типа Pointer, вызов отдельных SIMD-инструкций или доступ к аппаратным расширениям, таким как TensorCores и AMX.

Mojo может использоваться как в режиме интерпретации с использованием JIT, так и для компиляции в исполняемые файлы (AOT, ahead-of-time). В компилятор встроены современные технологии автоматической оптимизации, кэширования и распределённой компиляции. Исходный код на языке Mojo преобразуются в низкоуровневый промежуточный код MLIR (https://mlir.llvm.org/) (Multi-Level Intermediate Representation), развиваемый проектом LLVM. Компилятор позволяет применять для генерации машинного кода различные бэкенды, поддерживающие MLIR.

Среди изменений (https://mojolang.org/releases/v1.0.0b1/) в Mojo 1.0.0b1:

- Ключевое слово "fn" объявлено устаревшим - для объявления функций следует использовать ключевое слово "def" (возможности "fn" и "def" объединены, и в "def" реализована семантика "fn" без генерации исключений).

- Унифицирована реализация замыканий (closure). Не учитывающие контекст замыкания (stateless) теперь автоматически преобразуются в функции верхнего уровня и могут использоваться как callback-вызовы в FFI (Foreign Function Interface). Добавлена поддержка захвата по ссылке (ref capture). При объявлении функций добавлен признак "thin" для объявления простого типа указателя на функцию без захвата состояния.

- Указатели с типом UnsafePointer теперь не могут принимать значение null по умолчанию, а для работы с null-указателями необходимо использовать "Optional[UnsafePointer[...]]", что позволяет исключить накладные расходы при работе с null-указателями и сохранить возможность безопасного применения в FFI.

- По умолчанию в коде для CPU в коллекциях включена проверка допустимых границ (на GPU проверка отключена для производительности, но может быть отключена при сборке с "mojo build -D ASSERT=all"). Прекращена поддержка указания отрицательных значений в индексах (запрещено "x[-1]", но можно указывать "x[len(x)-1]").

- Из стандартной библиотек удалён тип NDBuffer, вместо которого следует использовать TileTensor.

- Расширена поддержка работы с GPU через графический API Metal на системах Apple (например, появилась поддержка print() и матричных инструкций M5). Добавлена поддержка ускорителей AMD MI250X и NVIDIA B300.

- Идентификаторы примитивов GPU (индексы потоков и блоков) переведены с возвращения типа Int вместо UInt.

- Контекст CPU ('DeviceContext(api="cpu")') стал потокозависимым (stream-ordered). Для упорядоченного выполнения задач добавлены функции enqueue_cpu_function() и enqueue_cpu_range().

- В типах String и StringSlice добавлена поддержка графемных кластеров (Unicode UAX #29), позволяющая корректно вычислять длину и обрезать строки с emoji и комбинированных символов. Добавлены методы graphemes() и count_graphemes(), а также синтаксис слайсов "[grapheme=...]".

- Реализовано уточнение типов (Type Refinement) на этапе компиляции для автоматического сужения типов внутри выражений "where", "if" и "assert" (позволяет обойтись без явного указания trait_downcast).

- Предложен унифицированный API рефлексии, в котором предложена новая функция reflect[T](), возвращающая Reflected[T] и заменяющая семейство функций struct_field_* и старые методы get_type_name().

Одновременно сформирован (https://github.com/modular/modular/releases/tag/max%2Fv26.3.0) выпуск движка MAX Framework 26.3 (https://www.modular.com/open-source/max), предлагающего платформу для разработок в области машинного обучения. MAX Framework дополняет инструментарий Mojo средствами для разработки и отладки приложений, использующих модели машинного обучения в различных форматах (TensorFlow, PyTorch, ONNX и т.п.). В новой версии MAX Framework добавлена возможность генерации видео, расширена поддержка работ с использованием нескольких GPU, значительно повышена производительность интерпретатора (некоторые операции стали выполняться быстрее в 10-20 раз).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65415 (https://www.opennet.ru/opennews/art.shtml?num=65415)

https://www.opennet.ru/opennews/art.shtml?num=65415

Выпуск lay, автокорректора слов, ...

2026-05-10T06:13:35Z

Выпуск lay, автокорректора слов, введённых не в той раскладке, для GNOME c Wayland

Опубликован проект lay (https://github.com/radislabus-star/lay-public), помогающий исправлять слова, набранные с использованием не той раскладки клавиатуры, в GNOME-окружении на базе Wayland. Утилита исправляет последнее слово, набранное в неправильной русской или английской раскладке, по двойному нажатию клавиши Shift. Код написан на языке Rust и распространяется (https://github.com/radislabus-star/lay-public) под лицензией MIT. На данной стадии развития программа имеет качество бета-версии - приветствуется отправка отчётов об ошибках..

Основной сценарий использования: пользователь набрал, например, "ghbdtn" вместо "привет", нажал Shift два раза, и слово перепечатывается в другой раскладке. Замена осуществляется по месту, без копирования текста через буфер обмена (программа симулирует нажатие клавиши Backspace для затирания ошибочно введённого слова и затем повторяет ввод в правильной раскладке). В смешанном тексте lay старается не трогать уже корректные соседние слова, например, "good ntrcn" будет преобразовано в "good текст", а "wi-fi ye" а wi-fi ну". Возможна точная автоподмена слов по пользовательскому словарю.

Проект состоит из фонового процесса, который работает с evdev/uinput, и небольшого дополнения к GNOME Shell, обеспечивающего переключение раскладки в GNOME на базе Wayland. По умолчанию программа работает локально и не использует облако, буфер обмена или большие языковые модели. В качестве опции доступен экспериментальный режим "--smart", в котором для автоматического определения ошибочного ввода применяется локально выполняемая AI-модель. В состав также входит отдельная утилита командной строки для преобразования текста не в другой раскладке. Поддержка в настоящее время ориентирована на GNOME Wayland и русский/английский языки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65414 (https://www.opennet.ru/opennews/art.shtml?num=65414)

https://www.opennet.ru/opennews/art.shtml?num=65414

Уязвимость в системном вызове execve, ...

2026-05-09T13:14:06Z

Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

Во FreeBSD выявлена (https://blog.calif.io/p/cve-2026-7270-how-i-get-root-on-freebsd) уязвимость (CVE-2026-7270 (https://www.cve.org/CVERecord?id=CVE-2026-7270)), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:13.exec.asc) все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит (https://github.com/califio/publications/tree/main/MADBugs/freebsd-CVE-2026-7270), работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч (https://www.freebsd.org/security/patches/SA-26:13/exec.patch).

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume".

memmove(args->begin_argv + extend, args->begin_argv + consume,
- args->endp - args->begin_argv + consume);
+ args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

( )

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

- CVE-2026-35547 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:17.libnv.asc), CVE-2026-39457 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:16.libnv.asc) - переполнения буфера в библиотеке libnv (https://man.freebsd.org/cgi/man.cgi?query=libnv), используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана (https://www.freebsd.org/security/patches/SA-26:17/libnv.patch) неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия (https://www.freebsd.org/security/patches/SA-26:16/libnv.patch) проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.

- CVE-2026-42512 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:15.dhclient.asc) - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления (https://www.freebsd.org/security/patches/SA-26:15/dhclient.patch) размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.

- CVE-2026-7164 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:14.pf.asc) - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:14.pf.asc) неограниченным рекурсивным разбором параметров SCTP.

- CVE-2026-42511 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:12.dhclient.asc) - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.

- CVE-2026-6386 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:11.amd64.asc) - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.

- CVE-2026-5398 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:10.tty.asc) - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65408 (https://www.opennet.ru/opennews/art.shtml?num=65408)

https://www.opennet.ru/opennews/art.shtml?num=65408

Уязвимость в системном вызове execve, ...

2026-05-09T08:13:34Z

Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

Во FreeBSD выявлена (https://blog.calif.io/p/cve-2026-7270-how-i-get-root-on-freebsd) уязвимость (CVE-2026-7270), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:13.exec.asc) все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит (https://github.com/califio/publications/tree/main/MADBugs/freebsd-CVE-2026-7270), работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч (https://www.freebsd.org/security/patches/SA-26:13/exec.patch).

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume".

memmove(args->begin_argv + extend, args->begin_argv + consume,
- args->endp - args->begin_argv + consume);
+ args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

( )

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

- CVE-2026-35547 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:17.libnv.asc), CVE-2026-39457 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:16.libnv.asc) - переполнения буфера в библиотеке libnv (https://man.freebsd.org/cgi/man.cgi?query=libnv), используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана (https://www.freebsd.org/security/patches/SA-26:17/libnv.patch) неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия (https://www.freebsd.org/security/patches/SA-26:16/libnv.patch) проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.

- CVE-2026-42512 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:15.dhclient.asc) - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления (https://www.freebsd.org/security/patches/SA-26:15/dhclient.patch) размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.

- CVE-2026-7164 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:14.pf.asc) - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:14.pf.asc) неограниченным рекурсивным разбором параметров SCTP.

- CVE-2026-42511 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:12.dhclient.asc) - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.

- CVE-2026-6386 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:11.amd64.asc) - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.

- CVE-2026-5398 (https://www.freebsd.org/security/advisories/FreeBSD-SA-26:10.tty.asc) - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65408 (https://www.opennet.ru/opennews/art.shtml?num=65408)

https://www.opennet.ru/opennews/art.shtml?num=65408

Предложен killswitch для экстренного ...

2026-05-08T19:13:35Z

Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Саша Левин (Sasha Levin) из компании NVIDIA, занимающийся сопровождением LTS-веток ядра Linux и входящий в консультативный совет организации Linux Foundation, подготовил (https://lore.kernel.org/all/20260507070547.2268452-1-sashal@kernel.org/) набор патчей с реализацией механизма killswitch для ядра Linux. Предложенная возможность позволяет мгновенно отключить доступ к определённой функциональности работающего ядра. Предполагается, что killswitch будет полезен для временного блокирования уязвимостей на время до установки обновления ядра с исправлением.

Управление killswitch осуществляется через файл "/sys/kernel/security/killswitch/control", позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail (https://www.opennet.ru/opennews/art.shtml?num=65325) достаточно записать в управляющий файл команду "engage af_alg_sendmsg -1" для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения кода ошибки "-1".

В качестве имён могут использоваться любые символы, поддерживаемые подсистемой kprobes (https://docs.kernel.org/trace/kprobes.html). Многие из недавно найденных в ядре серьёзных уязвимостей присутствуют в подсистемах, используемых относительной небольшим числом пользователей (например, AF_ALG (https://www.opennet.ru/opennews/art.shtml?num=65325), ksmbd (https://www.opennet.ru/opennews/art.shtml?num=63301), nf_tables (https://www.opennet.ru/opennews/art.shtml?num=60860), vsock (https://www.opennet.ru/opennews/art.shtml?num=63165), ax25 (https://nvd.nist.gov/vuln/detail/CVE-2025-22109)). Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления. Механизм killswitch особо актуален в контексте сегодняшней уязвимости Dirty Frag (https://www.opennet.ru/opennews/art.shtml?num=65395), эксплоит для которой был опубликован раньше, чем проблема была устранена в ядре. Killswitch

Источник: https://www.opennet.ru/opennews/art.shtml?num=65407 (https://www.opennet.ru/opennews/art.shtml?num=65407)

https://www.opennet.ru/opennews/art.shtml?num=65407

Скомпрометирован официальный ...

2026-05-08T17:43:40Z

Скомпрометирован официальный Twitter-канал Ubuntu

Следом за DDoS-атакой (https://www.opennet.ru/opennews/art.shtml?num=65340) на инфраструктуру компании Canonical злоумышленникам удалось (https://www.reddit.com/r/Ubuntu/comments/1t5xt2t/advivce_ubuntu_twitterx_account_hacked/) получить (https://lowendtalk.com/discussion/comment/4788632/#Comment_4788632) контроль над каналом Ubuntu (https://x.com/ubuntu) в социальной сети X.com (Twitter). В канале Ubuntu был размещён анонс AI-агента Numbat, который преподносился как децентрализованный AI, созданный на базе блокчейна и технологий криптовалюты Solana. Заявлялось, что AI-агент можно протестировать на сайте ai-ubuntu.com, который был зарегистрирован за несколько часов до размещения объявления. Оформление сайта было стилизовано под страницу ubuntu.com/ai (https://ubuntu.com/ai), а в тексте использовались факты из анонсированного вице-президентом компании Canonical проекта по интеграции (https://www.opennet.ru/opennews/art.shtml?num=65306) AI-технологий в Ubuntu.

Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён (https://x.com/i/status/2052211357542453341) с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовалютный кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютного токена и предоставлении возможности принять участие в его распределении среди пользователей.

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65402 (https://www.opennet.ru/opennews/art.shtml?num=65402)

https://www.opennet.ru/opennews/art.shtml?num=65402

Уязвимости Dirty Frag, изменяющие ...

2026-05-08T07:13:33Z

Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux

В ядре Linux выявлены две уязвимости (https://github.com/V4bel/dirtyfrag), по своей сути аналогичные несколько дней назад раскрытой уязвимости Copy Fail (https://www.opennet.ru/opennews/art.shtml?num=65325), но проявляющиеся в других подсистемах - xfrm-ESP и RxRPC. Серии уязвимостей присвоено кодовое имя Dirty Frag (https://dirtyfrag.io/) (также встречается упоминание Copy Fail 2). Уязвимости позволяют непривилегированному пользователю получить права root, перезаписав данные процесса в страничном кэше. Доступен эксплоит (https://github.com/V4bel/dirtyfrag/blob/master/exp.c), работающий во всех актуальных дистрибутивах Linux. Информация об уязвимости раскрыта до публикации исправлений, но есть обходной метод блокирования проблемы.

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP (https://docs.kernel.org/networking/xfrm/index.html), используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC (https://docs.kernel.org/networking/rxrpc.html), реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3), а уязвимость в RxRPC - с июня 2023 года (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a). Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в
RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, а но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны (https://github.com/V4bel/dirtyfrag/blob/master/assets/write-up.md) выполнением расшифровки данных по месту c
использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за
утечки информации (https://www.openwall.com/lists/oss-security/2026/05/07/12) сведения об уязвимости пришлось опубликовать (https://www.openwall.com/lists/oss-security/2026/05/07/8) до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc (https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/), ipsec (https://lore.kernel.org/all/afLDKSvAvMwGh7Fy@v4bel/) и xfrm (https://lore.kernel.org/all/20260504073403.38854-1-h3xrabbit@gmail.com/), без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение (https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4) c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать (https://afflicted.sh/blog/posts/copy-fail-2.html) рабочий эксплоит и опубликовал его (https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo), не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp (https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4) и rxrpc (https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/). CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Источник: https://www.opennet.ru/opennews/art.shtml?num=65395 (https://www.opennet.ru/opennews/art.shtml?num=65395)

https://www.opennet.ru/opennews/art.shtml?num=65395

Релиз Mesa 26.1, свободной реализации ...

2026-05-07T20:43:34Z

Релиз Mesa 26.1, свободной реализации OpenGL и Vulkan

После трёх месяцев разработки представлен (https://lists.freedesktop.org/archives/mesa-announce/2026-May/000849.html) релиз свободной реализации API OpenGL и Vulkan - Mesa 26.1.0 (http://mesa3d.org/). Первый выпуск ветки Mesa 26.1.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 26.1.1.

В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 (https://www.opennet.ru/opennews/art.shtml?num=62331) в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также обеспечивается (https://mesamatrix.net/) полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU Virgil3D (https://www.opennet.ru/opennews/art.shtml?num=37456) для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

Основные новшества (https://docs.mesa3d.org/relnotes/26.1.0.html):

- В драйверы для GPU Intel (Iris, Crocus и ANV) добавлена возможность напрямую работать с GPU из виртуальных машин, используя нативные контексты (native context) в VirtIO-GPU (https://qemu.readthedocs.io/en/system/devices/virtio-gpu.html). Нативные контексты позволяют повысить производительность работы с виртуальным GPU (virtio-gpu-gl) из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU.

- Для GPU PowerVR добавлена поддержка OpenGL ES 2.0, реализованная через драйвер Zink, позволяющий получить аппаратно ускоренный OpenGL на устройствах, поддерживающих API Vulkan.

- Для OpenCL-драйвера rusticl (https://www.opennet.ru/opennews/art.shtml?num=58114) теперь требуется статически собранная библиотека C++ stdlib для корректной работы с приложениями, использующими собственные C++ stdlib.

- В драйвер radeonsi (AMD) добавлена поддержка OpenGL-расширения GL_NV_timeline_semaphore (https://registry.khronos.org/OpenGL/extensions/NV/NV_timeline_semaphore.txt).

- В драйвер panfrost (ARM Mali) добавлена поддержка OpenGL-расширения GL_EXT_shader_image_load_store (https://registry.khronos.org/OpenGL/extensions/EXT/EXT_shader_image_load_store.txt).

- В драйвер v3d (Broadcom VideoCore) добавлена поддержка OpenGL-расширения GL_ARB_sample_shading (https://registry.khronos.org/OpenGL/extensions/ARB/ARB_sample_shading.txt).

- Добавлена поддержка Vulkan-расширений:

VK_ARM_scheduling_controls (https://docs.vulkan.org/refpages/latest/refpages/source/VK_ARM_scheduling_controls.html) для panvk
VK_EXT_acquire_drm_display (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_acquire_drm_display.html) для panvk
VK_EXT_astc_decode_mode (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_astc_decode_mode.html) для panvk
VK_EXT_attachment_feedback_loop_dynamic_state (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_attachment_feedback_loop_dynamic_state.html) для panvk
VK_EXT_attachment_feedback_loop_layout (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_attachment_feedback_loop_layout.html) для panvk
VK_EXT_blend_operation_advanced (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_blend_operation_advanced.html) для lavapipe
VK_EXT_color_write_enable (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_color_write_enable.html) для panvk
VK_EXT_conditional_rendering (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_conditional_rendering.html) для panvk
VK_EXT_depth_clamp_control (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_depth_clamp_control.html) для panvk
VK_EXT_descriptor_heap (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_descriptor_heap.html) для RADV (при выставлении 'export RADV_EXPERIMENTAL=heap')
VK_EXT_hdr_metadata (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_hdr_metadata.html) для v3dv
VK_EXT_image_drm_format_modifier (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_image_drm_format_modifier.html) для pvr
VK_EXT_image_view_min_lod (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_image_view_min_lod.html) для panvk
VK_EXT_legacy_dithering (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_legacy_dithering.html) для panvk
VK_EXT_map_memory_placed (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_map_memory_placed.html) для panvk
VK_EXT_nested_command_buffer (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_nested_command_buffer.html) для panvk
VK_EXT_non_seamless_cube_map (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_non_seamless_cube_map.html) для pvr
VK_EXT_present_timing (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_present_timing.html) для RADV, NVK, Turnip, ANV, Honeykrisp, panvk
VK_EXT_primitive_restart_index (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_primitive_restart_index.html) для RADV
VK_EXT_rgba10x6_formats (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_rgba10x6_formats.html) для panvk
VK_EXT_shader_atomic_float (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_shader_atomic_float.html) для panvk
VK_EXT_shader_stencil_export (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_shader_stencil_export.html) для panvk
VK_EXT_zero_initialize_device_memory (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_zero_initialize_device_memory.html) для panvk
VK_KHR_copy_memory_indirect (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_copy_memory_indirect.html) для nvk, RADV/GFX8+
VK_KHR_device_address_commands (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_device_address_commands.html) для RADV
VK_{KHR,EXT}_{surface,swapchain}_maintenance1 для panvk
VK_KHR_get_display_properties2 (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_get_display_properties2.html) для panvk
VK_KHR_get_surface_capabilities2 (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_get_surface_capabilities2.html) для panvk
VK_KHR_internally_synchronized_queues (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_internally_synchronized_queues.html) для RADV
VK_KHR_maintenance4 (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_maintenance4.html) для pvr
VK_KHR_pipeline_executable_properties (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_pipeline_executable_properties.html) для pvr
VK_KHR_present_id (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_present_id.html) для panvk, v3dv
VK_KHR_present_wait (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_present_wait.html) для panvk, v3dv
VK_KHR_sampler_ycbcr_conversion (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_sampler_ycbcr_conversion.html) для pvr
VK_KHR_shader_integer_dot_product (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_shader_integer_dot_product.html) для pvr
VK_KHR_shader_untyped_pointers (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_shader_untyped_pointers.html) для panvk
VK_KHR_swapchain_mutable_format (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_swapchain_mutable_format.html) для panvk
VK_QCOM_image_processing (https://docs.vulkan.org/refpages/latest/refpages/source/VK_QCOM_image_processing.html) для Turnip
VK_VALVE_mutable_descriptor_type (https://docs.vulkan.org/refpages/latest/refpages/source/VK_VALVE_mutable_descriptor_type.html) для panvk
VK_VALVE_shader_mixed_float_dot_product (https://docs.vulkan.org/refpages/latest/refpages/source/VK_VALVE_shader_mixed_float_dot_product.html) для RADV (Vega20, Navi14, RDNA2+)

- Реализованы OpenCL-расширения:

cl_khr_subgroup_ballot (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_ballot.html) для asahi, iris, llvmpipe, radeonsi и zink
cl_khr_subgroup_clustered_reduce (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_clustered_reduce.html) для asahi, llvmpipe, radeonsi и zink
cl_khr_subgroup_extended_types (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_extended_types.html) для asahi, iris, llvmpipe, radeonsi и zink
cl_khr_subgroup_non_uniform_arithmetic (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_non_uniform_arithmetic.html) для asahi, llvmpipe, radeonsi и zink
cl_khr_subgroup_non_uniform_vote (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_non_uniform_vote.html) для asahi, iris, llvmpipe, radeonsi и zink
cl_khr_subgroup_rotate (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_rotate.html) для asahi, llvmpipe и zink

- Драйвер VirGL (https://gitlab.freedesktop.org/virgl/) с реализацией виртуального GPU для QEMU остался без сопровождения и будет удалён, если не найдётся желающий взять его сопровождение в свои руки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65390 (https://www.opennet.ru/opennews/art.shtml?num=65390)

https://www.opennet.ru/opennews/art.shtml?num=65390

Релиз Chrome 148 Компания Google ...

2026-05-06T20:13:36Z

Релиз Chrome 148

Компания Google опубликовала (https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop.html) релиз web-браузера Chrome 148 (http://www.google.com/chrome). Одновременно доступен стабильный выпуск свободного проекта Chromium (http://dev.chromium.org/), выступающего основой Chrome. Браузер Chrome отличается (https://chromium.googlesource.com/chromium/src/+/master/docs/chromium_browser_vs_google_chrome.md) от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров (https://www.opennet.ru/opennews/art.shtml?num=26822) при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 149 запланирован на 2 июня.

Основные изменения в Chrome 148 (1 (https://chromeenterprise.google/resources/release-notes/), 2 (https://developer.chrome.com/en/blog/new-in-chrome-148/),
3 (https://blog.google/products-and-platforms/products/chrome/), 4 (https://developer.chrome.com/release-notes/148)):

- Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран (https://support.google.com/chrome/a/answer/16291696) из Азиатско-Тихоокеанского региона.

- Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.

- Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).

(https://img480-dot-cr-status.appspot.com/feature/5100248314806272/attachment/6266370321940480)

- Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.

(https://img968-dot-cr-status.appspot.com/feature/5516733320396800/attachment/5116761940819968)

- В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.

- В версии для Android появился (https://blog.google/products-and-platforms/products/chrome/approximate-location-chrome-on-android/) режим возвращения сайтам приблизительного, а не точного местоположения.

( )

- Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.

- Реализован API Prompt (https://developer.chrome.com/docs/ai/prompt-api), предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (https://deepmind.google/technologies/gemini/nano/).

- В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.

- CSS-запросы "@container" теперь могут вызываться (https://chromestatus.com/feature/5184267522015232) с использованием только имени контейнера (container-name) без указания типа (container-type).

#container {
container-name: --foo;
}
@container --foo {
input { background-color: green; }
}

- В CSS добавлено (https://chromestatus.com/feature/5146458504429568) ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

div {
display: if(style(--layout: fancy): grid; else: revert-rule);
}

- Для CSS-свойства "text-decoration-skip-ink" реализована (https://chromestatus.com/feature/5077600085082112) поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.

- В версии для Android добавлена возможность использования API Web Serial (https://web.dev/serial/) для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.

- В элементах ‹video› и ‹audio› появилась возможность указания
атрибута "loading=lazy (https://developer.mozilla.org/docs/Web/API/HTMLMediaElement/loading)" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.

- Добавлена (https://chromestatus.com/feature/5169590743203840) поддержка второй версии расширения формата Open Font "avar (https://github.com/harfbuzz/boring-expansion-spec/blob/main/avar2.md)" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.

- Внесены (https://developer.chrome.com/blog/new-in-devtools-148) улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей (https://issues.chromium.org/issues?q=customfield1223088:0-M148). Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer (https://github.com/google/sanitizers/wiki/AddressSanitizer), MemorySanitizer (https://github.com/google/sanitizers/wiki/MemorySanitizer), Control Flow Integrity (https://www.chromium.org/developers/testing/control-flow-integrity/), LibFuzzer (https://chromium.googlesource.com/chromium/src/+/master/testing/libfuzzer/README.md) и AFL (https://lcamtuf.coredump.cx/afl/). Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65386 (https://www.opennet.ru/opennews/art.shtml?num=65386)

https://www.opennet.ru/opennews/art.shtml?num=65386

Атакующие получили 27 сертификатов, ...

2026-05-06T12:14:12Z

Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert

Удостоверяющий центр Digicert раскрыл (https://bugzilla.mozilla.org/show_bug.cgi?id=2033170#c4) информацию об инциденте с безопасностью, в результате которого злоумышленники смогли получить сертификаты, пригодные для формирования цифровых подписей к драйверам и приложениям для платформы Windows. Атакующие смогли организовать выполнение своего кода на двух компьютерах сотрудников Digicert, отправив в чат службы поддержки сообщения о проблеме c приложением ZIP-архива со скриншотами. Внутри архива был размещён исполняемый файл в формате scr, содержащий вредоносный код.

В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности о выявлении вредоносных приложений, заверенного сертификатами Digicert, 14 апреля был инициирован повторный разбор, показавший, что 4 апреля была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

Добившись выполнения своего кода на внутренней системе атакующий получил доступ к порталу службы поддержки, на котором можно было просматривать заказы клиентов. Воспользовавшись данной возможностью атакующий узнал коды инициализации заявок на получение сертификатов "EV Code Signing (https://www.digicert.com/signing/code-signing-certificates)", подтверждённых, но ещё не выданных клиентам. Данные коды были использованы для получения сертификатов от имени клиентов.

По результатам разбора инцидента было отозвано 60 сертификатов, из которых для 27 удалось отследить прямую связь с атакующим, а 33 отозваны превентивно, так как для них не удалось подтвердить получение клиентом. Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65383 (https://www.opennet.ru/opennews/art.shtml?num=65383)

https://www.opennet.ru/opennews/art.shtml?num=65383

Автор платформы Bun проводит ...

2026-05-06T09:43:36Z

Автор платформы Bun проводит эксперимент по переписыванию с Zig на Rust

Джарред Самнер (Jarred Sumner (https://github.com/Jarred-Sumner)), создатель и основной разработчик серверной JavaScript-платформы Bun (https://bun.sh/), создал Git-ветку (https://github.com/oven-sh/bun/tree/claude/phase-a-port), в которой приступил к переписыванию Bun с языка Zig на Rust. Переписывание ведётся с использование AI-ассистента Claude, для которого сформировано отдельное руководство по портированию (https://github.com/oven-sh/bun/commit/46d3bc29f270fa881dd5730ef1549e88407701a5). По словам (https://news.ycombinator.com/item?id=48019226) Джарреда пока это лишь эксперимент, а не официальный порт, и высока вероятность, что дальше эксперимента дело не зайдёт и переписанный код не будет использован.

Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, что бы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. В конечном счёте планируется провести сравнительное тестирование вариантов Bun на Zig и Rust.

В декабре прошлого года проект Bun поглотила (https://www.opennet.ru/opennews/art.shtml?num=64366) компания Anthropic, поэтому у Джарреда есть ресурсы для вовлечения в портирование передовых AI-моделей Claude. Платформа Bun применяется в продуктах Claude Code и Claude Agent SDK, и компания Anthropic заинтересована в повышении её качества и развитии. Bun является одним из самых успешных проектов на языке Zig, при этом у разработчиков Zig и Bun расходятся мнения (https://simonwillison.net/2026/Apr/30/zig-anti-ai) в отношении применения AI в процессе разработки. В проекте Zig утверждён жёсткий запрет (https://ziglang.org/code-of-conduct/#strict-no-llm-no-ai-policy) применения больших языковых моделей при подготовке pull-запросов, issue и комментариев (запрещён даже перевод через AI неанглоязычных комментариев).

Введение подобных ограничений объясняется разработчиками Zig негативным опытом в рецензировании созданных через AI pull-запросов, которые отнимают ресурсы и время (например, отмечаются бессмысленные изменения, AI-галлюцинации и раздутые коммиты в 10 тысяч строк). Кроме того, проект Zig позиционирует себя как ориентированный на участников, а не вносимый ими вклад в разработку - главной целью принятия pull-запросов называется не добавление нового кода, а помощь в развитии новых участников.

Автор Bun не согласен с запретом AI в Zig и полагает (https://x.com/jarredsumner/status/2048434628248359284), что AI-слоп останется ностальгическим пережитком 2025 и 2026 годов, а разработка открытого ПО эволюционирует до запрета приёма кода от людей. Люди будут обсуждать проблемы, ставить задачи и расставлять приоритеты, а написание кода и отправка изменений в репозитории станет уделом AI. В качестве причины экспериментов с переписыванием на Rust также отмечается желание устранить проблемы в Bun, вызванные утечками памяти, и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

Из-за запрета применения AI разработчики Bun вынуждены поддерживать собственный форк (https://github.com/oven-sh/zig/compare/upgrade-0.15.2%E2%80%A6upgrade-0.15.2-fast) инструментария Zig, в котором благодаря применению AI удалось в 4 раза ускорить (https://x.com/bunjavascript/status/2048427636414923250) компиляцию за счёт распараллеливания семантического анализа и генерации кода. При этом судя по комментарию (https://ziggit.dev/t/bun-s-zig-fork-got-4x-faster-compilation-times/15183/19) одного из разработчиков Zig причина отклонения патчей не в AI, а в том, что распараллеливание семантического анализа затрагивает не только компилятор, но и сам язык - чтобы реализовать предложенную функциональность без ошибок и несовместимостей, требуется внесение изменений в язык Zig. Вместо распараллеливания, разработчики Zig развивают инкрементальную компиляцию, которая по их предположению позволит на порядок повысить скорость компиляции.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит (https://www.opennet.ru/opennews/art.shtml?num=59738) набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка (https://www.opennet.ru/opennews/art.shtml?num=61915) для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore (https://developer.apple.com/documentation/javascriptcore) и компоненты проекта WebKit (https://webkit.org/) с дополнительными патчами (https://github.com/oven-sh/WebKit).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65379 (https://www.opennet.ru/opennews/art.shtml?num=65379)

https://www.opennet.ru/opennews/art.shtml?num=65379

Доменная зона DE на несколько часов ...

2026-05-06T07:13:33Z

Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

Произошёл (https://blog.denic.de/en/denic-reports-resolved-dnssec-disruption-affecting-de-domains/) массовый сбой в работе доменной зоны "DE", применяемой в Германии. Проблемы возникли (https://bsky.app/profile/denic.de/post/3ml55z2xpq62r) из-за ошибки в настройке DNSSEC (https://ru.wikipedia.org/wiki/DNSSEC) для корневой зоны "DE", совершённой организацией DENIC (https://en.wikipedia.org/wiki/DENIC), отвечающей за домен первого уровня "DE". С 5 мая 22:30 по 6 мая 1:30 (https://radar.cloudflare.com/dns/de?dateRange=1d) (MSK) попытка резолвинга доменов в зоне "DE" через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC.

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила (https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz) проверку подлинности через DNSSEC для доменов в зоне "DE". Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается (https://community.letsencrypt.org/t/issues-getting-certificates-for-de-zone/247023), что проблема возникла из-за ошибки при обновлении (https://dnsviz.net/d/spiegel.de/dnssec/) цифровой подписи для зоны "DE", произведённом (https://www.namecheap.com/status-updates/planned-denic-de-registry-scheduled-maintenance-may-5-2026/) 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне "DE" операции криптографическая подпись (RRSIG - Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65380 (https://www.opennet.ru/opennews/art.shtml?num=65380)

https://www.opennet.ru/opennews/art.shtml?num=65380

Опубликована платформа Node.js 26.0.0 ...

2026-05-05T20:13:35Z

Опубликована платформа Node.js 26.0.0

Состоялся (https://nodejs.org/en/blog/release/v26.0.0) релиз Node.js 26.0.0 (https://nodejs.org), платформы для выполнения сетевых приложений на языке JavaScript. Node.js 26.0 отнесён (https://github.com/nodejs/Release) к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Поддержка Node.js 26.x будет осуществляться до мая 2029 года. Сопровождение прошлой LTS-ветки Node.js 24.x будет осуществляться до 30 апреля 2028 года, а позапрошлой 22.x - до 30 апреля 2027 года. Сопровождение LTS-ветки 20.x прекращено 30 апреля 2026 года, а промежуточной ветки Node.js 25.x будет прекращено 1 июня 2026 года.

Основные улучшения (https://nodejs.org/en/blog/release/v26.0.0):

- Включён по умолчанию API Temporal (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Temporal), предлагающий альтернативный набор методов для работы с датами и временем. API позволяет манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем. Время может задаваться в независимом от часового пояса представлении (Temporal.PlainDate, Temporal.PlainTime, Temporal.PlainDateTime), с привязкой к часовому поясу (Temporal.ZonedDateTime) и в эпохальном представлении (Temporal.Instant - число наносекунд с 1 января 1970 года).

- Движок V8 обновлён до версии 14.6, применяемой в Chromium 146 (https://www.opennet.ru/opennews/art.shtml?num=64979). Из улучшений по сравнению с прошлым выпуском Node.js отмечена возможность объединять несколько итераторов в один с помощью метода Iterator.concat(), а также реализация
спецификации "upsert (https://tc39.es/proposal-upsert/)" для упрощения работы с коллекциями пар ключ/значение в JavaScript-объектах Map и WeakMap.

- HTTP-клиент undici (https://undici.nodejs.org/) обновлён до ветки 8.x (https://github.com/nodejs/undici/tags).

- Удалён метод http.Server.prototype.writeHeader(), вместо которого следует использовать http.Server.prototype.writeHead().

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей (https://www.npmjs.com/), в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv (https://github.com/libuv/libuv), которая является надстройкой над libev (http://software.schmorp.de/pkg/libev.html) в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio (http://software.schmorp.de/pkg/libeio.html), для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares (http://c-ares.haxx.se/). Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8 (http://code.google.com/p/v8/). По своей сути Node.js похож на фреймворки Perl AnyEvent (http://search.cpan.org/dist/AnyEvent/), Ruby Event Machine (https://github.com/eventmachine/eventmachine), Python asyncio (https://docs.python.org/3/library/asyncio.html) и реализацию (http://wiki.tcl.tk/1527) событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65374 (https://www.opennet.ru/opennews/art.shtml?num=65374)

https://www.opennet.ru/opennews/art.shtml?num=65374

Проект PHP перешёл на лицензию BSD-3 и ...

2026-05-05T18:43:33Z

Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License

Разработчики языка программирования PHP направили в организацию OSI (Open Source Initiative) уведомление (https://lists.opensource.org/pipermail/license-review_lists.opensource.org/2026-May/006087.html) о добровольном выводе из обращения лицензии PHP License 3.01 (https://www.php.net/license/3_01.txt). Заявлено, что после нескольких лет работы код инструментария PHP полностью переведён на лицензию BSD-3 и в проекте больше не осталось кода под старой лицензией PHP License 3.01. Текст новой версии лицензии PHP License (https://github.com/php/php-src/blob/master/LICENSE) заменён на копию лицензии BSD-3.

Ранее интерпретатор PHP и движок Zend Engine распространялись под разными лицензиями PHP License (https://opensource.org/license/php-3-0) и Zend Engine License (https://github.com/php/php-src/blob/master/Zend/LICENSE). Переход на общую лицензию BSD-3 упростит условия лицензирования, обеспечит совместимость с GPL и решит давние проблемы, сохранив при этом все права пользователей и разработчиков. Ранее применявшиеся лицензии были признаны (https://www.gnu.org/licenses/license-list.html#PHP-3.01) Фондом СПО несовместимыми с GPL из-за пункта, не позволяющего без получения письменного разрешения использовать слово PHP при продвижении производных продуктов.

Изначально ветки PHP 1.x и 2.x поставлялись под лицензией GPLv2, но ветка PHP 3 была переведена на использование двух лицензий - PHP License и GPL. В PHP 4 лицензия была изменена ещё раз - основной код стал распространяться только под лицензией PHP License, а движок Zend Engine, являющийся основной интерпретатора PHP, был размещён в подкаталоге "Zend/" под отдельной лицензией Zend Engine License (https://github.com/php/php-src/blob/master/Zend/LICENSE). Zend Engine License, как и PHP License, содержит ограничения в отношении использования слова Zend в производных продуктах, но дополнительно требует упоминания использования движка в рекламных материалах.

После перехода на лицензию BSD-3 авторские права всех участников разработки сохранились, а права пользователей остались без изменений. Новая лицензия не налагает дополнительных ограничений и не ущемляет имеющихся прав по использованию, модификации и распространению продукта. Лицензии PHP и Zend основаны на тексте 4-пунктовой лицензии BSD и переход на лицензию BSD-3 лишь привёл к удалению пунктов, определяющих требования в отношении использования бренда "PHP", а также к прекращению действия условия, предписывающего упоминать об использовании свободного проекта PHP в производных продуктах.

Cмена лицензии не потребовала получения отдельного согласия от каждого разработчика, так как в тексте лицензий PHP и Zend определены полномочия, позволяющие PHP Group (https://www.php.net/credits.php) вносить изменения в лицензию и выпускать новые версии лицензии. Для перехода на лицензию BSD-3 было достаточно одобрения членов PHP Group и получения письменного подтверждения от юристов компании Perforce Software, которой принадлежит компания Zend Technologies. Процесс перехода на новую лицензию оформлен как обновление кода до версий PHP License v4 и Zend Engine License v3, текст которых совпадает с текстом лицензии BSD-3.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65372 (https://www.opennet.ru/opennews/art.shtml?num=65372)

https://www.opennet.ru/opennews/art.shtml?num=65372

Выпуск операционной системы ToaruOS 2.3 ...

2026-05-05T17:43:35Z

Выпуск операционной системы ToaruOS 2.3

Опубликован (https://toaruos.org/toaruos-23-is-out.html) выпуск Unix-подобной операционной системы ToaruOS 2.3 (http://toaruos.org/), написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную операционную систему. Код проекта написан на языке Си и распространяется (https://github.com/klange/toaruos) под лицензией BSD. Для загрузки подготовлен live-образ (https://github.com/klange/toaruos/releases/tag/v2.3.1), размером 7.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox.

( )

В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых оформлено большинство имеющихся драйверов устройств, таких как драйверы диска (PATA и ATAPI), ФС EXT2 и ISO9660, framebuffer, клавиатуры, мыши, сетевых карт (AMD PCnet FAST, Realtek RTL8139 и Intel PRO/1000), звуковых чипов (Intel AC'97), а также дополнений VirtualBox для гостевых систем. Ядро поддерживает Unix-потоки, TTY, виртуальную ФС, псевдо-ФС /proc, многопоточность, IPC, ramdisk, ptrace, разделяемую память, многозадачность и другие типовые возможности.

Cистема снабжена композитным оконным менеджером (http://toaruos.org/yutani-the-new-compositor.html), поддерживает динамически связываемые исполняемые файлы в формате ELF, многозадачность, графический стек, может выполнять Python 3 и GCC. В качестве файловой системы применяется ext2. Загрузчик поддерживает BIOS и EFI. Сетевой стек позволяет использовать API сокетов в стиле BSD-систем и поддерживает сетевые интерфейсы, включая loopback.

Из собственных приложений выделяется похожий на Vi редактор кода Bim, который используется последние несколько лет для разработки специфичных для ToaruOS приложений, таких как файловый менеджер, эмулятор терминала, графическая панель с поддержкой виджетов, пакетный менеджер, а также библиотеки для поддержки изображений (PNG, JPEG) и TrueType-шрифтов. Для ToaruOS выполнено портирование таких программ, как Vim, GCC, Binutils, FreeType, MuPDF, SDL, Cairo, Doom, Quake, Super Nintendo emulator, Bochs и т.п.

Проектом также развивается собственный динамический язык программирования Kuroko (https://kuroko-lang.github.io/), рассчитанный на замену Python при разработке утилит и пользовательских приложений для системы. Язык по синтаксису напоминает Python (позиционируется как сокращённый диалект Python с явным определением переменных) и отличается очень компактной реализацией. Поддерживается компиляция и интерпретация байткода. Интерпретатор байткода предоставляет сборщик мусора, поддерживает многопоточность без применения глобальной блокировки. Компилятор и интерпретатор могут быть собраны в форме небольшой разделяемой библиотеки (~500КБ), интегрируемой с другими программами и расширяемой через C API. Кроме ToaruOS язык может использоваться в Linux, macOS, Windows и запускаться в браузерах с поддержкой WebAssembly.

В новом выпуске (https://github.com/klange/toaruos/releases/tag/v2.3.0):

- В эмулятор терминала добавлена поддержка вкладок, переключаться между которыми можно последовательностью Alt-цифра.
Реализована эмуляция жирного начертания шрифтов через двойное наложение глифов. Добавлены подменю "Terminal state" для включения показа состояния различных режимов и "Send signal" для отправки сигналов фоновым процессам.

- Реализован просмотрщик системных руководств, поддерживающий man-страницы в формате roff.

- В контекстное меню добавлено подменю для управления мозаичной компоновкой окон.

- В ядре реализованы новые системные вызовы, среди которых pread/pwrite, sigsuspend, sigqueue, lchown, pipe2, dup3, getrusage и fcntl. Добавлена поддержка флагов FD_CLOEXEC и FD_CLOFORK. Реализована поддержка рандомизации адреса загрузки ядра. ABI системных вызовов переведено на использование инструкций syscall/sysret.

- Значительно расширены возможности виртуальной консоли (TTY), обеспечена эмуляция текстового режима VGA на базе фреймбуфера.

- В версии для архитектуры Aarch64 реализована возможность запуска в виртуальных машинах на базе QEMU.

- В сетевой стек добавлена поддержка одновременной работы с несколькими сокетами ICMP.

- В стандартную библиотеку libc добавлены функции getdelim, getline,
scandir, telldir, rewinddir, seekdir, ftruncate, fchmod, fchown, popen, pclose, sig2str, str2sig.

- Добавлены новые стандартные утилиты rmdir, uniq, cmp, zcat, realpath, id, nohup, cksum. Добавлены новые опции в ls, grep и fgrep. Переписаны утилиты ps, top, pstree, killall и pidof, которые переведены на новую библиотеку libtoaru_procfs, унифицирующую работу с псевдо-ФС /proc. Расширен командный интерпретатор esh.

- Добавлена утилита check-image для проверки возможности загрузки изображения графической библиотекой и вывода размера изображения.

- Язык программирования Kuroko обновлён до версии 1.5rc2 (https://github.com/kuroko-lang/kuroko/releases/tag/v1.5.0rc2).

- До версии 3.2 обновлён текстовый редактор Bim (https://github.com/klange/bim), созданный с оглядкой на Vim. В новой версии улучшена подсветка синтаксиса, расширена поддержка скриптов на языке Kuroko и добавлена новая система автодополнения ввода.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65367 (https://www.opennet.ru/opennews/art.shtml?num=65367)

https://www.opennet.ru/opennews/art.shtml?num=65367

Уязвимости в Nix и Lix, позволяющие ...

2026-05-05T11:43:34Z

Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе

В пакетных менеджерах Nix (https://github.com/NixOS/nix) и Lix (https://lix.systems/) выявлена уязвимость (https://discourse.nixos.org/t/security-advisory-local-privilege-escalation-in-lix-and-nix/77407), позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root. Проблема (CVE не присвоен) проявляется в фоновом процессе nix-daemon (https://nix.dev/manual/nix/2.26/command-ref/new-cli/nix3-daemon), применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов.

Уязвимость возникает (https://github.com/NixOS/nix/security/advisories/GHSA-vh5x-56v6-4368) из-за отсутствия ограничения рекурсивной обработки директорий в коде для разбора архивов NAR (Nix Archive), что можно использовать для инициирования исчерпания стека сопрограмм и перезаписи содержимого кучи (heap), размещённой после стека без сторожевых страниц памяти. Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix.

Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей и реализацией дополнительных проверок символических ссылок в NAR.
В Nix уязвимость проявляется начиная с версии 2.24.4 и устранена в выпусках 2.34.7, 2.33.6, 2.32.8, 2.31.5, 2.30.5, 2.29.4, 2.28.7 (https://github.com/NixOS/nix/tags). В Lix уязвимость появилась в выпуске 2.93.0 и устранена в обновлениях 2.93.4, 2.94.2 и 2.95.2 (https://github.com/lix-project/lix/tags). Пакетный менеджер Guix уязвимость не затрагивает.

Помимо этого в опубликованных обновлениях Nix устранена ещё одна уязвимость (https://github.com/NixOS/nix/security/advisories/GHSA-gr92-w2r5-qw5p) (CVE отсутствует), которой присвоен средний уровень опасности (4.3 из 10). Проблема проявляется начиная с выпуска Nix 2.24.7 и позволяет организовать запись файлов в область за пределами корневого каталога, в который осуществляется распаковка архива. Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями. При распаковки подобных архивов командой "nix-prefetch-url --unpack" или "nix store prefetch-file --unpack" файлы с абсолютными путями извлекаются как есть, без преобразования в относительный путь.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65364 (https://www.opennet.ru/opennews/art.shtml?num=65364)

https://www.opennet.ru/opennews/art.shtml?num=65364

Amazon опубликовал REX, среду для ...

2026-05-04T20:13:39Z

Amazon опубликовал REX, среду для контролируемого выполнения скриптов

Компания Amazon представила (https://aws.amazon.com/blogs/opensource/introducing-trusted-remote-execution-policy-enforced-scripts-for-ai-agents-and-humans/) движок безопасного исполнения скриптов REX (https://github.com/trusted-remote-execution/trusted-remote-execution) (Trusted Remote Execution), допускающий только разрешённые для каждого конкретного скрипта операции. Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога, а несанкционированные попытки удаления или изменения файлов заблокируются. Код REX написан на языке Rust и открыт (https://github.com/trusted-remote-execution/trusted-remote-execution) под лицензией Apache 2.0.

REX может применяться для контроля и ограничения операций, выполняемых скриптами, генерируемыми AI-агентами в процессе выполнения запросов системной автоматизации. При помощи REX владелец хоста может блокировать выполнение нецелевых действий и управлять тем, какие именно операции разрешены, независимо от запросов, поступающих AI-агенту. Подобный подход даёт возможность защититься от нового класса атак, в которых злоумышленники используют подстановку запросов AI-агентам для выполнения действий в системе.

( )

Для написания скриптов в REX применяется язык Rhai (https://rhai.rs/), использующий динамическую типизацию и предоставляющий синтаксис, напоминающий смесь JavaScript и Rust. К скрипту привязываются правила на языке Cedar (https://cedarpolicy.com/en), регламентирующие каждую выполняемую скриптом системную операцию. Скрипты выполняются в изолированном sandbox-окружении, в котором допускаются только явно разрешённые правилами операции с файлами, сетевые возможности, средства управления процессами и прочие системные функции. Каждый системный вызов, такой как открытие, чтение или запись файла, перед выполнением авторизируется в соответствии с заданными правилами.

Модель обеспечения безопасности строится на том, что правила отделены от скриптов и определяются (https://trusted-remote-execution.github.io/docs.html) не создателями скриптов или запускающими скрипты, а владельцем сервиса. Для исключения состояния гонки в скриптах и атак через символические ссылки в скриптах по возможности используются файловые дескрипторы, а не пути.
По умолчанию выполняемые движком REX скрипты не имеют прямого доступа к хосту и проводят операции через авторизированные Rust API.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65360 (https://www.opennet.ru/opennews/art.shtml?num=65360)

https://www.opennet.ru/opennews/art.shtml?num=65360

Автор Notepad++ потребовал ...

2026-05-04T11:43:34Z

Автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака

Автор открытого редактора кода Notepad++ обратил внимание (https://notepad-plus-plus.org/news/npp-trademark-infringement/) на появление неофициального порта "Notepad++ for macOS (https://notepad-plus-plus-mac.org/)", использующего без разрешения товарный знак Notepad++ и логотип проекта. Порт не имеет никакого отношения к основному проекту, но на своём сайте копирует оформление официального сайта Notepad++ (https://notepad-plus-plus.org/), использует на странице загрузки название "Notepad++ 1.0.5", а на странице с информацией о проекте упоминает создателя Notepad++ среди автора порта.

По мнению создателя Notepad++ подобные действия вводят пользователей в заблуждение и создают впечатление, что порт для macOS является частью официального проекта, созданного при участии и с ведома автора Notepad++. Код порта написан сторонним энтузиастом с использованием (https://github.com/notepad-plus-plus-mac/notepad-plus-plus) AI-ассистента Claude. В репозитории и на сайте не уточнятся, что это сторонний проект, поэтому во многих заметках в социальных сетях, блогах и интернет-изданиях порт стали преподносить как появление в Notepad++ поддержки платформы macOS, а не как возникновение отдельного проекта, никак не связанного с разработчиками оригинального Notepad++.

Дон Хо (Don Ho), автор Notepad++, призвал прекратить использование логотипа Notepad++ и переименовать порт, чтобы у пользователей не возникали ложные ассоциации о его связи с основным проектом. В остальном Дон Хо приветствовал (https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17982#issuecomment-4347477621) попытки адаптировать код для macOS и считает, что проведённая работа сможет помочь многим пользователям данной платформы. Дон Хо ничего не имеет против создания форков отрытого кода, но призывает не вводить в заблуждение их мнимой связью с исходными проектами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65358 (https://www.opennet.ru/opennews/art.shtml?num=65358)

https://www.opennet.ru/opennews/art.shtml?num=65358

Проект VideoLAN опубликовал dav2d, ...

2026-05-03T08:43:37Z

Проект VideoLAN опубликовал dav2d, декодировщик для видео в формате AV2

Разработчики проекта VideoLAN опубликовали (https://code.videolan.org/videolan/dav2d/-/tags/0.0.1) первый предварительный выпуск библиотеки dav2d (https://code.videolan.org/videolan/dav2d) с реализацией альтернативного свободного декодировщика формата кодирования видео AV2. Код проекта написан на языке Си с ассемблерными вставками и распространяется (https://code.videolan.org/videolan/dav2d) под лицензией BSD. Реализована поддержка архитектур x86, x86_64, ARM63, Loongarch, PPC и RISC-V.

Dav2d оптимизирован для достижения максимальной производительности и заявлен как самый быстрый из существующих декодировщиков AV2 для всех поддерживаемых платформ. Предполагается, что предложенная в dav2d программная реализация AV2 позволит компенсировать отсутствие аппаратных декодировщиков на ранней стадии продвижения кодека AV2.

По своим целям и архитектуре новая библиотека dav2d напоминает существующий проект dav1d (https://code.videolan.org/videolan/dav1d) и отличается реализацией кодека AV2 вместо AV1. Некоторые общие возможности перенесены из кодовой базы dav1d. Библиотека dav2d будет поддерживать все возможности AV2, включая расширенные виды субдискретизации (https://ru.wikipedia.org/wiki/%D0%A6%D0%B2%D0%B5%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D1%83%D0%B1%D0%B4%D0%B8%D1%81%D0%BA%D1%80%D0%B5%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F) и все заявленные в спецификации параметры управления глубиной цвета. Проект находится на стадии разработки и пока не рекомендован для внедрения в рабочие системы, так как финальная спецификация (https://av2.aomedia.org/v13-public/index.html) для AV2 ещё не утверждена.

Кодек AV2 (https://av2.aomedia.org/) не требует лицензионных отчислений и развивается альянсом Open Media (AOMedia (https://aomedia.org/)) в качестве преемника формата AV1 (https://www.opennet.ru/opennews/art.shtml?num=48345). Особенности AV2 (https://www.opennet.ru/opennews/art.shtml?num=64033):

- оптимизация для применения в потоковом вещании;

- улучшенное предсказание межкадровых изменений;

- значительное улучшение по сравнению с AV1 производительности операций сжатия;

- расширенная поддержка возможностей для виртуальной и дополненной реальности;

- поддержка более широкого диапазона визуального качества;

- возможность одновременной доставки нескольких видео в рамках одного видеопотока с поддержкой их раздельного отображения на экране;

- дополнительные фильтры для подавления шумов, уменьшения артефактов от сжатия и сохранения детализации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65348 (https://www.opennet.ru/opennews/art.shtml?num=65348)

https://www.opennet.ru/opennews/art.shtml?num=65348

Служба здравоохранения ...

2026-05-02T17:43:33Z

Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI

Национальная служба здравоохранения Великобритании готовится (https://shkspr.mobi/blog/2026/05/nhs-goes-to-war-against-open-source/) закрыть доступ к почти всем своим репозиториям (https://github.com/nhsuk/) с открытым кодом в ответ на появление новых рисков, связанных с безопасностью. Подобные риски вызваны значительным прогрессом (https://www.opennet.ru/opennews/art.shtml?num=65165) возможностей по выявлению уязвимостей при помощи больших языковых моделей, таких как Claude Mythos.

Теренс Иден (Terence Eden (https://en.wikipedia.org/wiki/Terence_Eden)), участвовавший в продвижения отрытых стандартов и открытого ПО в госучреждениях Великобритании, считает решение ошибочным и противоречащим действующему в Великобритании регламенту "Tech Code of Practice (https://www.gov.uk/guidance/the-technology-code-of-practice#be-open-and-use-open-source)", предписывающему применение открытых моделей разработки и использование отрытого кода. По мнению Теренса, риск переоценён и для большинства репозиториев, доступ к которым намерены ограничить, сканирование AI-инструментами не создаёт новых угроз безопасности, так как в этих репозиториях в основном размещены наборы данных, руководства, макеты интерфейса, а также внутренние и исследовательские инструменты, не задействованные в публичных сервисах.

При участии Теренса организовано резервное копирование репозиториев службы здравоохранения Великобритании. В случае удаления репозиториев, они будут повторно опубликованы в другом месте, так как отрытые лицензии, под которыми распространятся содержимое, разрешают это.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65349 (https://www.opennet.ru/opennews/art.shtml?num=65349)

https://www.opennet.ru/opennews/art.shtml?num=65349

Релиз SimpleX Chat 6.5, децентрализованной ...

2026-05-01T12:14:27Z

Релиз SimpleX Chat 6.5, децентрализованной сети для коммуникации без идентификаторов

Опубликован (https://simplex.chat/blog/20260430-simplex-channels-v6-5-consortium-crowdfunding-freedom-of-speech.html)
выпуск платформы SimpleX Chat 6.5 (https://github.com/simplex-chat/simplex-chat/releases/tag/v6.5.0), предоставляющей (https://simplex.chat/ru/) средства для децентрализованной коммуникации без идентификаторов. Обмен сообщениями происходит через временные однонаправленные SMP-очереди (https://github.com/simplex-chat/simplexmq/blob/stable/protocol/simplex-messaging.md) (SimpleX Messaging Protocol (https://github.com/simplex-chat/simplexmq/blob/stable/protocol/simplex-messaging.md)), отдельные для каждого соединения. Все соединения применяют сквозное шифрование. Код приложения (https://github.com/simplex-chat/simplex-chat) и SMP-маршрутизатора (https://github.com/simplex-chat/simplexmq) распространяется под лицензией AGPLv3.

Для установки соединения пользователям нужно обменяться ссылкой, которая содержит адрес SMP-сервера и ключи шифрования. Таким образом, пользователь сам выбирает через какие серверы получать сообщения, будь то официальные серверы, серверы сообщества или личный (self-hosted) сервер. Для сокрытия IP-адреса от SMP-серверов применяется механизм "private routing (https://simplex.chat/blog/20240604-simplex-chat-v5.8-private-message-routing-chat-themes.html#private-message-routing)", обеспечивающий маршрутизацию запросов через ряд независимых SMP-серверов, по аналогии с луковой маршрутизацией (https://en.wikipedia.org/wiki/Onion_routing), применяемой в сети Tor.

Наиболее важные изменения в выпуске 6.5:

- Добавлена реализация каналов (https://github.com/simplex-chat/simplex-chat/blob/master/docs/protocol/channels-overview.md), позволяющих доставлять и управлять информацией с сохранением состояния (stateful). В то время как SMP-очереди обеспечивают однонаправленную доставку пакетов без хранения состояния (stateless) между двумя конечными точками, каналы реализуют модель доставки информации "от одного ко многим" с криптографической идентификацией, независимой от операторов инфраструктуры. Каждый канал может использовать несколько релеев для цензуро- и отказоустойчивости.

Поверх каналов уже реализованы "публичные каналы" похожие на каналы в Telegram, но с важными отличиями:

Автор канала по-настоящему владеет им и контролирует с помощью криптографической подписи. Релеи, которые обеспечивают доставку "от одного ко многим", являются взаимозаменяемыми и не могут действовать от имени владельца канала;
Обеспечивается конфиденциальность участия (participation privacy). Релеи являются клиентами в сети SimpleX, таким образом наследуются свойства конфиденциальность с транспортного уровня SMP.

- Подготовка (https://simplex.chat/blog/20260430-simplex-channels-v6-5-consortium-crowdfunding-freedom-of-speech.html#simplex-network-consortium-to-preserve-network-independence) к разделению (https://github.com/simplex-chat/simplexmq/blob/master/rfcs/README.md) прав интеллектуальной собственности на протоколы и сеть для предотвращения расхождения интересов бизнеса и пользователей. Создание организации SimpleX Network Consortium (https://simplexnetwork.org).

- В приложении упрощена отправка приглашений для новых пользователей и реализована опциональная поддержка предпросмотра web-ссылок, с возможностью использования SOCKS-прокси для предпросмотра, защитой от фишинга и блокированием отслеживания через ссылки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65337 (https://www.opennet.ru/opennews/art.shtml?num=65337)

https://www.opennet.ru/opennews/art.shtml?num=65337

Релиз набора компиляторов GCC 16 ...

2026-04-30T20:13:35Z

Релиз набора компиляторов GCC 16

После года разработки опубликован (https://gcc.gnu.org/pipermail/gcc-announce/2026/000190.html) релиз свободного набора компиляторов GCC 16.1 (https://gcc.gnu.org/gcc-16/), первый значительный выпуск в новой ветке GCC 16.x. В соответствии со схемой нумерации выпусков (https://gcc.gnu.org/develop.html#num_scheme), версия 16.0 использовалась в процессе разработки, а незадолго до выхода GCC 16.1 уже ответвилась ветка GCC 17.0 (https://gcc.gnu.org/gcc-17/), на базе которой будет сформирован следующий значительный релиз GCC 17.1.

Основные изменения (https://gcc.gnu.org/gcc-16/changes.html):

- Режим по умолчанию для языка C++ переключён на использование стандарта C++20 (https://www.opennet.ru/opennews/art.shtml?num=53670) (диалект GNU C++20, -std=gnu++20) вместо ранее предлагавшегося C++17 (https://www.opennet.ru/opennews/art.shtml?num=47153). Реализация C++20 в стандартной библиотеке объявлена стабильной.

- В состав включён экспериментальный фронтэнд ga68 (https://gcc.gnu.org/wiki/Algol68FrontEnd) для компиляции программ на языке программирования Алгол 68 (Algol 68).

- Добавлена возможность вывода диагностической информации в формате HTML. Расширена информация о ходе выполнения программы, включаемая при выводе диагностики в формате SARIF (https://gcc.gnu.org/wiki/SARIF), основанном на JSON (поддержка "-fdiagnostics-format=json" прекращена).

- Расширены оптимизации на этапе связывания (LTO, Link-Time Optimization). Добавлена опция "-flto-toplevel-asm-heuristics", включающая эвристику для улучшения оптимизации кода с ассемблерными вставками. Техника спекулятивной девиртуализации (-fdevirtualize-speculatively) теперь не ограничена преобразованием виртуальных методов и может применяться при преобразовании в прямые вызовы любых косвенных вызовов функций, например, вызовов через указатели.

- Реализована поддержка векторизации циклов, для которых на этапе компиляции неизвестно число итераций. Повышена эффективность обработки досрочных выходов из цикла (например, через break).

- Добавлена экспериментальная поддержка многих (https://en.cppreference.com/cpp/compiler_support) возможностей (https://gcc.gnu.org/projects/cxx-status.html) недавно утверждённого стандарта C++26 (https://www.opennet.ru/opennews/art.shtml?num=65102). Например, реализованы:

Рефлексия (https://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%84%D0%BB%D0%B5%D0%BA%D1%81%D0%B8%D1%8F_(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5)) (Reflection (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html), "-freflection"), позволяющая отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "^^ (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html#the-reflection-operator)" для получения метаинформации о грамматической конструкции и "[:…:] (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html#splicers)" для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами.

Контрактное программирование (https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BD%D1%82%D1%80%D0%B0%D0%BA%D1%82%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5) (Contracts (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2900r14.pdf)), позволяющее определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений. Возможность появится в GCC 16.

Оператор "template for (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p1306r5.html)" для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений.

Библиотека std::simd для распараллеливания выполнения операций над данными при помощи наборов инструкций SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.
Библиотеки std::inplace_vector, std::optional‹T&›, std::copyable_function, std::function_ref, std::indirect, std::polymorphic и std::owner_equal.

- Реализованы возможности, связанные со стандартом C++23, такие как явное (https://wg21.link/P2590R2) управление временем жизни объектов и поддержка (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2021/p2246r1.pdf) указания кодировки символов диагностических сообщений.

- Расширена поддержка стандарта C23 (https://www.opennet.ru/opennews/art.shtml?num=62278), например, реализована возможность использования атрибута "counted_by" для проверки корректности использования указателей.

- Продолжена (https://gcc.gnu.org/projects/gomp/) реализация стандартов OpenMP 5.0, 5.1, 5.2 и 6.0 (https://www.openmp.org/specifications/) (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Улучшена (https://gcc.gnu.org/wiki/OpenACC) реализация спецификаций параллельного программирования OpenACC 3.0, 3.3 и 3.4 (https://www.openacc.org/), определяющих средства для выноса операций (offloading) на GPU и специализированные процессоры, такие как NVIDIA PTX.

- В бэкенд для архитектуры x86 добавлена поддержка процессоров AMD на основе микроархитектуры Zen6 (-march=znver6), а также процессоров Intel Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).

- В бэкенде генерации кода для GPU AMD Radeon (GCN) реализована поддержка ускорителей AMD Instinct MI300 (gfx942).

- Для архитектур RISC-V, ARM, S/390 и LoongArch реализована поддержка типа "_BitInt (N)" для определения целых чисел с указанным числом битов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65329 (https://www.opennet.ru/opennews/art.shtml?num=65329)

https://www.opennet.ru/opennews/art.shtml?num=65329

Copy Fail - уязвимость в ядре Linux, ...

2026-04-30T11:13:36Z

Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

Исследователи из компании Xint выявили (https://xint.io/blog/copy-fail-linux-distributions) в ядре Linux уязвимость (https://copy.fail/) (CVE-2026-31431 (https://security-tracker.debian.org/tracker/CVE-2026-31431)), позволяющую непривилегированному пользователю получить root-доступ к системе. Проблеме присвоено кодовое имя Copy Fail. Доступен прототип эксплоита (https://github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.py). Возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16, но отмечается, что пакеты с ядром из других дистрибутивов, включая Debian, Arch, Fedora, Rocky и Alma, тоже подвержены проблеме, но их отдельно не тестировали.

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG), допущенной при внесении в 2017 году оптимизации (https://github.com/torvalds/linux/commit/72548b093ee3) для исключений лишней буферизации через выполнения по месту (in-place) операций блочного шифрования AEAD (https://ru.wikipedia.org/wiki/AEAD-%D1%80%D0%B5%D0%B6%D0%B8%D0%BC_%D0%B1%D0%BB%D0%BE%D1%87%D0%BD%D0%BE%D0%B3%D0%BE_%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F) (Authenticated Encryption with Associated Data). Проблема вызвана из-за некорректного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Таким образом, при передаче файла в сокет AF_ALG для расшифровки структура scatterlist содержала не ссылку на отдельный буфер, а прямую ссылку на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD смешивались привязанные по ссылке страницы "auth tag" с копируемыми в RX-буфер дополнительными аутентифицируемыми данными (AAD, Associated Authenticated Data) и шифротекстом, а смещение для операции записи в "auth tag" рассчитывалось относительно скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта в по выбранному смещению, что позволяет позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов, включая загрузку исполняемых файлов и разделяемых библиотек, содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в произвольные процессы или искажения данных в открываемых файлах.

В предложенном эксплоите (https://github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.py) выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для отключения проверки пароля.
При последующем запуске утилиты "su", будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.
Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5) в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2026-31431), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-31431), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-31431), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-31431), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-31431), Arch (https://security.archlinux.org/package/linux),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=8).

В качестве обходного пути защиты можно отключить модуль ядра algif_aead, который может использоваться в OpenSSL при явном включении движка afalg и в некоторых отдельных приложениях (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG"):

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

Источник: https://www.opennet.ru/opennews/art.shtml?num=65325 (https://www.opennet.ru/opennews/art.shtml?num=65325)

https://www.opennet.ru/opennews/art.shtml?num=65325

Выпуск инструментариев для ...

2026-04-30T07:43:34Z

Выпуск инструментариев для управления контейнерами LXC 7.0 и LXD 6.8

Сообщество Linux Containers опубликовало (https://discuss.linuxcontainers.org/t/lxc-7-0-lts-has-been-released/26612) релиз инструментария для организации работы изолированных контейнеров LXC 7.0 (https://linuxcontainers.org/lxc/), предоставляющий runtime, подходящий как для запуска контейнеров с полным системным окружением, близких к виртуальным машинам, так и для выполнения непривилегированных контейнеров отдельных приложений (OCI). LXC относится к низкоуровневым инструментариям, работающим на уровне отдельных контейнеров. Для централизованного управления контейнерами, развёрнутыми в кластере из нескольких серверов, на базе LXC развиваются системы Incus и LXD. Ветка LXC 7.0 отнесена к выпускам с длительной поддержкой, обновления для которых формируются в течение 5 лет (до 2031 года). Код LXC написан (https://github.com/lxc/lxc) на языке Си и распространяется под лицензией GPLv2.

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

- Реализована изоляция процесса мониторинга при помощи механизма Landlock (https://landlock.io/), позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.

- Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.

- Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.

- Устранена уязвимость (https://github.com/lxc/lxc/security/advisories/GHSA-3m9j-g9gc-vcvq) (CVE-2026-39402 (https://security-tracker.debian.org/tracker/CVE-2026-39402)), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала (https://discourse.ubuntu.com/t/lxd-6-8-has-been-released/80650) новую версию системы управления контейнерами LXD 6.8 (https://github.com/canonical/lxd). LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений (https://documentation.ubuntu.com/lxd/latest/reference/release-notes/release-notes-6.8/) в LXD 6.8:

- Добавлена функция связывания кластеров (Cluster links (https://documentation.ubuntu.com/lxd/latest/explanation/clusters/#exp-cluster-links)), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.

( )

- Добавлена новая роль узлов кластера - "control-plane (https://documentation.ubuntu.com/lxd/latest/howto/cluster_manage/#cluster-manage-control-plane)", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.

- Реализованы репликаторы (https://documentation.ubuntu.com/lxd/latest/howto/replicators_create/#howto-replicators-setup), позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.

- Добавлена поддержка (https://documentation.ubuntu.com/lxd/latest/api-extensions/#extension-gpu-cdi-hotplug) горячего подключения устройств GPU CDI (https://documentation.ubuntu.com/lxd/latest/reference/devices_gpu/#gpu-physical-cdi) (Container Device Interface) к работающим контейнерам.

- В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).

- В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.

( )

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65327 (https://www.opennet.ru/opennews/art.shtml?num=65327)

https://www.opennet.ru/opennews/art.shtml?num=65327

Представлен GTK2-NG, форк библиотеки ...

2026-04-29T12:43:35Z

Представлен GTK2-NG, форк библиотеки GTK2

Один из разработчиков дистрибутива Devuan представил (https://devuanusers.com/thread-gtk2-revival-thread--80) проект GTK2-NG (https://git.devuan.org/Daemonratte/gtk2-ng), который будет развивать форк библиотеки GTK2, нацеленный на продолжение её сопровождения и обеспечение качественной работы в современных дистрибутивах. Поддержание форка позволит продолжить поставку в Devuan приложений, завязанных на GTK2, после прекращения (https://www.opennet.ru/opennews/art.shtml?num=64618) поддержки GTK2 в дистрибутиве Debian 14, релиз которого ожидается летом 2027 года.

Разработчики проекта GTK прекратили сопровождение GTK2 более пяти лет назад, а пакеты с GTK2 уже исключены из официальных репозиториев дистрибутивов Red Hat Enterprise Linux, SUSE Linux Enterprise Server, openSUSE и Arch Linux (доступен через AUR). Из значимых проектов GTK2 продолжает использовать звуковой редактор Ardour, но данный проект не зависит от внешних библиотек и поддерживает собственный форк GTK2 - YTK (https://www.opennet.ru/opennews/art.shtml?num=63547). В репозитории Debian остаётся около 150 пакетов, связанных зависимостями с GTK2, среди которых afterstep, Double Commander, fpc, gkrellm, gmpc, hexchat, lazarus, mplayer, navit, pidgin, sane-frontends, scim, sylpheed, tickr, tilem,
uim, usermode, xsane, xzgv и z88.

В GTK2-NG добавлено (https://git.devuan.org/Daemonratte/gtk2-ng/commits/branch/master) несколько десятков изменений, в основном связанных с переносом исправлений, распространявшихся в форме патчей в пакетах из AUR и Debian, и исправлением предупреждений, выдаваемых компилятором. Из улучшений отмечается модернизация функции сортировки массивов g_sort_array и замена алгоритма масштабирования для повышения чёткости пиктограмм. В виджете выбора файлов (filechooser) решены имевшиеся проблемы и проведена оптимизация
отображения в виде иконок содержимого каталогов с большим числом файлов. Протестирована сборка с использованием GCC 14 и Clang 21.

Из планов на будущее отмечается перенос изменений из форка (https://github.com/stefan11111/gtk2) GTK2, развиваемого (https://lists.suckless.org/dev/2407/35657.html) участником проекта Xlibre - stefan11111 (https://github.com/stefan11111), а также бэкпортирование кода из YTK (https://github.com/Ardour/ardour/tree/master/libs/tk/ytk), форка GTK2 от проекта Ardour. Среди задач также называется проверка сборки в GCC 15 и добавление поддержки использования libppd (https://github.com/OpenPrinting/libppd) для вывода на печать на системах с CUPS 3.x. Не исключается задействование лицензии GPLv3 для нового кода и смена названия для исключения претензий от проекта GNOME.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65323 (https://www.opennet.ru/opennews/art.shtml?num=65323)

https://www.opennet.ru/opennews/art.shtml?num=65323

Valve опубликовала сетевую ...

2026-04-29T11:13:40Z

Valve опубликовала сетевую библиотеку GameNetworkingSockets 1.5.0

После четырёх лет разработки компания Valve опубликовала (https://github.com/ValveSoftware/GameNetworkingSockets/releases/tag/v1.5.0) релиз библиотеки GameNetworkingSockets 1.5.0 (https://github.com/ValveSoftware/GameNetworkingSockets) с реализацией системы передачи сообщений поверх UDP, которая может применяться для организации высокоскоростного и надёжного сетевого обмена данными в играх. Код написан на языке С++ и поставляется (https://github.com/ValveSoftware/GameNetworkingSockets) под лицензией BSD.

GameNetworkingSockets реализует поверх UDP похожий на TCP протокол, обеспечивающий установку соединения, но ориентированный на передачу сообщений вместо потоков. Через установленный канал связи сообщения могут передаваться как в режиме гарантированной доставки, так и с использованием более быстрого режима ненадёжной передачи.

Протокол поддерживает такие возможности как обработка фрагментации, пересборка пакетов, прогнозирование и ограничение пропускной способности, создание P2P-каналов связи, обход трансляторов адресов (через WebRTC ICE) и шифрование. Данные в пакетах шифруются с использованием алгоритма блочного шифрования AES, а для обмена ключами и проверки сертификатов применяются цифровые подписи на базе эллиптических кривых Ed25519. Механизмы доставки ключей и выбора вектора инициализации для каждого пакета основаны на методах, применяемых в протоколе QUIC (https://www.opennet.ru/opennews/art.shtml?num=42063).

Среди изменений в новой версии:

- API ISteamNetworkingSockets::SendMessages расширен для упрощения обработки сбоев при отправке и инициирования повторных попыток доставки.

- Добавлены новые настройки для ECN, jitter-а, определения локального IP (IPLocalHost) и отключения аутентификации (AllowWithoutAuth).

- Добавлен вариант API ISteamNetworkingMessages для языка Си.

- Реализована начальная версия обвязки для языка Rust.

- Исправлены ошибки в реализации режима P2P.

- Реализована автоматическая корректировка ситуаций, связанных с нарушением порядка прихода пакетов и сообщений.

- Улучшена интеграция с инструментариями CMake и vcpkg.

- Налажена совместимость с новыми версиями библиотек protobuf (https://github.com/protocolbuffers/protobuf) и abseil (https://github.com/abseil/abseil-cpp).

- Добавлена поддержка диагностики через ETW (Event Tracing for Windows).

- Устранены уязвимости, информация о которым не детализируется, но судя по логу изменений речь о целочисленном переполнении (https://github.com/ValveSoftware/GameNetworkingSockets/commit/10f2446b986a706a98b9572056a7cb5cfaa2dc71) в функциях отправки пакетов и возможности обхода (https://github.com/ValveSoftware/GameNetworkingSockets/commit/e57ad381415e860c4d7b8484c183680e27c23130) проверки сертификата в функции CheckCertPOPID.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65318 (https://www.opennet.ru/opennews/art.shtml?num=65318)

https://www.opennet.ru/opennews/art.shtml?num=65318

В Нидерландах на базе Forgejo создана ...

2026-04-29T10:13:34Z

В Нидерландах на базе Forgejo создана платформа совместной разработки кода для госучреждений

Правительство Нидерландов ввело в строй (https://www.dutchitchannel.nl/news/730694/rijksoverheid-lanceert-eigen-soort-github-code-overheid-nl) собственный хостинг исходного кода code.overheid.nl (https://code.overheid.nl/), на котором планируют публиковать и совместно разрабатывать отрытое ПО для госучреждений. Хостинг позиционируется как европейская альтернатива GitHub и GitLab и направлен на обеспечение цифрового суверенитета. В качестве основы использована отрытая платформа совместной разработки Forgejo (https://www.opennet.ru/opennews/art.shtml?num=64074).

Проект запущен подразделением Open Source Program Office, созданным при Министерстве внутренних дел и по делам королевства Нидерландов (https://ru.wikipedia.org/wiki/%D0%9C%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D0%B5%D1%80%D1%81%D1%82%D0%B2%D0%BE_%D0%B2%D0%BD%D1%83%D1%82%D1%80%D0%B5%D0%BD%D0%BD%D0%B8%D1%85_%D0%B4%D0%B5%D0%BB_%D0%B8_%D0%BF%D0%BE_%D0%B4%D0%B5%D0%BB%D0%B0%D0%BC_%D0%BA%D0%BE%D1%80%D0%BE%D0%BB%D0%B5%D0%B2%D1%81%D1%82%D0%B2%D0%B0_%D0%9D%D0%B8%D0%B4%D0%B5%D1%80%D0%BB%D0%B0%D0%BD%D0%B4%D0%BE%D0%B2), и продвигает философию "Открыто, если не оговорено иное" ("Open, tenzij"), в соответствии с которой по умолчанию код развиваемых для госучреждений программных продуктов по возможности должен публиковаться в открытом доступе, чтобы другие госучреждения, граждане и компании могли проверять, использовать для собственных целей и улучшать код. Предполагается, что подобный подход не только повысит качество ПО, но и позволит добиться увеличения прозрачности процессов.

На текущем этапе хостинг открытого кода запущен в пилотном режиме и доступен ограниченной группе организаций. Заинтересованные в участии разработчики и организации могут присоединиться к тестированию, отправив заявку координатору проекта. Предполагается, что в ближайший год к проекту смогут подключиться различные государственные службы Нидерландов, от министерств до муниципалитетов.

Платформа Forgejo (https://forgejo.org/) является форком проекта Gitea (https://www.opennet.ru/opennews/art.shtml?num=58197), который в свою очередь ответвился (https://www.opennet.ru/opennews/art.shtml?num=45802) от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65316 (https://www.opennet.ru/opennews/art.shtml?num=65316)

https://www.opennet.ru/opennews/art.shtml?num=65316

В Python-пакет elementary-data, имеющий 1.1 млн ...

2026-04-28T20:43:36Z

В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код

Компания Elementary Data сообщила (https://www.elementary-data.com/post/security-incident-report-malicious-release-of-elementary-oss-python-cli-v0-23-3) о компрометации рабочих процессов GitHub Actions, в результате которой атакующие смогли (https://github.com/elementary-data/elementary/issues/2205) опубликовать в каталоге PyPI и в GitHub-репозитории (https://github.com/elementary-data/elementary) выпуск пакета elementary-data 0.23.3 (https://pypi.org/project/elementary-data/), в который был внедрён вредоносный код для кражи конфиденциальной информации с систем пользователей. Вредоносный выпуск также был включён в состав официального Docker-образа (https://ghcr.io/elementary-data/elementary) проекта. В прошлом месяце пакет elementary-data был загружен из репозитория PyPI более 1.1 млн раз (https://pypistats.org/packages/elementary-data).

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65313 (https://www.opennet.ru/opennews/art.shtml?num=65313)

https://www.opennet.ru/opennews/art.shtml?num=65313

Выпуск дистрибутива Fedora Linux 44 ...

2026-04-28T14:43:35Z

Выпуск дистрибутива Fedora Linux 44

Представлен (https://fedoramagazine.org/announcing-fedora-linux-44/) релиз дистрибутива Fedora Linux 44 (https://fedoraproject.org/). Для загрузки подготовлены (https://getfedora.org/) продукты Fedora Workstation (https://getfedora.org/en/workstation/prerelease/), Fedora KDE Plasma Desktop, Fedora Server, Fedora IoT, Fedora CoreOS, Fedora Cloud Base, Fedora IoT Edition (https://iot.fedoraproject.org/), Fedora Silverblue (https://silverblue.fedoraproject.org/download), Fedora Kinoite и Live-сборки, поставляемые в форме спинов (https://spins.fedoraproject.org/) c пользовательскими окружениями Xfce, MATE, Cinnamon, LXDE, Phosh, Miracle, LXQt, Budgie, Sway и Cosmic. Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64).

Наиболее значимые изменения (http://fedoraproject.org/wiki/Releases/44/ChangeSet) в Fedora Linux 44:

- Среда рабочего стола GNOME обновлена до ветки 50 (https://www.opennet.ru/opennews/art.shtml?num=65015), в которой удалён код для поддержки X11, реализована новая система сохранения сеансов, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.

- Во всех вариантах дистрибутива со средой рабочего стола KDE (Fedora KDE Plasma Desktop Edition, Fedora KDE Plasma Mobile Spin и Fedora Kinoite) для настройки системы после установки задействован (https://fedoraproject.org/wiki/Changes/Unified_KDE_OOBE) развиваемый проектом KDE мастер начальной настройки Plasma Setup (https://invent.kde.org/plasma/plasma-setup), а в инсталляторе Anaconda отключены пересекающиеся с данным приложением стадии конфигурирования системы.

- Во всех редакциях с KDE менеджер входа SDDM заменён (https://fedoraproject.org/wiki/Changes/PlasmaLoginManager) на Plasma Login Manager, развиваемый (https://www.opennet.ru/opennews/art.shtml?num=64812) проектом KDE.

- Переработана (https://fedoraproject.org/wiki/Changes/Rework_Games_Lab) редакция Fedora Games Lab, предлагающая подборку пакетов и настроек для любителей компьютерных игр. В новом варианте обновлён программный стек для запуска игр и задействованы актуальные технологии, такие как Wayland и PipeWire.

- Пользовательское окружение Budgie обновлено (https://fedoraproject.org/wiki/Changes/Budgie_10.10) до ветки 10.10 (https://www.opennet.ru/opennews/art.shtml?num=64587), переведённой на Walyand.

- В инсталляторе Anaconda изменена (https://fedoraproject.org/wiki/Changes/StopCreatingDefaultNetworkProfilesByAnaconda) логика создания сетевых профилей (файлов с настройками для NetworkManager) в установленной системе. Подобные профили теперь создаются не для всех имеющихся проводных сетевых устройств, а только для устройств, настроенных в процессе установки через GUI, загрузочные опции или kickstart-файл. Создание профилей для всех доступных устройств, а не только выбранных пользователем, требовало удаления лишних профилей после установки и вызывало трудности при последующей необходимости изменения настроек.

- По умолчанию активирован (https://fedoraproject.org/wiki/Changes/NTSYNC-Contained) модуль ядра NTSYNC, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Модуль реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Значительный прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя.

- На системах с архитектурой Аarch64 обеспечен (https://fedoraproject.org/wiki/Changes/Automatic_DTB_selection_for_aarch64_EFI_systems) автоматический выбор файла описания оборудования DTB (Device Tree Blobs) для загрузчика UEFI, что решило проблемы с загрузкой Live-сборок Fedora на ARM-ноутбуках, поставляемых с Windows.

- В Live-сборках задействован (https://fedoraproject.org/wiki/Changes/ModernizeLiveMedia) набор скриптов livesys-scripts (https://src.fedoraproject.org/rpms/livesys-scripts) для настройки рабочего окружения и новые возможности инструментария Dracut для автоматического создания сохраняемого между перезагрузками оверлейного хранилища при записи образа на USB-накопители.

- Продолжена (https://fedoraproject.org/wiki/Changes/PackitDistgitCI) работа по переводу инфраструктуры непрерывной интеграции (dist-git CI), выполняющей пересборку RPM-пакетов после внесения изменений или обновления версий, на использование по умолчанию инструментария Packit (https://packit.dev/) вместо Fedora CI и Zuul.

- Включено (https://fedoraproject.org/wiki/Changes/Hardlink_identical_files_in_packages_by_default) по умолчанию использование жёстких ссылок для связывания идентичных файлов, устанавливаемых из разных пакетов в иерархию /usr. Создание жёсткой ссылки осуществляется автоматически при установке пакета обработчиком на стадии "post install".

- В репозиторий добавлен (https://fedoraproject.org/wiki/Changes/Nix_package_tool) инструментарий с пакетным менеджером Nix (https://github.com/NixOS/nix/), позволяющий устанавливать пакеты в формате Nix из коллекции nixpkgs (https://github.com/NixOS/nixpkgs). Пакеты можно ставить в однопользовательском (в домашний каталог пользователя) и многопользовательском (в каталог /nix) режимах.

- Прекращена (https://fedoraproject.org/wiki/Changes/DropQEMU32bitHostBuilds) поставка сборок QEMU для 32-разрядных хост-систем (i686).
Изменение отражает работу (https://www.opennet.ru/opennews/art.shtml?num=64580) проекта QEMU по удалению поддержки 32-разрядных хост-систем.

- Из состава атомарных редакций Fedora для десктоп систем удалены (https://fedoraproject.org/wiki/Changes/AtomicDesktopDropFuse2) исполняемые файлы и библиотеки FUSE 2 (ранее данная версия была объявлена устаревшей и все пакеты переведены на использование FUSE 3).
Также прекращена (https://fedoraproject.org/wiki/Changes/AtomicDesktopDropPklaCompat) поддержка устаревших правил polkit, поставлявшихся в файлах с расширением pkla.

- PackageKit переключён (https://fedoraproject.org/wiki/Changes/PackageKit-DNF5) на использование нового бэкенда DNF5, собранного с библиотекой libdnf5.

- В редакции дистрибутива с композитным менеджером MiracleWM оболочка рабочего стола nwg-shell заменена (https://fedoraproject.org/wiki/Changes/DankFedoraMiracleWM) на Dank Material Shell (https://github.com/AvengeMedia/DankMaterialShell).

- В Fedora Cloud вместо отдельного раздела /boot теперь предлагается (https://fedoraproject.org/wiki/Changes/BtrfsBootForCloud) одноимённый подраздел Btrfs.

- Прекращена (https://fedoraproject.org/wiki/Changes/Drop_Libreoffice_KF5) поставка пакета libreoffice-KF5 с компонентами для интеграции LibreOffice с Qt5, на смену которому пришёл пакет libreoffice-kf6, обеспечивающий интеграцию с Qt6.

- Загрузка библиотеки OpenSSL ускорена (https://fedoraproject.org/wiki/Changes/droppingOfCertPemFile) за счёт распределения сертификатов по подкаталогам (формат directory-hash) вместо их размещения в одном файле /etc/pki/tls/cert.pem.

- Обновлены версии пакетов: GCC 16.1-prerelease, LLVM 22, Ruby 4.0, Go 1.26, binutils 2.46, glibc 2.43, gdb 16.3, CMake 4.0, MariaDB 11.8, IBus 1.5.34, uutils-coreutils 0.5, nushell 0.109.2, Django 6.x, TagLib 2, Helm 4, Ansible 13, TeXLive 2025, GHC 9.10, PHP 8.5.

- Проведена (https://fedoraproject.org/wiki/Changes/Package_builds_are_expected_to_be_reproducible) работа по доведению (https://www.opennet.ru/opennews/art.shtml?num=63061) инфраструктуры для воспроизводимых сборок до охвата не менее чем 99% пакетов в репозитории Fedora. В прошлых выпусках охват воспроизводимыми сборками оценивался в 90%, благодаря внесению в сборочную систему изменений, синхронизирующих метаданные о времени модификации файлов с эталонным исходным кодом, а также обеспечивающих постоянный порядок перечисления метаданных и структур в бинарных файлах. Для обеспечения воспроизводимых сборок в оставшихся 10% к участию были привлечены сопровождающие проблемных пакетов. Воспроизводимые сборки дают пользователю возможность лично убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений, осуществлённых в результате компрометации компилятора или сборочного инструментария.

Для Fedora 44 введены в строй (https://rpmfusion.org/) репозитории "free" и "nonfree" от проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65307 (https://www.opennet.ru/opennews/art.shtml?num=65307)

https://www.opennet.ru/opennews/art.shtml?num=65307

В Ubuntu намечена интеграция AI Джон ...

2026-04-28T08:43:34Z

В Ubuntu намечена интеграция AI

Джон Сигер (Jon Seager (https://jnsgr.uk/)), вице-президент компании Canonical по инжинирингу и технический лидер проекта Ubuntu, обобщил (https://discourse.ubuntu.com/t/the-future-of-ai-in-ubuntu/81130) планы по интеграции в дистрибутив функциональности на основе больших языковых моделей. На первом этапе разработчики Ubuntu намерены задействовать AI-модели для улучшения существующей функциональности дистрибутива, после чего добавить в дистрибутив отдельные AI-возможности и рабочие процессы для пользователей, заинтересованных в использовании AI. AI-возможности будут интегрироваться в дистрибутив постепенно в течение 2027 года, без принуждения и по мере доведения их до готовности.

При выборе AI-инструментов предпочтения будут отдаваться открытым моделям, распространяемым под лицензиями, отвечающими духу дистрибутива, в также AI-платформам на базе открытого кода. По умолчанию AI-модели будут выполняться локально. Интеграция с внешними облачными AI-системами будет в форме опции, подконтрольной пользователю.

Подчёркивается, что цель инициативы не в превращении Ubuntu в AI-продукт и не в продвижении AI ради AI, а в выборочной интеграции в дистрибутив AI-возможностей там, где это будет действительно полезным для пользователей. Для тех, кто не желает использовать AI будет предоставлена возможность отключения AI-возможностей. В качестве примеров применения AI упоминается обработка голосовых команд, диагностика сетевых и системных проблем, настройка сервисов, анализ логов, выполнение рутинных задач и проведение аудита серверов.

Добавляемая в дистрибутив AI-функциональность разделена на не явное и явное использование AI. В первом случае AI-модели расширяют имеющиеся функции без изменения способа взаимодействия с пользователем, например, применяются для распознавания и синтеза речи. Во втором случае, AI-модели предлагаются как самостоятельные решения, например, как AI-агенты для автоматизации работы, AI-ассистенты для обучения, генерации и анализа контента.

Для обеспечения безопасности и упрощения установки AI-модели решено поставлять вместе с инструментарием для их выполнения в форме snap-пакетов, оптимизированных для различных аппаратных платформ. Модели будут выполняться в изолированном окружении, не имеющем прямого доступа к остальной системе, а AI-агенты будут функционировать в соответствии с существующими механизмами разграничения доступа и аудита.

Внутри компании Canonical решено не отталкиваться изначально от определённого AI-стека, а в течение следующих 6 месяцев предоставить командам возможность углубиться в тему, попробовать разные AI-стеки, выбрать оптимальные для их задач AI-решения, понять сильные стороны AI-инструментов и их ограничения. Сотрудники компании по-прежнему будут оцениваться по тому, как хорошо они выполняют свои задачи, а не по тому, используют ли они AI.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65306 (https://www.opennet.ru/opennews/art.shtml?num=65306)

https://www.opennet.ru/opennews/art.shtml?num=65306

Bambu Lab добилась удаления ...

2026-04-27T09:13:34Z

Bambu Lab добилась удаления альтернативного проекта для отправки команд на свои 3D-принтеры

Китайский производитель 3D-принтеров Bambu Lab добился (https://www.xda-developers.com/developer-restored-orcaslicers-features-bambu-lab-killed-legal-threats-arrived/) удаления кода из репозитория OrcaSlicer-bambulab (https://github.com/jarczakpawel/OrcaSlicer-bambulabOrca) под угрозой судебного иска к разработчику. Разработчику вменяется проведение обратного инжиниринга проприетарного ПО для отправки команд на 3D-принтеры Bambu Lab, обход механизмов авторизации, максировка под продукт Bambu Studio и нарушение условий использования. По мнению (https://github.com/jarczakpawel/OrcaSlicer-bambulab#why-i-disputed-their-characterization) разработчика проекта OrcaSlicer-bambulab обвинения беспочвенны и он ничего не нарушал, поскольку использовал для обеспечения совместимости с 3D-принтерами компоненты из репозитория Bambu Studio (https://github.com/bambulab/BambuStudio), распространяемого компанией Bambu Lab под лицензией AGPLv3.

Разработчик попытался запросить юридическое обоснование, список нарушаемых пунктов условий использования и информацию о том, какие именно файлы и коммиты в его репозитории содержат нарушения, но в ответ представители Bambu Lab не предоставили конкретных сведений, а лишь усилили давление и сослались на недопустимость обратного инжиниринга. Разработчик OrcaSlicer-bambulab решил не доводить дело до судебной тяжбы и добровольно удалил содержимое репозитория.

Проект OrcaSlicer-bambulab представлял собой ответвление от свободного пакета для подготовки моделей к 3D-печати OrcaSlicer (https://github.com/OrcaSlicer/OrcaSlicer), выполняющего преобразование 3D-модели в набор двумерных горизонтальных слоёв, последовательно выводимых на 3D-принтере. В свою очередь OrcaSlicer является форком пакета Bambu Studio, который когда-то ответвился от свободного проекта Pursa Slicer (https://github.com/prusa3d/prusaslicer). Все упомянутые проекты распространяются под лицензией AGPLv3.

OrcaSlicer-bambulab был создан после блокирования возможности прямой печати из OrcaSlicer в выпущенном год назад обновлений прошивки к 3D-принтерам Bambu Lab. Для работы с устройствами с новой прошивкой требовалась установка дополнительного проприетарного приложения Bambu Connect, без которого послойный вывод на печать перестал работать.
OrcaSlicer-bambulab возвращал в OrcaSlicer возможность напрямую отправлять команды 3D-принтерам Bambu Lab.

Bambu Lab считает, что при разработке OrcaSlicer-bambulab был проведён обратный инжиниринг проприетарного плагина, который в репозитории Bambu Studio описан как необязательный компонент, основанный на несвободных библиотеках. Автор OrcaSlicer-bambulab утверждает, что он не использовал данный плагин и не распространял его через свой репозиторий, а реализованный метод отправки команд на 3D-принтера основан на общедоступном исходном коде Bambu Studio, поставляемом под лицензией AGPLv3, и собственном слое интеграции.

Среди претензий также упоминалось, что изменённая кодовая база OrcaSlicer-bambulab может использоваться для обхода реализованной в прошивке системы авторизации и защиты от отправки несанкционированных команд на 3D-принтер, способных повредить устройство. На данную претензии автор OrcaSlicer-bambulab ответил, что несмотря на попытку приписать проекту создание особой скрытой возможности, использованный метод отправки команд продолжает поддерживаться прошивкой и применяться в официальном Linux-стеке для принтеров Bambu Lab, т.е. возможность обхода авторизации предусмотрена в прошивке штатно.

Дополнительно автор OrcaSlicer-bambulab предположил, что проектом OrcaSlicer дело не ограничится и Bambu Lab может на уровне прошивки нарушить совместимость с открытым модулем подачи материала BMCU (http://openbambu.org/) (Bambu Multi-Color Unit), который энтузиасты собирают своими руками из продаваемых AliExpress наборов деталей и используют для 4-цветной 3D-печати вместо продукта AMS Lite от Bambu Lab. В связи с этим началась работа над проектом по адаптации BMCU для 3D-принтеров, управляемых отрытой прошивкой Klipper (https://www.klipper3d.org/).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65299 (https://www.opennet.ru/opennews/art.shtml?num=65299)

https://www.opennet.ru/opennews/art.shtml?num=65299

Выпуск десктоп-окружения Trinity 14.1.6, ...

2026-04-27T06:13:36Z

Выпуск десктоп-окружения Trinity 14.1.6, продолжающего развитие KDE 3.5

После полугода разработки опубликован (https://www.trinitydesktop.org/newsentry.php?entry=2026.04.26) релиз десктоп-окружения Trinity R14.1.6 (https://www.trinitydesktop.org/), продолжающего развитие кодовой базы KDE 3.5.x и Qt 3. Бинарные пакеты в ближайшее время будут подготовлены для Ubuntu (https://wiki.trinitydesktop.org/UbuntuInstall), Debian (https://wiki.trinitydesktop.org/DebianInstall), RHEL/CentOS (https://wiki.trinitydesktop.org/RedHatInstall), Fedora (https://wiki.trinitydesktop.org/FedoraInstall), Arch (https://wiki.trinitydesktop.org/Arch_Trinity_Repository_Installation_Instructions), openSUSE (https://wiki.trinitydesktop.org/OpenSUSEInstall) и других дистрибутивов (https://wiki.trinitydesktop.org/Category:Documentation#Installing_from_a_Package_Manager).

Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства для корректного отображения интерфейса GTK-программ без нарушения единого стиля оформления.

Основные изменения (https://wiki.trinitydesktop.org/Release_Notes_For_R14.1.6):

- В браузере konqueror актуализирован (https://mirror.git.trinitydesktop.org/gitea/TDE/tdebase/pulls/677) список поисковых систем, убраны устаревшие поисковые сервисы и добавлены новые, такие как DuckDuckGo, StartPage, Qwant и Brave Search. Также добавлен поиск по wiki-сайтам и репозиториям пакетов различных дистрибутивов. В раздел меню "Go" добавлена кнопка "Desktop" для открытия директории с содержимым рабочего стола.

( )

- В программу для создания скриншотов ksnapshot добавлена поддержка перемещения изображений в другие приложения мышью в режиме drag&drop.

( )

- В конфигуратор системы ввода kxkb добавлены дополнительные настройки, влияющие на совместимость, и опции включения клавиш быстрого ввода знаков валют.

( )

- В оконном менеджере twin решены проблемы с прозрачностью и мозаичной компоновкой развёрнутых на весь экран окон.

( )

- В панель kicker добавлена опция для показа объёмных рамок.

(https://mirror.git.trinitydesktop.org/gitea/attachments/0045e1b6-6f3c-4e58-8200-9ec7f064d5b2)

- В утилиту kdf (KDiskFree) добавлена возможность работы с накопителями, размером больше 2TB.

- В интерфейс просмотра таблицы символов kcharselect добавлена прокрутка для упрощения навигации и улучшено перемещение с использованием клавиш управления курсором и PgUp/PgDown.

- В утилите tdeio_iso реализована поддержка формата сжатия xz.

- На использование сборочной системы CMake переведены krusader и kvirc.

- В коде разрешено использование стандарта C++17.

- Добавлена поддержка FFmpeg 8.0 и binutils 2.46.

- Для Debian реализована возможность сборки для архитектуры loong64.

- Добавлена поддержка дистрибутивов Fedora 44 и Mageia 10.

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65297 (https://www.opennet.ru/opennews/art.shtml?num=65297)

https://www.opennet.ru/opennews/art.shtml?num=65297

Microsoft рассматривает возможность ...

2026-04-26T21:13:33Z

Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora

Конан Кудо (Conan Kudo (https://github.com/Conan-Kudo)), член технического комитета проекта Fedora, на прошедшей (https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/thread/KBFX65Q2WNDQ7SKEU57SR7FPFC3U6WRZ) несколько дней назад online-встрече участников группы ELN (https://fedoraproject.org/wiki/SIGs/ELN) (Enterprise Linux Next) упомянул (https://meetbot.fedoraproject.org/meeting-1_matrix_fedoraproject-org/2026-04-21/eln.2026-04-21-16.00.log.html#:~:text=Azure%20Linux) желание компании Microsoft перевести дистрибутив Azure Linux (https://github.com/microsoft/azurelinux/) частично на пакетную базу Fedora Linux. Для достижения более высокой производительности в Azure Linux требуется наличие сборок пакетов для архитектуры x86_64-v3 и разработчики Microsoft намеревались создать форк пакетной базы Fedora, пересобранный для x86_64-v3.

В настоящее время пакеты в Fedora собираются для архитектуры x86_64-v1, но на стадии обсуждения находится план (https://fedoraproject.org/wiki/Changes/Build_x86-64-v3_Packages) предоставления в Fedora Linux 45 сборок пакетов для архитектуры x86_64-v3 в дополнение к сборкам x86_64-v1. Одним из трёх авторов инициативы является Кайл Господнетич (Kyle Gospodnetich (https://kylegospodneti.ch/)), инженер из Micrоsoft. Данный план ещё не утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux. Предполагается, что в случае одобрения плана можно будет совместить интересы обоих проектов, и организовать сотрудничество с Microsoft в области поддержки архитектуры x86_64-v3 в Fedora. В 2023 году на пакетную базу Fedora компания Amazon перевела (https://www.opennet.ru/opennews/art.shtml?num=58806) дистрибутив Amazon Linux.

Версии x86-64-v* определяют неофициальный способ идентификации срезов состояния микроархитектуры, охватывающих определённые наборы расширений. Третья версия микроархитектуры x86-64 (x86-64-v3) применяется в процессорах Intel примерно с 2015 года (начиная с Intel Haswell) и отличающейся наличием расширений AVX, AVX2, BMI2, FMA, LZCNT, MOVBE и SXSAVE. Версия x86-64-v2 охватывает расширения SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B, а версия x86-64-v4 - AVX512F, AVX512BW, AVX512CD, AVX512DQ и AVX512VL. В большинстве случаев прирост производительности при сборке с оптимизациями для архитектуры x86-64-v3 составляет примерно 1%, но в отдельных ситуациях в приложениях, выполняющих большие вычисления, может наблюдаться более заметное повышение производительности.

Дистрибутив Azure Linux предоставляет (https://www.opennet.ru/opennews/art.shtml?num=62369) небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах (https://ru.wikipedia.org/wiki/%D0%93%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%BD%D1%8B%D0%B5_%D0%B2%D1%8B%D1%87%D0%B8%D1%81%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F). Azure Linux применяется в качестве основы мини-дистрибутива WSLg (https://github.com/microsoft/wslg), в котором предоставляются (https://www.opennet.ru/opennews/art.shtml?num=55002) компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Для управления сервисами и загрузкой применяется системный менеджер systemd, а для управления пакетами поставляются пакетные менеджеры RPM и DNF.

Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree (https://www.opennet.ru/opennews/art.shtml?num=37750) и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий (https://packages.microsoft.com/azurelinux/3.0/), включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации (https://github.com/microsoft/azurelinux/blob/0321aecbfbf7f71a314067e89ddc2665b69588a7/toolkit/docs/formats/imageconfig.md). Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65296 (https://www.opennet.ru/opennews/art.shtml?num=65296)

https://www.opennet.ru/opennews/art.shtml?num=65296

Выпуск дистрибутива CachyOS 260426 ...

2026-04-26T19:13:33Z

Выпуск дистрибутива CachyOS 260426

Представлен (https://cachyos.org/blog/2604-april-release/) выпуск дистрибутива CachyOS 260426 (https://cachyos.org), основанного на пакетной базе Arch Linux, применяющего непрерывную модель доставки обновлений и пользующийся популярностью у любителей компьютерных игр. По данным (https://www.opennet.ru/opennews/art.shtml?num=65157) сервиса ProtonDB проект CachyOS является самым популярным дистрибутивом Linux (доля 21.1%), применяемым геймерами.

Дистрибутив примечателен включением оптимизаций для повышения производительности и предоставлением возможности установки различных сред рабочего стола. Помимо базового окружения на основе KDE, для установки доступны (https://cachyos.org/download/) GNOME, Xfce, i3WM, Wayfire, LXQT, OpenBox, Cinnamon, Cosmic, Niri, MangoWM, LXDE, Mate, Budgie, Qtile, Hyprland и Sway. Размер установочного iso-образа (https://sourceforge.net/projects/cachyos-arch/files/gui-installer/desktop/260426/) 3.1 ГБ. Отдельно поставляются сборки (https://cdn77.cachyos.org/ISO/handheld/260426/cachyos-handheld-linux-260426.iso) (2.8 ГБ) для носимых устройств (Handheld Edition) с интерфейсом в стиле GameMode и компонентами для любителей компьютерных игр.

В дистрибутиве по умолчанию включён планировщик задач BORE (https://github.com/firelzrd/bore-scheduler), оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно включены (https://wiki.cachyos.org/cachyos_basic/why_cachyos/) оптимизации PGO (Profile-Guided Optimization) или BOLT (https://github.com/facebookarchive/BOLT) (Binary Optimization and Layout Tool). В качестве файловых систем могут использоваться btrfs, zfs, ext4, xfs и f2fs.

Основные изменения:

- В инсталляторе задействован новый интерфейс управления пакетами Shelly (https://github.com/Seafoam-Labs/Shelly-ALPM), предоставляющий как интерфейс командной строки, так и GUI на базе GTK4 с поддержкой Wayland. Для управления пакетами используется библиотека libalpm (https://man.archlinux.org/man/libalpm.3). Помимо основных репозиториев поддерживаются AUR и возможна установка пакетов в формате Flatpak.

- После завершения установки обеспечено создание в ФС снапшота, предоставляющего возможность отката к начальному состоянию.

- В число предлагаемых для установки графических окружений добавлен композитный сервер MangoWM (https://mangowm.github.io/) c оболочкой DMS (https://github.com/AvengeMedia/DankMaterialShell). Удалена опция для установки десктоп-окружения UKUI (https://github.com/ukui/ukui-desktop-environment) (Ubuntu Kylin User Interface).

- В загрузчике GRUB включено по умолчанию определение других установленных операционных систем через пакет os-prober.

- В настойки, предоставляемые приложением CachyOS-Welcome (https://github.com/CachyOS/CachyOS-Welcome), добавлена возможность включения DNS-over-HTTPS (DoH), указания собственного DNS-сервера, установки эмулятора терминала wezterm (https://wezterm.org/) и включения сервиса dmemcg-booster (https://aur.archlinux.org/packages/dmemcg-booster) (вытесняет из видеопамяти в системную память данные фоновых приложений для увеличения видеопамяти, доступной для активной игры).

- Для устройств NVMe по умолчанию включён планировщик ввода/вывода "kyber", использующий раздельные очереди для операций записи и чтения, с приоритетной обработкой запросов на чтение.

- В утилиту chwd (https://github.com/CachyOS/chwd) (CachyOS Hardware Detection), применяемую для автоматического определения и установки драйверов и модулей ядра, добавлено определение устройств USB, игровой консоли Xbox ROG Ally и моделей CPU. На поддерживаемых CPU Intel обеспечена активация модуля intel-lpmd (https://github.com/intel/intel-lpmd) для снижения энергопотребления в состоянии простоя. Добавлен профиль оборудования для Wi-Fi Marvell AVASTAR 88W8897, применяемого в планшете Surface Pro 4. Разделены профили NVIDIA для ПК и ноутбуков. Разделены и обновлены профили для виртуальных машин.

- Добавлена поддержка использования датчиков отпечатков пальцев для авторизации выполнения операций через sudo.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65295 (https://www.opennet.ru/opennews/art.shtml?num=65295)

https://www.opennet.ru/opennews/art.shtml?num=65295

Из ветки ядра Linux 7.1 удалены старые ...

2026-04-26T06:43:34Z

Из ветки ядра Linux 7.1 удалены старые Ethernet-драйверы, busmouse, AX.25, ISDN и CAIF

Линус Торвальдс принял (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=64edfa65062dc4509ba75978116b2f6d392346f5) в состав ядра Linux 7.1, релиз которого ожидается в середине июня, набор патчей, исключающих из ядра Ethernet-драйверы, ранее рекомендованные (https://www.opennet.ru/opennews/art.shtml?num=65266) для удаления Эндрю Ланном (Andrew Lunn), сопровождающим сетевые драйверы в ядре Linux. Помимо изначально предложенных Ethernet-драйверов из ядра исключены подсистема ISDN (https://ru.wikipedia.org/wiki/ISDN), реализации протоколов AX.25 (https://ru.wikipedia.org/wiki/AX.25), CAIF (https://docs.kernel.org/networking/caif/linux_caif.html) и Bluetooth CMTP (Common ISDN Application Programming Interface Message Transport Protocol), а также драйверы yellowfin (Yellowfin Gigabit-NIC), hamachi (Hamachi GNIC-II), hamradio (Amateur Radio), inport и logibm (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=429e6c7f90d12a8551b3eaa9faca7cfaefd99b1d) (busmouse).

Удалённые Ethernet-драйверы:

- 3com 3c509, 3c515, 3c574 и 3c589 для серий 3Com EtherLinkIII, EtherLink XL "Corkscrew" и "RoadRunner".

- amd lance и nmclan для HP300, Motorola MVME147 SBC, AMD PCnet32 (AT1500, NE2100), Allied Telesis AT1500, HP J2405A, Alchemy Semi AU1X00.

- smsc smc9194 и smc91c92, использовались на ноутбуках DELL c док-станциями и в ethernet-картах Megahertz, Motorola, Ositech и Psion Dacom.

- fujitsu fmvj18x для Ethernet-карт с чипами Fujitsu FMV-J18x.

- 8390 AX88190, ultra и wd80x3 - для Ethernet-карт на чипах Asix AX88190, NS8390, SMC Ultra, SMC EtherEZ, WD8003 и WD8013, таких как Thomas Conrad и Kingston KNE-PCM.

В качестве причин удаления отмечается отсутствие активных сопровождающих на фоне увеличения числа выявляемых при помощи syzbot и AI-инструментов ошибок, которые никто не берётся исправлять и вся нагрузка нa устранение серьёзных пробоем ложится на сопровождающих основные сетевые подсистемы ядра. В списке рассылки разработчиков ядра уже несколько раз предпринимались попытки найти разработчиков, готовых взять в свои руки сопровождение проблемных устаревших драйверов, но желающих так и не нашлось.

Изначально предложенные для удаления Ethernet-драйверы 8390 pcnet, 3com 3c59x ("Vortex"), amd hplance, amd mvme147, cirrus cs89x0, cirrus mac89x0 и xircom xirc2ps (PCMCIA-карты Xircom) не были исключены из ядра, так как в ходе обсуждения нашлись пользователи, применяющие их в рабочих системах. Активные пользователи также имеются у оставшейся без сопровождения подсистемы Amateur radio (https://docs.kernel.org/networking/device_drivers/hamradio/index.html), но данную подсистему решено удалить из ядра, так как большая часть пользователей перешло на реализацию в пространстве пользователя.

Проблемы с сопровождением также отмечались у подсистемы NFC (https://docs.kernel.org/networking/nfc.html), но её решено не удалят, так как нашёлся доброволец, готовый помочь с устранением ошибок, выявляемых в NFC-драйверах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65292 (https://www.opennet.ru/opennews/art.shtml?num=65292)

https://www.opennet.ru/opennews/art.shtml?num=65292

В законопроект о верификации ...

2026-04-25T07:43:39Z

В законопроект о верификации возраста CO SB51 добавлено исключение для открытых проектов

Карл Ричелл (Carl Richell), основатель и руководитель компании System76, разрабатывающей дистрибутив Pop!_OS и среду рабочего стола COSMIC, добился (https://fosstodon.org/@carlrichell/116460505717380644) внесения поправок в законопроект CO SB51 (https://leg.colorado.gov/bills/SB26-051) (Colorado Senate Bill 51), в штате Колорадо вводящий требования по верификации возраста в операционных системах. В текст законопроекта добавлено исключение, выводящее из области действия будущего закона дистрибутивы и приложения, поставляемые под открытыми лицензиями.

В утверждённых профильным комитетом Палаты представителей штата Колорадо поправках указано, что под действие закона не подпадают поставщики операционных систем и разработчики, распространяющие свои программные продукты под лицензиями, разрешающими копирование, распространение и внесение изменений в код без наложения дополнительных условий, включая технические или юридические ограничения на установку модифицированных версий.

Законопроект верификации возраста в штате Колорадо утверждён сенатом и ожидает рассмотрения Палатой представителей и подписи губернатором. Законопроект аналогичен закону, уже действующему (https://www.opennet.ru/opennews/art.shtml?num=64890) в штате Калифорния и предписывающему добавление в операционные системы возможности для указания возраста пользователя на этапе регистрации учётной записи и предоставления приложениям программного интерфейса для определения возраста текущего пользователя.

В соответствии с требованиями закона, загруженные и запущенные приложения должны иметь возможность получать от операционной системы информацию о возрасте в 4 градациях: младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше. Разработчик приложения должен использовать полученную информацию о возрасте для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка.

Несколько дней назад для рассмотрения конгрессом США был внесён (https://www.congress.gov/bill/119th-congress/house-bill/8250/all-info) законопроект, нацеленный (https://www.govtrack.us/congress/bills/119/hr8250) на принятие аналогичного (https://www.govtrack.us/congress/bills/119/hr8250/text/ih) федерального закона о верификации возраста, действующего во всех штатах США.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65283 (https://www.opennet.ru/opennews/art.shtml?num=65283)

https://www.opennet.ru/opennews/art.shtml?num=65283

Выпуск языка программирования Nim ...

2026-04-25T07:13:33Z

Выпуск языка программирования Nim 2.2.10

Представлен (https://nim-lang.org/blog/2026/04/24/nim-2210.html) релиз языка системного программирования Nim 2.2.10 (https://nim-lang.org/). Nim – статически типизированный компилируемый язык программирования с синтаксисом, вдохновлённым Python, и возможностями метапрограммирования на уровне Lisp. Язык компилируется в C, C++ и JavaScript, обеспечивая производительность на уровне C при выразительности высокоуровневых языков. Код проекта поставляется (https://github.com/nim-lang/) под лицензией MIT.

Возможности Nim включают систему макросов, работающих на AST во время компиляции, поддержку обобщённого программирования с концептами, множественную диспетчеризацию (https://ru.wikipedia.org/wiki/%D0%9C%D1%83%D0%BB%D1%8C%D1%82%D0%B8%D0%BC%D0%B5%D1%82%D0%BE%D0%B4) (multiple dispatch), детерминированное управление памятью с поддержкой нескольких стратегий (ARC/ORC, refc, маркировка-и-подметание), встроенную поддержку async/await для асинхронного программирования и FFI для простой интеграции с C/C++/JavaScript. Nim позиционируется как системный язык, подходящий для разработки от встраиваемых систем до веб-серверов, с акцентом на эффективность, безопасность памяти и удобство разработки.

Изменения (https://github.com/nim-lang/Nim/blob/devel/changelog.md) в языке и компиляторе:

- Добавлен экспериментальный флаг "--experimental:typeBoundOps", реализующий RFC #380 и повышающий надёжность работы интерфейсов "hash", "$", "==" для именованных типов при непрямых импортах. Пример:

import std/hashes
type Obj* = object
x*, y*: int
z*: string

proc `==`*(a, b: Obj): bool = a.x == b.x and a.y == b.y
proc hash*(a: Obj): Hash = $!(hash(a.x) &! hash(a.y))

# main.nim
{.experimental: "typeBoundOps".}
from objs import Obj
import std/tables

var t: Table[Obj, int]
t[Obj(x: 3, y: 4, z: "debug")] = 34
echo t[Obj(x: 3, y: 4, z: "ignored")] # 34

- Исправлена ошибка, при которой "sizeof(T)" внутри шаблона "typedesc", вызываемого из when-выражения дженерика, приводил к ошибке компиляции.

Основные изменения, влияющие на обратную совместимость:

- По умолчанию активирован флаг "-d:nimPreviewFloatRoundtrip". Функции "system.addFloat" и оператор "$" теперь используют алгоритм Dragonbox для генерации минимальных строковых представлений чисел с плавающей точкой с гарантиями корректного округления и обратимости преобразования. Для возврата к старому поведению доступен флаг "-d:nimLegacySprintf".

- Параметр "default" в функции "tables.getOrDefault" переименован в "def" во избежание конфликтов с "system.default". Код, использующий именованные аргументы "getOrDefault(..., default = ...)", требует обновления.

- При включении флага "-d:nimPreviewCheckedClose" функция "close" в модуле "std/syncio" теперь генерирует исключение при ошибках ввода-вывода.

- Неизвестные предупреждения и подсказки компилятора теперь генерируют предупреждение "warnUnknownNotes" вместо ошибок.

- С флагом "-d:nimPreviewAsmSemSymbol" в операторах asm/emit добавлена проверка типов для символов в обратных кавычках.

- Блок "except:" без указания типа теперь вызывает панику при перехвате "Defect". Для обработки рекомендуется использовать "except Exception:" или "except Defect:". Для миграции предусмотрен флаг "--legacy:noPanicOnExcept".

- С флагом "-d:nimPreviewCStringComparisons" операторы сравнения ({, >, {=, >=) для "cstring" переключены с семантики ссылок на семантику значений, аналогично "==" и "!=".

- Модуль std/parsesql вынесен в отдельный nimble-пакет; для установки требуется "nimble install parsesql" или использование менеджера atlas.

- С флагом "-d:nimPreviewDuplicateModuleError" импорт двух модулей с одинаковым именем становится ошибкой компиляции. Для разрешения коллизий рекомендуется использовать алиасы: "import foo as foo1".

- Добавлена опция "--mangle:nim|cpp" для выбора стиля манглинга имён при включённой отладочной информации (по умолчанию - cpp).

- Второй параметр функций succ, pred, inc, dec в модуле system теперь принимает тип "SomeInteger" вместо "Ordinal".

- Операторы битовых сдвигов (shl, shr, ashr) применяют битовую маску к правому операнду в бэкендах C/C++/VM/JS.

- Добавлено предупреждение "--warning:ImplicitRangeConversion", обнаруживающее потенциально опасные неявные преобразования к диапазонам меньшего размера (например, int -> range[0..255]), способные вызвать панику времени выполнения.

Нововведения в стандартной библиотеке:

- В модуль "setutils" добавлены функции "symmetricDifference", оператор "-+-" и инлайн-версия "toggle" для эффективного вычисления симметрической разности битовых множеств.

- В "strutils.multiReplace" добавлена перегрузка для замены символов из набора за один проход - полезно для санитизации строк.

- В модуль std/files добавлены процедуры с поддержкой типа Path: getFilePermissions, setFilePermissions, tryRemoveFile, copyFile (с настраиваемым буфером и обработкой ссылок), copyFileWithPermissions, copyFileToDir. Экспортированы типы CopyFlag и FilePermission для тонкого контроля операций с файлами.

- Модуль std/dirs получил новые процедуры: copyDir и copyDirWithPermissions для рекурсивного копирования каталогов с сохранением атрибутов.

- В бэкендах refc, JS и VM реализована поддержка функции "system.setLenUninit" для типа "string", позволяющей изменять длину строки без инициализации новой памяти при расширении.

- В std/parseopt добавлена поддержка нескольких режимов парсинга аргументов командной строки через перечисление CliMode: Nim (по умолчанию), а также экспериментальные Lax и Gnu.

- В std/math оператор "^" теперь поддерживает вещественные числа в качестве показателя степени.

- Функции min, max и их аналоги из sequtils для openArray теперь принимают пользовательскую функцию сравнения.

- Оптимизирована реализация system.substr: при наличии используется copymem (обёртка над C memcpy).

- Функция system.newStringUninit помечена как свободная от побочных эффектов, что позволяет использовать её с флагом "--experimental:strictFuncs".

Инструменты и документация:

- В генератор документации добавлен флаг "--raw" для отключения рендеринга разметки в JSON-выводе.

- Добавлен флаг "--stdinfile" для задания имени файла при запуске кода из stdin (по умолчанию - stdinfile.nim).

- Флаг "--styleCheck:warning" позволяет трактовать нарушения стилевых проверок как предупреждения, а не ошибки.

- В руководство добавлена документация по прагме completeStruct.

Исправлено более 30 ошибок, в том числе:

- Ошибки работы new с ref object и генерации кода для кортежей в массивах;

- Проблемы с обработкой static-параметров и typedesc;

- Регрессии в системах управления памятью ORC/refc, включая выравнивание объектов и избыточные вызовы nimZeroMem;

- Ошибки парсинга в parseopt, parsecfg и генерации кода для бэкенда JavaScript;

- Утечки и падения при использовании замыканий, итераторов и больших объектов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65282 (https://www.opennet.ru/opennews/art.shtml?num=65282)

https://www.opennet.ru/opennews/art.shtml?num=65282

Уязвимость в PackageKit, позволяющая ...

2026-04-24T09:13:13Z

Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux

В PackageKit (https://github.com/PackageKit/PackageKit/), D-Bus-прослойке, унифицирующей операции управления пакетами, выявлена уязвимость (https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html) Pack2TheRoot (CVE-2026-41651 (https://github.com/PackageKit/PackageKit/security/advisories/GHSA-f55j-vvr9-69xv)), позволяющая непривилегированному пользователю установить или удалить произвольный пакет и получить root-доступ к системе. Проблема проявляется начиная с версии 1.0.2 (https://github.com/PackageKit/PackageKit/releases/tag/PACKAGEKIT_1_0_2) (2014 год) и устранена (https://github.com/PackageKit/PackageKit/commit/76cfb675fb31acc3ad5595d4380bfff56d2a8697) в выпуске PackageKit 1.3.5 (https://lists.freedesktop.org/archives/packagekit/2026-April/026513.html).

Проблему выявили исследователи из компании Deutsche Telekom пр помощи AI-модели Claude Opus. Подготовлен рабочий эксплоит, действующий в большинстве дистрибутивов с PackageKit, но его и детальную информацию об уязвимости планируют опубликовать позднее, чтобы дать пользователям время обновить свои системы. Возможность эксплуатации уязвимости продемонстрирована в
Ubuntu Desktop 18.04/24.04.4/26.04, Ubuntu Server 22.04 - 24.04,
Debian Desktop 13.4, RockyLinux Desktop 10.1 и Fedora 43 Desktop/Server. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian (https://security-tracker.debian.org/tracker/CVE-2026-41651), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-41651), SUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-41651), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-41651), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-41651), Arch (https://security.archlinux.org/package/packagekit),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=5206), FreeBSD (https://www.freshports.org/ports-mgmt/packagekit/).

Уязвимость вызвана (https://bugs.launchpad.net/bugs/cve/2026-41651) состоянием гонки при обработке флагов транзакций в фоновом процессе PackageKit, позволяющем подменить параметры операции в момент между прохождением авторизации и до запуска операции с пакетом. Атакующий может отправить D-Bus-запрос для выполнения операции, допустимой для непривилегированного пользователя, после чего следом отправить повторный D-Bus-запрос. Если повторный запрос придёт до фактического начала выполнения разрешённой операции, можно добиться переопределения флагов уже начатой транзакции и изменения прокэшированного состояния.

Таким образом, уже начатая разрешённая транзакция будет выполнена с не исходными параметрами, а с подменёнными параметрами, переданными во втором запросе. Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет, в том числе локально сохранённый атакующим. Установка пакета выполняется с правами root, поэтому для получения root-доступа в системе атакующий может добавить в пакет собственный scriptlet, автоматически запускаемый перед или после установки.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65277 (https://www.opennet.ru/opennews/art.shtml?num=65277)

https://www.opennet.ru/opennews/art.shtml?num=65277

В Firefox встроен движок блокирования ...

2026-04-24T07:13:12Z

В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave

В кодовую базу Firefox добавлен (https://shivankaul.com/blog/firefox-bundles-adblock-rust) движок блокирования рекламы adblock-rust (https://github.com/brave/adblock-rust), развиваемый (https://brave.com/privacy-updates/36-adblock-memory-reduction/) разработчиками браузера Brave. Переход Brave на adblock-rust позволил снизить потребление памяти на 75% по сравнению ранее используемым движком - после замены браузер Brave стал занимать на 45 МБ меньше памяти в конфигурации по умолчанию. Экономия достигается благодаря задействованию вместо структур Vecs и HashMaps формата FlatBuffers (https://www.opennet.ru/opennews/art.shtml?num=40017) для компактного хранения правил блокировки. Движок написан на языке Rust и распространяется (https://github.com/brave/adblock-rust) под лицензией MPL 2.0.

Аdblock-rust поддерживает блокировку сетевых запросов, косметические фильтры, подмену ресурсов на страницах, расширенный синтаксис правил uBlock Origin, блокировку по списку хостов в формате /etc/hosts и валидацию CSS для отключения правил косметический фильтров с некорректным синтаксисом CSS. Движок оформлен в виде подключаемой библиотеки, компилируемой в машинный код или представление WebAssembly. Подготовлены обвязки для языков Rust (https://crates.io/crates/adblock), JavaScript (https://npmjs.com/adblock-rs) и Python (https://pypi.org/project/adblock/).

В Firefox движок adblock-rust отключён по умолчанию, имеет статус экспериментальной возможности и может быть активирован (https://bugzilla.mozilla.org/show_bug.cgi?id=2013888) начиная с выпуска Firefox 149. Интерфейс пользователя и предопределённые списки блокировки пока отсутствуют. После интеграции в Firefox движок начал применяться (https://github.com/BrowserWorks/waterfox/issues/4182) проектом Waterfox (https://www.waterfoxproject.org/), который реализовал виджет для управления блокировкой и добавил настройки в конфигуратор, подключающие такие фильтры, как EasyList, EasyPrivacy, AdGuard Tracking Protection, EasyList Cookie.

Для включения встроенного блокировщика рекламы в Firefox на странице about:config следует выставить параметр "privacy.trackingprotection.content.protection.enabled = true", после чего добавить требуемые наборы фильтров. Например, для использования фильтров EasyList и EasyPrivacy на странице about:config необходимо добавить параметр:

privacy.trackingprotection.content.protection.test_list_urls = https://easylist.to/easylist/easylist.txt|https://easylist.to/easylist/easyprivacy.txt

Помимо этого для изменения доступны параметры, включающие отладочный режим пометки без блокирования:

privacy.trackingprotection.content.annotation.enabled
privacy.trackingprotection.content.annotation.test_list_urls

Источник: https://www.opennet.ru/opennews/art.shtml?num=65276 (https://www.opennet.ru/opennews/art.shtml?num=65276)

https://www.opennet.ru/opennews/art.shtml?num=65276

Доступен дистрибутив Ubuntu 26.04 ...

2026-04-23T16:43:13Z

Доступен дистрибутив Ubuntu 26.04

Опубликован (https://releases.ubuntu.com/26.04/) дистрибутив Ubuntu 26.04 (https://ubuntu.com/) "Resolute Raccoon", который отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых формируются в течение 15 лет (https://www.opennet.ru/opennews/art.shtml?num=64240) (5 лет - общедоступные, плюс ещё 10 лет для пользователей сервиса Ubuntu Pro). Установочные образы созданы для Ubuntu, Ubuntu Server (https://releases.ubuntu.com/26.04/), Lubuntu (http://cdimage.ubuntu.com/lubuntu/releases/26.04/), Kubuntu (http://cdimage.ubuntu.com/kubuntu/releases/26.04/), Ubuntu Budgie (http://cdimage.ubuntu.com/ubuntu-budgie/releases/26.04/), Ubuntu Studio (http://cdimage.ubuntu.com/ubuntustudio/releases/26.04/), Xubuntu (http://cdimage.ubuntu.com/xubuntu/releases/26.04/), UbuntuKylin (https://ubuntukylin.com/index-en.html) (редакция для Китая), Ubuntu Unity (http://cdimage.ubuntu.com/ubuntu-unity/releases/26.04/), Edubuntu (http://cdimage.ubuntu.com/edubuntu/releases/26.04/) и Ubuntu Cinnamon (http://cdimage.ubuntu.com/ubuntucinnamon/releases/26.04/).

Основные изменения (https://documentation.ubuntu.com/release-notes/26.04/changes-since-previous-interim/):

- Рабочий стол обновлён до выпуска GNOME 50 (https://www.opennet.ru/opennews/art.shtml?num=65015), в котором удалён код для поддержки X11, реализована новая система сохранения сеансов, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом. По умолчанию задействованы видеопроигрыватель Showtime (https://apps.gnome.org/Showtime/) (вместо Totem) и GNOME Resources (https://apps.gnome.org/Resources/) (вместо старого приложения для отслеживания потребления ресурсов).

- В конфигуратор в секцию "Privacy & Security" добавлена панель "Telemetry" для настройки системы накопления и отправки телеметрии Ubuntu Insights (https://github.com/ubuntu/ubuntu-insights), через которую реализован периодический сбор метрик. В панели можно проконтролировать статус отправки телеметрии и просмотреть отправляемые отчёты. Система является опциональной и включается по желанию пользователя в мастере начальной настройки (GNOME Initial Setup). При обновлении версии Ubuntu реализован вывод запроса активации телеметрии.

- Минимальные системные требования в Ubuntu Desktop 26.04 повышены (https://documentation.ubuntu.com/release-notes/26.04/) с 4 до 6 ГБ ОЗУ (прошлое изменение было в 2018 году, когда требования к ОЗУ увеличились с 1 до 4 ГБ). Для работы также требуется как минимум двухядерный CPU с частотой 2 GHz и 25 ГБ места на постоянном хранилище. Для Ubuntu Server 26.04 минимальные требования составляют 1.5 ГБ ОЗУ и 4 ГБ на накопителе.

- Повышена стабильность и производительность при использовании Wayland на системах с GPU NVIDIA. Улучшена поддержка датчиков отпечатков пальцев.

- Улучшена интеграция с рабочим столом приложений, поставляемых в формате snap.

- Расширены возможности по использованию полнодискового шифрования (https://www.opennet.ru/opennews/art.shtml?num=59728), не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module). Реализованы возможности для восстановления ключей, применяемых при полнодисковом шифровании на базе TPM. Добавлена поддержка добавления и удаления PIN-кодов или паролей после установки. В конфигуратор добавлена опция для перешифровки диска.

- Изменено оформление диалогов, выводимых системой вывода запросов полномочий, требующих у пользователя подтверждения доступа, например, при обращении из snap-пакетов к файлам в домашнем каталоге. Динамическое предоставление доступа организовано с использованием механизма AppArmor.

- Проведена работа по унификации установки и обновления пакетов. App Center рассматривается как единое приложение для управления всеми видами приложений, независимо от формата, в котором они поставляются.

- Предложен дополнительный стек виртуализации virt-hwe (Hardware Enablement), компоненты которого два раза в год будут обновляться до новых версий по мере формирования обновлений Ubuntu 26.04.x по аналогии с тем как в подобных обновлениях предлагаются новые версии ядра Linux. В состав набора virt-hwe включены пакеты qemu-hwe, libvirt-hwe, seabios-hwe и edk2-hwe. Для переключения между двумя вариантами пакетов для вирутализации в состав включена утилита ubuntu_virt_helper.

- В репозиторий добавлен пакет authd (https://github.com/canonical/authd) для настройки централизованной аутентификации через облачных провайдеров идентификации, таких как MS Entra ID и Google Cloud Identity.

- Обновлены версии пакетов, включая ядро Linux 7.0 (https://www.opennet.ru/opennews/art.shtml?num=65194), systemd 259.5, glibc 2.43, Chrony 4.8, LibreOffice 26.2.2, GStreamer 1.28, OpenSSL 3.5.6

- Обновлены пакеты для разработчиков: LLVM 21, OpenJDK 25, PHP 8.5.2, Rust 1.93.1, strace 6.19, PostgreSQL 18, MariaDB 11.8.6, MySQL 8.4.8, Valkey 9.0.3.

- Обновлены серверные пакеты: Samba 4.23, Exim 4.99.1, Postfix 3.10.6, unbound 1.24.2, multipath-tools 0.12.2, OpenLDAP 2.6.10, containerd 2.2.1, runc 1.4.0, Docker 29, libvirt 12.0.0, QEMU 10.2.1, EDK2 2025.11, Netplan 1.1.2, cloud-init 26.1, OpenStack 2026.1, HAProxy 3.2, Apache httpd 2.4.65, Nginx 1.28.2, OpenSSH 10.2.

- В утилите sudo-rs, поставляемой вместо sudo, включена по умолчанию индикация ввода пароля (появление звёздочек по мере набора). Для возвращения старого поведения в /etc/sudoers следует выставить настройку "Defaults !pwfeedback".

- Для пакетов на языке Rust реализована опциональная поддержка режим cargo-auditable, при котором к исполняемому файлу прикрепляются метаданные об используемых при компиляции версиях зависимостей. При обнаружении уязвимости в зависимости подобная информация позволяет отследить подверженность данной уязвимости используемых исполняемых файлов. Поддержка аудита реализована для пакетов alacritty,
bat, du-dust, eza, fd-find, hyperfine, ripgrep, sd и sudo-rs.

- В состав включены компилятор и библиотеки DPC++ (https://www.intel.com/content/www/us/en/developer/tools/oneapi/data-parallel-c-plus-plus.html) (Data Parallel C++) для создания гетерогенных приложений на языке SYCL (https://www.khronos.org/sycl/) (надстройка над C++).

- В библиотеке libfprint (https://gitlab.freedesktop.org/libfprint/libfprint/) расширена поддержка датчиков отпечатков пальцев и реализована поддержка протокола SDCP (https://github.com/microsoft/SecureDeviceConnectionProtocol) (Secure Device Connection Protocol).

- В ядре cgroupfs по умолчанию теперь монтируется с опциями "nsdelegate, memory_recursiveprot, memory_hugetlb_accounting". В systemd удалена поддержка cgroup v1 и переведены в разряд устаревших скрипты сервисов System V (прослойка для совместимости с подобными скриптами пока сохранена).

- По умолчанию обеспечено монтирование внешних носителей в каталог /run/media вместо /media.

- Удалены сервисы blkmapd и nfs-blkmap, применявшиеся для NFS.

- Прекращена поддержка систем IBM Z z14 (LinuxONE II) и более ранних поколений.

- В репозиторий добавлены пакеты с СУБД DocumentDB 0.108 (https://www.opennet.ru/opennews/art.shtml?num=62621), открытой компанией Microsoft. В репозитории "main" обеспечена полная поддержка СУБД MariaDB. Прекращена сборка пакетов с PostgreSQL для архитектуры i386.

- В Kerberos добавлена поддержка загрузки файлов конфигурации из каталога "/etc/krb5.conf.d".

- Ubuntu MATE 26.04 (https://ubuntu-mate.org/) и Ubuntu Unity 26.04 (https://ubuntuunity.org/) решено (https://www.opennet.ru/opennews/art.shtml?num=64412) не присваивать статус LTS. Для Ubuntu MATE 26.04 сборки не сформированы (http://cdimage.ubuntu.com/ubuntu-mate/releases/26.04/). В конце марта лидер Ubuntu MATE объявил (https://www.opennet.ru/opennews/art.shtml?num=65101) об уходе из проекта.

- В Kubuntu (https://wiki.ubuntu.com/ResoluteRaccoon/Kubuntu) задействованы выпуски KDE Plasma 6.6 (https://www.opennet.ru/opennews/art.shtml?num=64812), KDE Gear 25.12.3 (https://www.opennet.ru/opennews/art.shtml?num=64413), Qt 6.10 и KDE Frameworks 6.24.0. По умолчанию используется сеанс KDE на основе Wayland. В репозитории остаётся пакет "plasma-session-x11" для создания сеанса на базе X-сервера, но он больше не поддерживается командой Kubuntu.

- В Edubuntu (https://www.edubuntu.org/) полностью переписаны инсталлятор и меню администратора, которые теперь включают два бэкенда (GTK4 и Qt6), выбираемых в зависимости от типа рабочего стола, а также содержат модуль Cockpit для web-интерфейса. В поставку включены программа для чтения электронных книг Foliate, rss-ридер Paperboy, видеопроигрыватель GNOME Showtime (вместо Totem), Arduino IDE, Raspberry Pi Imager, редактор химических структур GChemPaint, система заметок GNOME Notes (вместо Gnote). Удалены завязанные на GTK2 пакеты, такие как chemtool.

- В Ubuntu Studio (https://ubuntustudio.org/) предложены три переключаемые варианта компоновки рабочего стола - классический с верхней панелью, в стиле macOS с глобальным меню и в стиле Windows 10 с нижним меню. Инсталлятор и система настройки звука переписаны на Python с раздельными бэкендами для GTK4 и Qt6. В конфигуратор звука добавлена поддержка FFADO для устройств FireWire и возможности для настройки частоты дискретизации и размера буферов для PipeWire.
Добавлен звуковой плагин Loopino (LV2/CLAP/VST2) для загрузки, обрезки и зацикливания звуковых файлов. Добавлен апплет для изменения настроек PipeWire из системного лотка. Добавлен драйвер snd-hdspe для звуковых карт AIO, AIO Pro, RME HDSPe MADI, AES и RayDAT. Добавлен пакет DistroAV для передачи звука и видео в OBS Studio, используя технологию NDI. Обновлены версии пакетов OBS Studio 32.1.0, FreeShow 1.5.9, QPrompt 2.0.1,
RaySession 0.17.4,
Patchance 1.3.2,
Geonkick 3.7.0,
BChoppr 1.12.8,
harpwise 6.34.4 и
blender 5.0.1.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65274 (https://www.opennet.ru/opennews/art.shtml?num=65274)

https://www.opennet.ru/opennews/art.shtml?num=65274

Уязвимость в API IndexedDB, позволяющая ...

2026-04-23T12:43:12Z

Уязвимость в API IndexedDB, позволяющая идентифицировать пользователей Firefox и Tor Browser

В браузерном движке Gecko выявлена уязвимость (https://fingerprint.com/blog/firefox-tor-indexeddb-privacy-vulnerability/) (CVE-2026-6770), позволяющая формировать уникальные идентификаторы для отслеживания открытия из одного браузера разных сайтов. Проблема проявляется во всех браузерах на основе Firefox, включая Tor Browser, и работает даже в режиме приватного просмотра. Идентификаторы действуют в рамках текущего процесса браузера и сбрасываются после перезапуска браузера. Уязвимость устранена в выпусках Firefox 150/140.10.0 (https://www.opennet.ru/opennews/art.shtml?num=65260) и Tor Browser 15.0.10.

Для формирования идентификатора достаточно на разных сайтах создать через API IndexedDВ одну и ту же последовательность БД, после чего оценить порядок следования этих БД в результате вызова метода indexedDB.databases(). Для разных экземпляров браузера порядок перечисления БД будет отличаться, но для одного - повторяться.
Подобный порядок сохраняется до перезапуска браузера и воспроизводится независимо от открываемого сайта.

Например, после создания БД "a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,r" в одном экземпляре Firefox метод indexedDB.databases() всегда будет возвращать
"g,c,p,a,l,f,n,r,d,j,b,o,h,e,m,i,k", а в другом экземпляре - "j,b,o,h,e,m,i,k,f,n,r,d,g,c,p,a,l". При создании 16 БД можно получить около 44 бит энтропии для идентификации. На генерацию идентификатора не влияет очистка локальных браузерных хранилищ и обновление цепочки Tor-узлов кнопкой "New Identity" в Tor Browser. Метод также может использоваться для идентификации пользователей в окне приватного просмотра.

Уязвимость вызвана особенностью реализации API IndexedDВ (https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API), на порядок следования БД в которой влияет раскладка внутренних структур, специфичная для каждого экземпляра рабочего процесса браузера. Порядок элементов в списке БД, возвращаемом методом indexedDB.databases(), зависит не от имён БД или порядка создания БД, а от размещения в глобальной хэш-таблице внутренних UUID-хешей, ассоциированных с именами файлов, в которых хранятся БД на диске.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65272 (https://www.opennet.ru/opennews/art.shtml?num=65272)

https://www.opennet.ru/opennews/art.shtml?num=65272

Выпуск эмулятора QEMU 11.0.0 ...

2026-04-23T10:43:18Z

Выпуск эмулятора QEMU 11.0.0

Представлен (https://lists.nongnu.org/archive/html/qemu-devel/2026-04/msg04075.html) релиз проекта QEMU 11.0.0 (http://wiki.qemu.org/Download). В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM в Linux, или модуля NVMM в NetBSD.

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 11.0.0 внесено более 2500 изменений от 237 разработчиков.

Ключевые улучшения (http://wiki.qemu.org/ChangeLog/11.0), добавленные в QEMU 11.0:

- Удалена поддержка 32-разрядных хост-систем, которая была объявлена устаревшей в апреле прошлого года в QEMU 10.0. В декабрьском выпуске 10.2 в генераторе кода TCG (Tiny Code Generator) была прекращена поддержка платформ mips32 и ppc32, а в выпуске QEMU 11.0 удалены оставшиеся платформы i386, arm, ppc и riscv32, а также проведена чистка кодовой базы и сборочной системы от компонентов для работы на 32-разрядных хостах.

- Реализован (https://github.com/qemu/qemu/commit/8155bca60d436e6422ee08be3b93c952540e45da) ускоритель виртуализации "nitro" ("-accel nitor") и новый тип эмулируемых систем "nitro", позволяющий (https://github.com/qemu/qemu/commit/2855cee7c83cb85603805a1a4f27435ed9e4cac5) запускать в QEMU изолированные анклавы на базе технологии конфиденциальных вычислений AWS Nitro Enclave (https://aws.amazon.com/ec2/nitro/nitro-enclaves/), например, для локального тестирования в QEMU окружений Nitro Enclave. В AWS EC2 технология Nitro Enclave позволяет запускать в виртуальной машине вложенные изолированные анклавы для работы с конфиденциальными данными, выделяя им часть своих ресурсов.

- Улучшена поддержка ускорителей виртуализации MSHV (https://fosdem.org/2026/events/attachments/BFQ8XA-introducing-mshv-accelerator-in-qemu/slides/266752/mshv_qemu_2gzauv1.pdf) (Microsoft Hypervisor) и WHPX (Microsoft Windows Hypervisor Platform Extensions).

- При использовании гипервизора KVM ("-accel kvm") предоставлена поддержка виртуализации расширения Intel CET (Control-flow Enforcement Technology) для применения в виртуальных машинах защиты от эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). Также добавлена поддержка перезагрузки конфиденциальных виртуальных машин, использующих для шифрования памяти расширения AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) и Intel TDX (Trust Domain Extensions).

- В устройство VirtIO-GPU (https://www.qemu.org/docs/master/system/devices/virtio-gpu.html), обеспечивающее работу виртуального GPU, добавлена возможность выставления отличающихся разрешений экрана для разных устройств вывода.

- В VirtIO-GPU добавлена (https://github.com/qemu/qemu/commit/893598209fde32ca5f013a012b120af3a458bcae) поддержка контекстов DRM (Direct Rendering Manager native context), позволяющих повысить производительность работы с виртуальным GPU из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU. Поддержка контекстов DRM включается при использовании нового устройства virtio-gpu-gl с опцией "drm_native_context=on".
В отличие от контекстов Virgl и Venus, работающих на уровне API OpenGL и Vulkan, контекст DRM реализован на уровне UAPI ядра Linux.

- Добавлена возможность использования языка C++ для разработки плагинов к генератору кода TCG (Tiny Code Generator).

- В блочный драйвер NFS добавлена (https://github.com/qemu/qemu/commit/37d10da587d5d241520c502706192da5806cc370) поддержка сборки с библиотекой libnfs 6 (https://github.com/sahlberg/libnfs/).

- В блочный драйвер curl добавлена опция "force-range" для принудительного использования HTTP-заголовка "Range" при загрузке изображений без предварительной проверки его поддержки отдельным запросом с заголовком HEAD.

- В блочном драйвере FUSE отключена обработка операций экспорта в синхронном режиме, приводивших к блокировке запуска виртуальной машины до окончания обработки других FUSE-запросов. Добавлена возможность использования нескольких потоков ввода/вывода (iothread) при выполнении экспорта в FUSE.

- В эмулятор архитектуры x86 добавлена поддержка CPU Intel Diamond Rapids ("Xeon 7").

- В эмулятор архитектуры ARM добавлена процессорных расширений FEAT_ASID2 и FEAT_E2H0. В генераторе кода TCG реализована эмуляция расширений SME (Scalable Matrix Extension).

- В эмулятор архитектуры HPPA добавлена поддержка эмуляции 64-разрядных CPU c 40- и 44-разрядным адресным пространством.
При помощи SeaBIOS-hppa 24 (https://qemu.googlesource.com/seabios-hppa/) обеспечена инициализация PCI-контроллера Astro, позволяющая использовать PCI-видеокарты на 64-рядных системах.

- В эмуляторе архитектуры LoongArch появилась возможность миграции PMU (Performance Monitoring Unit) при использовании гипервизора KVM. В генераторе кода TCG реализована эмуляция расширений
LA v1.1, sc.q и llacq/screl, а также инструкций FRECIP и DRECIP для вычисления обратных значений.

- В эмулятор архитектуры PowerPC добавлена поддержка снапршотов.

- В эмуляторе архитектуры RISC-V реализована поддержка CPU MIPS P8700 и расширений набора команд Zilsd, Zclsd, ZALASR и Smpmpmt.

- В эмуляторе архитектуры s390 появилась поддержка загрузки с устройств virtio-blk-pci и реализована эмуляции инструкции "DIVIDE TO INTEGER".

- Принято исправление (https://github.com/qemu/qemu/commit/2ae361ef1d7d526b07ff88d854552e2d009bfb1b), в 50-80 раз сокращающее (https://www.opennet.ru/opennews/art.shtml?num=64834) задержки при работе fdmon (file descriptor monitoring) в режиме "aio=io_uring" и нахождении системы в состоянии простоя (idle).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65269 (https://www.opennet.ru/opennews/art.shtml?num=65269)

https://www.opennet.ru/opennews/art.shtml?num=65269

Проект WSL9x для запуска современных ...

2026-04-23T06:43:12Z

Проект WSL9x для запуска современных Linux-ядер в окружении Windows 95

Не связанный с компанией Microsoft энтузиаст реализовал (https://social.hails.org/@hailey/116446826733136456) инструментарий WSL9x (https://codeberg.org/hails/wsl9x) (Windows 9x Subsystem for Linux), позволяющий запускать современные ядра Linux внутри ядра Windows 95/98/ME. Проект даёт возможность в одной системе бок о бок выполнять приложения для Linux и Windows 9x, по аналогии с тем как прослойка WSL позволяет работать с Linux-приложениями в современных версиях Windows. Поддерживается запуск только консольных Linux-программ. Код компонентов WSL9x написан на Си и ассемблере и распространяется (https://codeberg.org/hails/wsl9x) под лицензией GPLv3.

В отличие от WSL2 в WSL9x не применяется виртуализация и ядро Linux выполняется в нулевом кольце защиты параллельно с ядром Windows, что позволяет использовать WSL9x на системах без поддержки аппаратной виртуализации, даже c CPU i486. В системе применяется модифицированное ядро Linux 6.19, собранное для работы в режиме UML (https://en.wikipedia.org/wiki/User-mode_Linux) (User-mode Linux), предназначенном для запуска ядра как пользовательского процесса. Обращение к POSIX API в UML-слое трансляции заменено на вызов API ядра Windows 9x.

В Windows загружается подготовленный проектом VxD-драйвер (https://en.wikipedia.org/wiki/VxD), отвечающий за инициализацию подсистемы WSL9x, загрузку и размещение ядра Linux в памяти, диспетчеризацию прерываний, цикличную передачу управления ядру Linux в режиме совместной многозадачности и обработку адресованных Linux-ядру событий из пространства пользователя, таких как выполнение системных вызовов и обращение к невыделенным страницам памяти (page faults).

Для пользователей предлагается утилита wsl.com, оформленная в виде 16-разрядного DOS-приложения и позволяющая использовать командную строку MS-DOS для запуска Linux-программ. Утилита обеспечивает передачу событий ввода и симулирует функциональность консоли для отображения вывода с поддержкой ANSI escape-кодов.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65270 (https://www.opennet.ru/opennews/art.shtml?num=65270)

https://www.opennet.ru/opennews/art.shtml?num=65270

Инициатива по удалению из ядра ...

2026-04-22T10:13:12Z

Инициатива по удалению из ядра старых Ethernet-драйверов из-за ошибок, выявляемых через AI

Эндрю Ланн (Andrew Lunn), мэйнтейнер 9 подсистем (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/MAINTAINERS#:~:text=Lunn), отвечающий за сетевые драйверы в ядре Linux, опубликовал (https://lore.kernel.org/lkml/20260421-v7-0-0-net-next-driver-removal-v1-v1-0-69517c689d1f@lunn.ch/) набор патчей, удаляющих из ядра все драйверы для Ethernet-адаптеров с интерфейсами ISA и PCMCIA. Отмечается, что ранее старые драйверы не требовали особых усилий по сопровождению, но с появлением продвинутых AI-инструментов и систем fuzzing-тестирования, используемых новичками для выявления ошибок в ядре, нагрузка на сопровождающих увеличилась.

Эндрю не видит особого смысла в исправлении старых драйверов, которыми, вероятно, уже никто не пользуется, и предлагает удалить их из ядра. В представленном для рецензирования наборе патчей удалено 18 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускаемых до 2002 года. В случае одобрения Линуса Торвальдса удаление может быть произведено в ядре Linux 7.2, намеченном на середину августа.

Предложенные для удаления драйверы:

- 3com 3c509, 3c515, 3c574, 3c589 и 3c59x для серий 3Com EtherLinkIII, EtherLink XL "Corkscrew", "RoadRunner" и "Vortex".

- amd hplance, mvme147, 7990 lance и nmclan для HP300,
Motorola MVME147 SBC, AMD PCnet32 (AT1500, NE2100), Allied Telesis AT1500, HP J2405A, Alchemy Semi AU1X00.

- smsc smc9194 и smc91c92, использовались на ноутбуках DELL c док-станциями и в ethernet-картах Megahertz, Motorola, Ositech и Psion Dacom.

- cirrus cs89x0 и mac89x0 для карт с чипами Crystal Semiconductor (Cirrus Logic) CS89[02]0, которые, например, использовались в платах iMX21ADS, компьютерах Macintosh и интегрировались в CPU EP93xx.

- fujitsu fmvj18x для Ethernet-карт с чипами Fujitsu FMV-J18x.

- xircom xirc2ps для выпускавшихся в конце 1990-х 16-разрядных PCMCIA-карт Xircom.

- 8390 AX88190, pcnet, ultra и wd80x3 - для NE2000-совместимых Ethernet-карт на чипах Asix AX88190, NS8390, SMC Ultra, SMC EtherEZ, WD8003 и WD8013, таких как D-Link DE-650, Linksys EthernetCard, Accton EN2212, RPTI EP400, PreMax PE-200, Thomas
Conrad и Kingston KNE-PCM.

После публикации патчей к обсуждению подключилось несколько пользователей, которые заявили о наличии в своих инфраструктурах оборудования, использующего предложенные к удалению драйверы. Например, до сих пор используются Motorola MVME147 (https://lore.kernel.org/lkml/CAFr9PXk=3md2oVDqFbmQLNiVMkRr32pHMPNSeskdTpM-1huB=A@mail.gmail.com/), mac89x0 (https://lore.kernel.org/lkml/CAFr9PXk9GMmPWeaURvgQySwAHtFDxRH7B43u9mG1P_v-oJmzNA@mail.gmail.com/) и 3com 3C905-B (https://lore.kernel.org/lkml/71d319ef-cd49-e8a8-70dd-cf0763ac6305@winds.org/). Также упоминается (https://lore.kernel.org/lkml/0856a42d87b62d3ab7890c348b1fe9c83e630784.camel@physik.fu-berlin.de/), что удаляемые драйверы могут потребоваться для ретро-систем Alpha, SPARC, PA-RISC и 68000.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65266 (https://www.opennet.ru/opennews/art.shtml?num=65266)

https://www.opennet.ru/opennews/art.shtml?num=65266

Релиз Firefox 150 с устранением 359 ...

2026-04-21T16:13:12Z

Релиз Firefox 150 с устранением 359 уязвимостей

Состоялся (https://www.mozilla.org/en-US/firefox/150.0/releasenotes/) релиз web-браузера Firefox 150 (https://www.mozilla.org/en-US/firefox/150.0/releasenotes/) и сформированы обновления прошлых веток (https://www.mozilla.org/en-US/firefox/organizations/all/) с длительным сроком поддержки - 140.10.0 (https://www.mozilla.org/en-US/firefox/140.10.0/releasenotes/) и 115.35.0 (https://www.mozilla.org/en-US/firefox/115.35.0/releasenotes/). На стадию бета-тестирования (https://firefox.com/channel) в ближайшие часы будет переведена (https://www.mozilla.org/en-US/firefox/151.0beta/releasenotes/) ветка Firefox 151, релиз которой намечен на 19 мая.

Основные новшества в Firefox 150 (1 (https://www.mozilla.org/en-US/firefox/150.0/releasenotes/), 2 (https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/150), 3 (https://bugzilla.mozilla.org/buglist.cgi?query_format=advanced&resolution=FIXED&target_milestone=150%20Branch&limit=0&short_desc_type=anywords&short_desc=Allow Enable Add Drop Support Implement)):

- Устранено 359 уязвимостей (https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/) (56 уязвимостей собрано под CVE-2026-6784, 155 под CVE-2026-6785, 110 под CVE-2026-6786, а остальные под отдельными CVE). 345 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Большая часть проблем (https://www.opennet.ru/opennews/art.shtml?num=64760) выявлена (https://www.opennet.ru/opennews/art.shtml?num=65165) при проверке кода AI-моделями.

- В контекстное меню, показываемое при клике правой кнопкой мыши на ссылке, добавлена кнопка для быстрого открытия содержимого ссылки в режиме Split View (https://support.mozilla.org/kb/split-view-firefox), позволяющем в одном окне бок о бок просмотреть содержимое двух вкладок. После вызова режима Split View из контекстного меню вкладки добавлена возможность выбора второй вкладки через поиск по открытым вкладкам. В контекстное меню вкладки также добавлена кнопка "Reverse Tabs", позволяющая поменять местами вкладки в левом и правом блоке Split View.

( )

- Предложена служебная страница about:translations, предоставляющая отдельный интерфейс для перевода текста с одного языка на другой. Перевод осуществляется в режиме реального времени по мере набора.
Для быстрого перехода на данную страницу можно использовать подсказку, появляющуюся при начале набора слова "translate" в адресной строке.

( )

- На платформе Linux задействован штатный интерфейс выбора Emoji, предоставляемый библиотекой GTK. Интерфейс вызывается при двойном нажатии Ctrl+"." в формах ввода текста.

( )

- Обеспечено формирование rpm-пакетов для Red Hat Enterprise Linux, Fedora, openSUSE и других дистрибутивов, использующих пакетный менеджер RPM.

- Предоставлена возможность передачи через буфер обмена информации сразу о нескольких вкладках: если выделить в панели несколько вкладок и выбрать в контекстном меню "Share → Copy X links", то в буфер обмена будут помещены заголовки и URL выделенных вкладок.

- Во встроенный PDF-просмотрщик (https://support.mozilla.org/kb/view-pdf-files-firefox-or-choose-another-viewer) добавлены функции для изменения порядка, копирования, вставки, удаления и экспорта страниц из PDF-документа.

- Для всех пользователей включено применение спецификации LNA (Local Network Access) для ограничения обращений к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. Для обращения к внутренним ресурсам пользователь должен предоставить web-приложению специальные полномочия, так как подобная активность используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети. Ранее подобная защита действовала только при включении режима усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict).

- В сборках для Windows реализована новая система управления профилями (https://support.mozilla.org/kb/profile-management), возможность сохранения профиля в файл и поддержка использования Firefox для обособленных web-приложений.

- В настройки добавлена опция (Settings > Tabs > Drag tabs), позволяющая отключить создания групп вкладок при перетаскивании мыши одной вкладки на другую для тех кто предпочитает управлять группировкой только через контекстно меню.

- Интегрированный бесплатный VPN-сервис Firefox VPN (https://support.mozilla.org/kb/built-in-vpn) теперь доступен пользователям из Канады, помимо пользователей США, Франции, Германии и Великобритании. Сервис позволяет обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.

- В инструментах для web-разработчиков в панель CSS добавлена (https://firefox-source-docs.mozilla.org/devtools-user/page_inspector/how_to/examine_and_edit_css/index.html#viewing-common-pseudo-classes) отдельная секция с псевдоклассами, специфичными для элементов, такими как псевдокласс ":open", применяемый для раскрываемых элементов типа ‹dialog›, и ":visited" - применяемый для элементов ‹a› и ‹area›.

( )

В панели для отслеживания сетевой активности реализована индикация защищённых соединений, установленных с использованием сертификатов, выданных удостоверяющими центрами, отсутствующими в базе корневых сертификатов Mozilla.

- Реализован API ariaNotify (https://developer.mozilla.org/en-US/docs/Web/API/Document/ariaNotify), позволяющий в web-приложениях для людей с проблемами со зрением выводить уведомления через экранный ридер.

- Для элемента ‹media> реализована поддержка псевдо-классов (":playing", ":paused" и т.п.) для изменения стиля в зависимости от состояния воспроизведения.

- Добавлен метод highlightsFromPoint() (https://developer.mozilla.org/docs/Web/API/HighlightRegistry/highlightsFromPoint), возвращающий для указанной позиции на странице массив объектов HighlightHitResult с информацией о содержимом, выделенном при помощи CSS Custom Highlight API (https://developer.mozilla.org/en-US/docs/Web/API/CSS_Custom_Highlight_API).

- В CSS добавлена поддержка применения функции light-dark() (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Values/color_value/light-dark) к изображениям для адаптации к настройкам светлого или тёмного режима. В функции можно указать два изображения, которые будут выбраны в зависимости от светлого или тёмного режима.

light-dark(
url("light-icon.png"),
url("dark-icon.png")
);

- В CSS-функции color-mix() (https://developer.mozilla.org/en-US/docs/Web/CSS/color_value/color-mix) появилась поддержка смешивания произвольного числа значений цветов (ранее допускалось только смешивание двух цветов).

color-mix(in oklab, teal 20%, olive 30%, blue 50%)

- Для изображений, загружаемых по мере прокрутки страницы ("loading=lazy"), варианты которых определены через свойство "srcset", реализована (https://ericportis.com/posts/2023/auto-sizes-pretty-much-requires-width-and-height/) поддержка атрибута "sizes=auto". Данное значение позволяет браузеру автоматически выбирать подходящее изображение из набора "srcset" в зависимости от ширины доступной для элемента "img" области.

- В версии Firefox для Android (https://www.firefox.com/en-US/firefox/android/150.0/releasenotes/) проведена работа по
повышению стабильности, плавности и отзывчивости при навигации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65260 (https://www.opennet.ru/opennews/art.shtml?num=65260)

https://www.opennet.ru/opennews/art.shtml?num=65260

Выпуск системы управления ...

2026-04-21T09:44:10Z

Выпуск системы управления исходными текстами Git 2.54

Представлен (https://lore.kernel.org/lkml/xmqqa4uxsjrs.fsf@gitster.g/) релиз распределенной системы управления исходными текстами Git 2.54 (http://git-scm.com/). Git отличается высокой производительностью и предоставляет средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям "задним числом" используются неявное хеширование всей предыдущей истории в каждом коммите, а также удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. Код Git распространяется (https://github.com/git/git/) под лицензией GPLv2+.

По сравнению с прошлым выпуском в новую версию принято 770 изменений, подготовленных при участии 137 разработчиков (66 впервые приняли участие в разработке Git). Основные (https://about.gitlab.com/blog/whats-new-in-git-2-54-0/) новшества (https://github.blog/open-source/git/highlights-from-git-2-54/):

- Реализована команда "git history (https://git-scm.com/docs/git-history/2.54.0)", предоставляющая экспериментальные возможности для перезаписи истории изменений, более простые и безопасные (https://www.opennet.ru/opennews/art.shtml?num=63336) в использовании, чем перебазирование коммитов командой "git rebase". Предоставляются две операции:

"git history reword ‹commit›" для перезаписи сообщения в указанном коммите без изменения рабочего дерева и индекса (кроме примечания, остальное остаётся нетронутым). Например, для исправления опечатки.
"git history split ‹commit›" для интерактивного разделения указанного коммита на два разных коммита с перемещением выбранных частей из исходного коммита в дополнительный коммит.

В будущих выпусках ожидается добавление дополнительных команд:
"git history fixup" для исправления коммита, "git history drop" для удаления коммита, "git history reorder" для изменения порядка следования коммитов и "git history squash" для объединения коммитов.

- Реализован новый метод определения обработчиков (hook (https://git-scm.com/docs/githooks)) в файлах конфигурации. Вместо размещения скриптов с обработчиками в каталоге ".git/hooks" в каждом репозитории, команды для вызова обработчиков теперь можно задавать непосредственно в файлах конфигурации. Настройки можно привязывать к репозиторию или указывать в файлах конфигурации, действующих для всех репозиториев (/etc/gitconfig) или репозиториев пользователя (~/.gitconfig). Возможна привязка нескольких обработчиков к одному событию. Скрипты из ".git/hooks" по-прежнему продолжают вызываться, но запускаются после обработчиков из файлов кофигурации. Для просмотра списка обработчиков следует использовать команду "git hook list", а для выборочного отключения вызова обработчиков - настройку "hook.‹name›.enabled = false".

[hook "linter"]
event = pre-commit
command = ~/bin/linter --cpp20

[hook "no-leaks"]
event = pre-commit
command = ~/bin/leak-detector

$ git hook list pre-commit
global linter ~/bin/linter --cpp20
local no-leaks ~/bin/leak-detector

- В команде "git maintenance (https://git-scm.com/docs/git-maintenance)" по умолчанию задействована стратегия "geometric" ("git config set maintenance.strategy geometric"), позволяющая сократить время обслуживания крупных монорепозиториев. По сравнению с ранее применяемой стратегией, использующей логику как в команде "git gc", новая стратегия избегает переупаковки всех объектов и исключает излишне ресурсоёмкие операции, такие как слияние всех pack-файлов (по возможности объединение производится частями и без чистки удалённых объектов).

- База данных объектов (ODB) и связанные с ней API переведены на новую архитектуру, основанную на использовании подключаемых бэкендов. Проведённая реструктуризация абстрагирует формат хранения объектов и
в дальнейшем позволит реализовать такие возможности, как альтернативные бэкенды и форматы объектов, например, для более эффективного хранения крупных бинарных файлов или для оптимизации работы крупных git-хостингов.

- В команде "git repo structure (https://git-scm.com/docs/git-repo)", выводящей сведения о структуре репозитория, обеспечено отображение не только общего размера, но и показа самых крупных объектов каждого типа, что позволяет обойтись при оценке размера без использования сторонней утилиты git-sizer (https://github.com/github/git-sizer).

$ git repo structure
...
| * Largest objects | |
| * Commits | |
| * Maximum size [1] | 17.23 KiB |
| * Maximum parents [2] | 10 |
| * Trees | |
| * Maximum size [3] | 58.85 KiB |
| * Maximum entries [4] | 1.18 k |
| * Blobs | |
| * Maximum size [5] | 1019.51 KiB |
| * Tags | |
| * Maximum size [6] | 7.13 KiB |

- В команде "git replay (https://git-scm.com/docs/git-replay)", применяемой вместо "git rebase" для воссоздания истории на сервере без рабочего дерева, включено по умолчанию атомарное обновление ссылок (вместо вывода списка команд update-ref для ручного выполнения), реализована опция "--revert" для отмены изменений от серии коммитов, обеспечено отбрасывание результирующих пустых коммитов и появилась возможность воссоздания истории вплоть до корневого коммита.

- В "git rev-list (https://git-scm.com/docs/git-rev-list)" и похожие команды добавлена опция "--maximal-only" для показа только коммитов, недостижимых другими коммитами.

- В команду "git repo info (https://git-scm.com/docs/git-repo)" добавлена опция "--keys" для вывода вписка всех известных ключей.

- В команде "git add -p (https://git-scm.com/docs/git-add)" при навигации между блоками кода при помощи клавиш "J" и "K" обеспечена пометка уже одобренных и пропущенных блоков.
Добавлена опция "--no-auto-advance" для отключения автоматического перехода к следующему файлу, чтобы иметь возможность вернуться к прошлым файлам перед коммитом.

- Проведена оптимизация web-интерфейса "gitweb (https://git-scm.com/docs/gitweb)" для работы с мобильных устройств.

- В команде "git apply --directory (https://git-scm.com/docs/git-apply)" перед использованием обеспечена нормализация файловых путей, таких как "./un/../normalized/path".

- Документирована возможность добавления собственных подкоманд через размещение файлов "git-‹cmd›" в каталоге с исполняемыми файлами.

- В команду "git send-email (https://git-scm.com/docs/git-send-email)" добавлена поддержка клиентских сертификатов.

- Для команды "git status (https://git-scm.com/docs/git-status)" реализована настройка "status.compareBranches", через которую можно указать ветки, с которыми будет производиться сравнение текущей ветки.

[status]
compareBranches = @{upstream} @{push}

- В "git rebase (https://git-scm.com/docs/git-rebase)" добавлена опция "--trailer" для упрощения добавления метаданных ко всем коммитам.

git rebase --trailer "Reviewed-by: Test ‹test@example.com›"

- В команду "git fast-import (https://git-scm.com/docs/git-fast-import)" добавлена возможность замены подписей для коммитов, которые стали невалидны после импорта.

- Добавлена поддержка упаковки (compaction) многопакетных индексов MIDX (multi-pack index), при которой между собой объединяются мелкие слои MIDX-индекса c информацией о доступности объектов и связанные с ними bitmap-файлы, что позволяет уменьшить число накопившихся слоёв в давно существующих репозиториях.

- В команде "git backfill" реализована возможность указания ревизий (диапазонов коммитов) и масок путей (pathspec (https://git-scm.com/docs/gitglossary/2.54.0#Documentation/gitglossary.txt-pathspec)) для ограничения загружаемых частей истории изменений.

git backfill main~100..main
git backfill -- '*.c'

- Добавлены альтернативные формы вызова команды "git config list" - "git config -l" и "git config --list".

- Разрешено использование не-ASCII символов в именах псевдонимов команд, задаваемых в файле конфигурации.

[alias "получить"]
command = fetch

- Изменено отображение подписей, у которых истёк срок действия GPG-ключей, но которые были валидны на момент подписания коммита. Подобные подписи теперь отображаются как корректные с примечанием об устаревании ключа (ранее они подсвечивались красным цветом, что создавало впечатление об их некорректности).

- При обращении к репозиториям по HTTP обеспечена обработка ошибки с кодом 429 (Too Many Requests). Завершившиеся подобной ошибкой запросы теперь рассматриваются не как фатальная проблема, а как временная ошибка, для которой через какое-время следует повторить операцию. Задержка перед повтором задаётся через опцию "http.retryAfter", число повторов - "http.maxRetries", время ожидания - "http.maxRetryTime".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65252 (https://www.opennet.ru/opennews/art.shtml?num=65252)

https://www.opennet.ru/opennews/art.shtml?num=65252

SDL запретил приём кода от AI. Созданы ...

2026-04-20T21:13:12Z

SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений

Разработчики библиотеки SDL (Simple DirectMedia Layer) приняли (https://github.com/libsdl-org/SDL/pull/15353) правила, запрещающие (https://github.com/libsdl-org/SDL/pull/15353/changes) приём изменений, содержащих код, сгенерированный большими языковыми моделями, такими как ChatGPT, Claude, Copilot и Grok. При этом разрешено использование AI для выявления проблем и анализа передаваемых изменений, но исправления подобных проблем должны создаваться людьми.

Судя по полученному проектом опыту, выявленные при помощи AI проблемы часто оказываются галлюцинациями, на практике не являющимися реальными проблемами или содержащими некорректную информацию. Разработчики, передающие сведения о проблемах, выявленных при помощи AI, должны хорошо разбираться в заявляемой проблеме и собственноручно убедиться в её существовании. При отправке pull-запросов разработчик должен подтвердить, что он является автором кода и передаёт результат своего труда под лицензией Zlib.

В качестве причин запрета разработки с использованием AI называется несовместимость создаваемого через AI кода с лицензией Zlib из-за невозможности точно определить источник кода, а также возможные лицензионные конфликты из-за косвенного заимствования кода из проектов под другими лицензиями (так как большая языковая модель обучена на коде под различными лицензиями, генерируемый код потенциально может трактоваться (https://www.opennet.ru/opennews/art.shtml?num=58055) как производная работа).

Дополнительно можно упомянуть создание двух форков текстового редактора Vim, созданных из-за недовольства участившегося применения AI при подготовке изменений (https://github.com/vim/vim/commits/master/):

- Vim Classic (https://vim-classic.org/) - форк кодовой базы Vim 8.2 (https://www.opennet.ru/opennews/art.shtml?num=52031), продолжающий сопровождение прошлой ветки. Проект основал (https://drewdevault.com/blog/Forking-vim/) Дрю ДеВолт (Drew DeVault), автор пользовательского окружения Sway (https://www.opennet.ru/opennews/art.shtml?num=50296), почтового клиента Aerc (https://www.opennet.ru/opennews/art.shtml?num=50823), языка программирования Hare (https://www.opennet.ru/opennews/art.shtml?num=64794) и платформы совместной разработки SourceHut (https://www.opennet.ru/opennews/art.shtml?num=52862). В качестве причин создания форка указано непринятие политики Vim в отношении использования AI, желание сохранить чистую совесть и продолжить получать удовольствие от работы с Vim.

- EVi (https://codeberg.org/NerdNextDoor/evi) - форк ветки Vim 9.1.0, в которой ещё не принимались изменения, созданные при помощи AI.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65216 (https://www.opennet.ru/opennews/art.shtml?num=65216)

https://www.opennet.ru/opennews/art.shtml?num=65216

В Arch Linux обеспечена воспроизводимая ...

2026-04-20T19:13:12Z

В Arch Linux обеспечена воспроизводимая сборка образов контейнеров

Дистрибутив Arch Linux обеспечил (https://lists.archlinux.org/archives/list/arch-dev-public@lists.archlinux.org/thread/44PW52T547MACXFU5HZ5U7SIPAX3BAXS/) воспроизводимую сборку образов контейнеров, позволяющую убедиться, что поставляемые в образе бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Воспроизводимые образы Arch Linux размещены в Docker Hub с тегом repro (https://hub.docker.com/layers/archlinux/archlinux/repro). Любой желающий может собрать (https://gitlab.archlinux.org/archlinux/archlinux-docker/-/blob/master/REPRO.md) из исходного кода образ контейнера бит в бит совпадающий с распространяемыми проектом готовыми образами, и убедиться, что сборочная инфраструктура дистрибутива, компилятор и сборочный инструментарий не скомпрометированы.

При формировании (https://gitlab.archlinux.org/archlinux/archlinux-docker/-/merge_requests/96/diffs) воспроизводимых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Воспроизводимые образы поставляются отдельно так как для обеспечения полной воспроизводимости в их состав не включены ключи для пакетного менеджера pacman. При необходимости обновления или установки пакетов через pacman в данных образах требуется запуск команды для пересоздания хранилища ключей ("pacman-key --init && pacman-key --populate archlinux"). Для проверки идентичности собственной сборки с распространяемым через Docker Hub образом можно сравнить хэши, выдаваемые командой "podman inspect --format '{{.Digest}}' ‹image›", или воспользоваться утилитой diffoci (https://github.com/reproducible-containers/diffoci).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65247 (https://www.opennet.ru/opennews/art.shtml?num=65247)

https://www.opennet.ru/opennews/art.shtml?num=65247

Опубликована среда рабочего стола ...

2026-04-20T11:13:13Z

Опубликована среда рабочего стола LXQt 2.4.0

После 6 месяцев разработки представлен (https://lxqt-project.org/release/2026/04/20/release-lxqt-2-4-0/) релиз среды рабочего стола LXQt 2.4.0 (https://lxqt.github.io/) (Qt Lightweight Desktop Environment), продолжающей (https://www.opennet.ru/opennews/art.shtml?num=37473) развитие проектов LXDE и Razor-qt. Интерфейс LXQt следует идеям классической организации рабочего стола, но привносит современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное окружение, вобравшее лучшие черты LXDE и Razor-qt. Код размещён (https://github.com/lxqt) на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (https://launchpad.net/lxqt) (LXQt по умолчанию предлагается в Lubuntu), Arch Linux (https://wiki.archlinux.org/title/LXQt), Fedora (https://fedoraproject.org/wiki/Changes/LXQt), openSUSE (http://download.opensuse.org/repositories/X11:/LXQt/), Mageia (http://mageia.madb.org/package/show/release/cauldron/application/0/name/task-lxqt), FreeBSD (https://wiki.freebsd.org/LXQt), ROSA (http://wiki.rosalab.ru/ru/index.php/LXQt) и ALT Linux (http://packages.altlinux.org/ru/search?branch=sisyphus&name=lxqt).

( )

В новой версии (https://github.com/lxqt/lxqt/releases/tag/2.4.0):

- В диалоге сохранения файлов в поле "Имя файла" теперь выделяется не всё содержимое, а только имя файла без расширения, что позволяет сразу изменить имя без перемещения курсора или перевыделения области.

- В конфигурациях на базе Wayland обеспечено применение и сохранение настроек скрытия элементов на рабочем столе ("Hide Desktop Items") по отдельности для каждого монитора.

- В LXQt-Powermanagement реализованы раздельные таймауты перевода монитора в спящий режим для автономной работы и для работы от стационарного источника энергии.

( )

- Переделан панельный плагин изменения громкости, в котором вертикальные ползунки заменены на горизонтальные и показаны все доступные устройства вывода звука. Добавлена поддержка изменения громкости устройства по умолчанию при помощи колеса мыши или прокрутки тачпадом.

( )

- В LXQt Sessions разделены настройки сеансов на баз X11 и Wayland. Настройки Wayland показываются только при установке пакета lxqt-wayland-session.

( )

- В сеансах на базе Wayland реализована возможность вызова главного меню комбинацией клавиш, привязанной в настройках к выполнению команды "lxqt-qdbus openmenu".

- В LXQt Runner для запуска встроенного калькулятора теперь достаточно начать ввод с цифры, а не только со знака "=".

- В режиме "не беспокоить" прекращено сохранение в истории временных уведомлений, таких как информация о начале воспроизведения следующей музыкальной композиции.

- В бэкенд xdg-desktop-portal-lxqt, реализующий порталы Freedesktop (https://github.com/flatpak/xdg-desktop-portal/), добавлен новый портал org.freedesktop.impl.portal.Access для запроса подтверждения доступа к системным ресурсам, например, обращения к микрофону или камере.

- В эмуляторе терминала QTerminal обеспечено выделение всех совпадений при поиске и улучшена подсветка кода.

- Добавлена переменная окружения XDG_STATE_HOME, определяющая путь к каталогу для файлов с состоянием (.local/state).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65246 (https://www.opennet.ru/opennews/art.shtml?num=65246)

https://www.opennet.ru/opennews/art.shtml?num=65246

Выпуск Bcachefs 1.38.0. Дистрибутив NASty для ...

2026-04-20T08:09:10Z

Выпуск Bcachefs 1.38.0. Дистрибутив NASty для развёртывания NAS на базе Bcachefs

Кент Оверстрит (Kent Overstreet) опубликовал (https://evilpiepirate.org/git/bcachefs-tools.git/commit/?id=44ea2cc69c1ac40215c1aec4ab388a2370eaea76) выпуск файловой системы Bcachefs 1.38.0 (https://bcachefs.org/). Выпуск охватывает два пакета: bcachefs-kernel-dkms (https://evilpiepirate.org/git/bcachefs.git) с модулем ядра, собираемым при помощи системы DKMS (Dynamic Kernel Module Support), и bcachefs-tools (https://evilpiepirate.org/git/bcachefs-tools.git) с запускаемой в пространстве пользователя утилитой bcachefs, реализующей команды для создания (mkfs), монтирования, восстановления и проверки ФС. Пакеты собраны для Arch Linux (https://security.archlinux.org/package/bcachefs-tools) и ожидаются для Debian, Ubuntu (https://apt.bcachefs.org/unstable/pool/main/b/bcachefs-tools/), Fedora, openSUSE (https://build.opensuse.org/package/show/filesystems:bcachefs:release/bcachefs) и NixOS (https://github.com/NixOS/nixpkgs/blob/nixos-25.11/pkgs/by-name/bc/bcachefs-tools/). DKMS-модуль поддерживает работу с ядрами Linux, начиная с 6.16.

Проектом Bcachefs развивается файловая система, нацеленная на сочетание расширенной функциональности, свойственной Btrfs и ZFS, и уровня производительности, надёжности и масштабируемости, характерного для XFS. Bcachefs поддерживает такие возможности, как включение в раздел нескольких устройств, многослойные раскладки накопителей (нижний слой с часто используемыми данными на базе быстрых SSD, а верхний слой с менее востребованными данными из жестких дисков), репликация (RAID 1/10), кэширование, прозрачное сжатие данных (режимы LZ4, gzip и ZSTD), срезы состояния (снапшоты), верификация целостности по контрольным суммам, коды коррекции ошибок, хранение информации в зашифрованном виде (используются ChaCha20 и Poly1305).

В новой версии (https://evilpiepirate.org/git/bcachefs-tools.git/tree/Changelog.mdwn):

- Btree-структура need_discard, применяемая для отслеживания освобождаемых наборов блоков, переведена на индексирование по порядковому номеру из журнала вместо пары устройство/набор блоков (device/bucket). Изменение позволило ускорить работу со структурой need_discard и исключить возникновение взаимной блокировки при восстановлении из журнала во время монтирования ФС с недостаточным числом свободных блоков под метаданные.

- Операции записи в журнал вынесены в отдельную fifo-очередь, а максимальное число одновременно производимых операций записи в журнал увеличено с 16 до 256, что позволило ускорить работу больших хранилищ с интенсивной нагрузкой на запись.

- Значительно ускорено монтирование ФС с большим числом снапшотов.

Дополнительно можно отметить выпуск (https://github.com/nasty-project/nasty/releases/tag/v0.0.3) проекта NASty 0.0.3 (https://github.com/nasty-project/nasty), развивающего дистрибутив для создания сетевых хранилищ (NAS) с использованием типового оборудования. Дистрибутив построен на пакетной базе NixOS, использует файловую систему Bcachefs и поддерживает предоставление доступа к файлам через NFS и SMB, а также экспорт блочных устройств через iSCSI и NVMe-oF. Управление осуществляется через web-интерфейс. Размер установочного iso-образа (https://github.com/nasty-project/nasty/releases/download/v0.0.3/nasty-v0.0.3-x86_64.iso) 1.9 ГБ. Наработки проекта [[https://github.com/nasty-project/nasty/распространяются]] под лицензией GPLv3. Web-интерфейс на писан на TypeScript с задействованием фреймворка SvelteKit (https://svelte.dev/docs/kit/introduction). Движок для управления хранилищем и системой написан на языке Rust.

Обновления загружаются и устанавливаются автоматически. Система обновляется атомарно с возможностью отката на прошлое состояние при выявлении проблем в новой версии. В web-интерфейсе доступны возможности для управления файловыми системами, снапшотами, подразделами, дисками, виртуальными машинами и совместным доступом. Имеются встроенные в web-интерфейс файловый менеджер и эмулятор терминала, работающие в браузере. Возможно создание правил для выполнения действий и оповещении администратора в случае излишнего потребления дискового пространства, сбоях в работе накопителей и перегреве.

Возможен запуск изолированных окружений и приложений, используя виртуализацию на базе QEMU/KVM и контейнерную изоляцию при помощи k3s runtime (Helm chart-ы для запуска приложений в контейнерах с настройкой проброса через nginx ingress можно устанавливать напрямую из WebUI). Поддерживается интеграция с платформой Kubernetes, для которой предоставляется драйвер CSI для динамического выделения места в хранилище. Дистрибутив по умолчанию отправляет (https://github.com/nasty-project/nasty-telemetry) телеметрию с анонимизированными данными о числе накопителей и размере хранилища (телеметрия отключается в секции "Settings → Telemetry").

В качестве причин выбора Bcachefs вместо ZFS отмечается активная разработка, поставка под лицензией GPL, простая модель работы с ФС, подразделами и снапшотами (без усложнённых концепций, типа dataset-ов, zvol и вложенных pool-ов) и наличие продвинутых возможностей, таких как автоматическое перемещение редко используемых данных на медленные накопители, коды коррекции ошибок и восстановление повреждений без остановки работы с ФС.

Из изменений в версии NASty 0.0.3 выделяется переход на использование механизма nix flake (https://nix.dev/manual/nix/2.28/command-ref/new-cli/nix3-flake.html) для упаковки и управления зависимостями; поддержка VPN Tailscale для проброса NVMe-oF поверх VPN; интеграция k3s runtime; добавление NUT (Network UPS Tools) для мониторинга устройств бесперебойного питания; web-панель для тонкой настройки NFS, SMB и iSCSI (включая опции для выбора планировщика ввода/вывода, журналирования и резервирования метаданных); дополнительные настройки для Bcachefs (управление кодами коррекции ошибок, выбор алгоритма контрольных сумм, online-ребалансировки и т.п.); поддержка кэша Cachix (https://www.cachix.org/) для ускорения доставки обновлений; возможность генерации TLS-сертификатов через Let's Encrypt; включение в состав утилит iotop-c, btop, fwupd, rsync и croc.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65244 (https://www.opennet.ru/opennews/art.shtml?num=65244)

https://www.opennet.ru/opennews/art.shtml?num=65244

В состав ядра Linux 7.1 принят новый ...

2026-04-18T06:40:30Z

В состав ядра Linux 7.1 принят новый драйвер для NTFS

Линус Торвальдс принял (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cdd4dc3aebeab43a72ce0bc2b5bab6f0a80b97a5) в состав ядра Linux 7.1, релиз которого ожидается в середине июня, набор патчей (https://lore.kernel.org/lkml/CAKYAXd-knEHqHPgz83+bOaLHAcA=f97f2-mnJxLmu0MiDkTgDA@mail.gmail.com/) с новой реализацией файловой системы NTFS, развивавшейся под именем ntfsplus. Новый драйвер включён под именем "ntfs", которое ранее использовалось для удалённого (https://www.opennet.ru/opennews/art.shtml?num=60777) из ядра старого драйвера, работавшего в режиме только для чтения. Драйвер ntfsplus разработал Намджэ Чон (Namjae Jeon (https://github.com/namjaejeon)), участник (https://www.samba.org/samba/team/) проекта Samba, сопровождающий (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/MAINTAINERS) драйвер EXFAT (https://www.opennet.ru/opennews/art.shtml?num=52222) и сервер KSMBD (https://www.opennet.ru/opennews/art.shtml?num=55706) в ядре Linux.

Разработка ntfsplus началась в 2022 году после публикации отчёта (https://www.opennet.ru/opennews/art.shtml?num=57095) о проблемах с сопровождением драйвера NTFS3 (https://github.com/Paragon-Software-Group/linux-ntfs3), разработанного (https://www.opennet.ru/opennews/art.shtml?num=55742) компанией Paragon Software и поставляемого (https://www.opennet.ru/opennews/art.shtml?num=55742) начиная с ядра 5.15 вместо старого заброшенного драйвера NTFS. С ноября 2021 года по июнь 2022 года разработчики ntfs3 перестали выходить на связь и рассматривать присылаемые патчи, но затем возобновили сопровождение и опубликовали (https://www.opennet.ru/opennews/art.shtml?num=57299) набор исправлений, который вошёл в состав ядра 5.19. С тех пор изменения для свежих версий ядра выпускаются регулярно (https://github.com/Paragon-Software-Group/linux-ntfs3/tags) и, среди прочего, достаточно большой набор улучшений и исправлений был принят (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=75a452d31ba6) в состав ядра 7.0.

В качестве мотива продвижения в ядро нового драйвера ntfsplus
указывалось (https://lore.kernel.org/lkml/20251020020749.5522-1-linkinjeon@kernel.org/), что более качественный и сопровождаемый NTFS-драйвер позволит улучшить совместимость Linux-систем с Windows-устройствами и упростить работу пользователей.
Заявлялось, что в нынешнем драйвере NTFS3 имеются проблемы, остающиеся нерешёнными, из-за которых многие пользователи и дистрибутивы продолжают применять старый драйвер ntfs-3g, работающий в пространстве пользователя. При прохождении тестового набора xfstests драйвер ntfsplus успешно проходит 326 тестов (41.4%) из 787, а ntfs3 - 273 (34.6%).

Драйвер ntfsplus основан на кодовой базе удалённого из ядра классического драйвера ntfs, который был переработан, расширен возможностью записи данных и существенно расширен для поддержки современных возможностей, таких как использование фолиантов страниц памяти (https://www.opennet.ru/opennews/art.shtml?num=56478#folios) (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap (https://docs.kernel.org/filesystems/iomap/index.html).

По сравнению с ntfs3 новый драйвер поддерживает такие возможности, как iomap, отложенное выделение блоков (delayed allocation (https://en.wikipedia.org/wiki/Allocate-on-flush)) и маппинг идентификаторов пользователей при монтировании (idmap). После принятия в основной состав ядра в ntfsplus планируют реализовать полноценное журналирование (в ntfs3 имеется поддержка создания replay-журнала).

В ntfsplus также удалось повысить производительность, благодаря применению асинхронных операций iomap, отложенному выделению блоков, оптимизации выделения новых кластеров, оптимизации слияния фрагментов, загрузки битовой карты кластеров в фоновом режиме и упреждающей загрузки блоков inode и информации о каталогах. В проведённых в ноябре прошлого года тестах iozone (https://www.iozone.org/) драйвер ntfsplus оказался (https://lore.kernel.org/lkml/20251020020749.5522-1-linkinjeon@kernel.org/) на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. В тесте на вывод списка файлов (ls -lR) в каталогах со 100/200/400 тысячами файлов
ntfsplus быстрее на 12-14%. По скорости монтирования ntfsplus быстрее в 5-6 раз (для 1 ТБ раздела 0.38 против 2.03 секунд).

На основе утилит ntfsprogs от проекта ntfs-3g для ntfsplus подготовлен собственный набор утилит
ntfsprogs-plus (https://github.com/ntfsprogs-plus/ntfsprogs-plus), работающих в пространстве пользователя и включающих приложения ntfsclone, ntfscluster и ntfsinfo. Проектом также разработана новая утилита ntfsck для проверки и восстановления повреждённых разделов с NTFS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65233 (https://www.opennet.ru/opennews/art.shtml?num=65233)

https://www.opennet.ru/opennews/art.shtml?num=65233

Платформа Cal.com прекратила ...

2026-04-17T19:40:28Z

Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI

Разработчики платформы автоматизации планирования встреч и управления расписанием Cal.com объявили (https://cal.com/blog/cal-com-goes-closed-source-why) о прекращении публикации исходного кода полной версии продукта и предоставлении (https://cal.com/blog/cal-diy-open-source-to-closed-source) сообществу урезанного форка cal.diy (https://github.com/calcom/cal.diy), переведённого с AGPLv3.0 на лицензию MIT. В качестве причины изменения подхода к разработке упоминается возрастание рисков, связанных с обеспечением безопасности SaS-платформы, в условиях прогресса (https://www.opennet.ru/opennews/art.shtml?num=65165) возможностей AI-моделей по поиску уязвимостей и написанию эксплоитов.

Если раньше выявление уязвимостей и создание эксплоитов занимало много времени и было уделом профессионалов с многолетним опытом, то теперь благодаря AI даже начинающий может создать экспоит для новой уязвимости быстрее, чем разработчики потратят времени на написание исправления. Для защиты данных облачного сервиса, построенного на базе платформы Cal.com, и снижения риска компрометации решено прекратить публикацию исходного кода новых релизов.

Для тех, кому важно наличие исходного кода создан форк cal.diy (https://github.com/calcom/cal.diy), сопровождением которого будет заниматься сообщество. Форк содержит лишь базовую функциональность, пригодную для запуска платформы планирования встреч на своём сервере, но лишён возможностей, предлагаемых в полной версии для предприятий, таких как аналитическая панель SSO/SAML, поддержка команд, организаций и рабочих процессов. Кроме того, в закрытой версии переписаны многие ключевые подсистемы, включая аутентификацию и обработку данных.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65232 (https://www.opennet.ru/opennews/art.shtml?num=65232)

https://www.opennet.ru/opennews/art.shtml?num=65232