Nostr notes by OpenNews.opennet.ru: Основная лента (RSS Feed)

Нарушение AGPL производителем ...

2026-05-24T12:43:10+02:00

Нарушение AGPL производителем 3D-принтеров Bambu Lab и создание форка Bambu Studio

В ответ на недавние угрозы (https://www.opennet.ru/opennews/art.shtml?num=65299) разработчику, вернувшему возможность прямой печати на 3D-принтерах Bambu Lab без использования проприетарного приложения Bambu Connect, правозащитная организация Software Freedom Conservancy (SFC) объявила (https://sfconservancy.org/news/2026/may/18/bambu-studio-3d-printer-agpl-violation-response/) о проведении расследования возможных нарушений свободных лицензий в ПО и прошивках компании Bambu Lab, Помимо этого, запущена инициатива по отстаиванию права (https://www.ifixit.com/Right-to-Repair) самостоятельно проводить ремонт, в рамках которой началась работа по обратному инжинирингу проприетарных библиотек Bambu Lab и создан независимый форк платформы Bambu Studio.

Развиваемый компанией Bambu Lab пакет Bambu Studio (https://github.com/bambulab/BambuStudio) является форком свободного проекта Prusa Slicer (https://github.com/prusa3d/prusaslicer) и так же как исходный проект распространяется под лицензией AGPLv3. В выпущенное год назад обновление прошивки к 3D-принтерам Bambu Lab было внесено изменение, блокирующее возможность прямой печати. После обновления прошивки для продолжения работы с 3D-принтером в альтернативных пакетах подготовки моделей к 3D-печати, таких как OrcaSlicer (https://github.com/OrcaSlicer/OrcaSlicer), требовалась установка дополнительного проприетарного приложения Bambu Connect, без которого послойный вывод на печать перестал работать.

Один из энтузиастов реализовал для OrcaSlicer возможность напрямую отправлять команды 3D-принтерам Bambu Lab без необходимости установки Bambu Connect, но компания Bambu Studio под угрозой судебного разбирательства вынудила (https://www.opennet.ru/opennews/art.shtml?num=65299) разработчика удалить репозиторий с созданным кодом, при том, что реализованный энтузиастом метод прямой отправки команд на 3D-принтеры был основан на содержимом из репозитория AGPL-проекта Bambu Studio.

Организация SFС трактовала данный шаг как ущемление прав, предоставляемых лицензией AGPLv3. При давлении на энтузиаста компания Bambu Lab применила тактику запугивания и утверждала, что условия использования продукта (terms of service) превалируют над требованиями AGPLv3, что является нарушение пункта 10.3 лицензии AGPL. Данный пункт запрещает налагать дополнительные ограничения, мешающие осуществлению прав, предоставленных лицензией.

Помимо этого, правозащитная организация SFC выявила прямое нарушения условий лицензии AGPLv3 в приложении Bambu Studio, в котором используется библиотека libbambu_networking, исходный код которой не предоставляется. Так как Bambu Studio является ответвлением от другого открытого AGPL-проекта, он должен распространяться строго под исходной лицензией APGLv3 и не имеет права вносить в неё исключения. Соответственно, все компоненты должны быть доступны в исходном коде без дополнительных ограничений и комбинирование AGPL-кода с проприетарной библиотеке в одном продукте недопустимо. Библиотека libbambu_networking загружается через интерактивный запрос в интерфейсе пользователя, но подобный манёвр не позволяет обойти условия AGPL.

Для оказания помощи пользователям 3D-принтеров, испытывающим трудности из-за нарушений AGPLv3 компанией Bambu Lab, создан проект baltobu (https://f.sfconservancy.org/baltobu), в рамках которого под защитой SFC создано три репозитория:

- reverse-networking (https://f.sfconservancy.org/baltobu/reverse-networking) - проект по обратному инжинирингу библиотек libbambu_networking.so, bambu_networking.dll и libbambu_networking.dylib, и создания их открытой замены. Подразумевается, что так как данные библиотеки используются в коде под лицензией AGPLv3, на них тоже распространяется данная лицензия, что даёт право на проведение обратного инжиниринга.

- orca-slicer-for-bambu (https://f.sfconservancy.org/baltobu/orca-slicer-for-bambu) - репозиторий для продолжения работы над форком OrcaSlicer, поддерживающим прямую работу с 3D-принтерами Bambu Lab. Репозиторий воссоздаёт код проекта OrcaSlicer-bambulab, который ранее был удалён после угроз от Bambu Lab.

- Viscose (https://f.sfconservancy.org/baltobu/viscose) - репозиторий в форком ПО Bambu Studio, гарантирующий сохранение предоставляемых AGPL свобод и прав пользователей, а также поддерживающий открытую кодовую базу на случай, если компания Bambu Lab решит что-то удалить из своего репозитория.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65511 (https://www.opennet.ru/opennews/art.shtml?num=65511)

https://www.opennet.ru/opennews/art.shtml?num=65511

При помощи AI-модели Mythos выявлены 23 ...

2026-05-23T18:43:10+02:00

При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

Компания Anthropic подвела первые итоги тестирование предварительного варианта AI-модели Mythos, в которой были существенно (https://www.opennet.ru/opennews/art.shtml?num=65165) расширены возможности по поиску ошибок, выявлению уязвимостей и написанию готовых эксплоитов. Компания Anthropic провела сканирование при помощи AI-модели Mythos более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей. 6202 уязвимостям был назначен высокий или критический уровень опасности.

1752 из 6202 уязвимостей, отнесённых моделью Mythos к категории опасных, были проверены независимыми компаниями, специализирующимися на компьютерной безопасности. В 1587 (90.6%) случаях наличие уязвимости было подтверждено, а в 1094 (62.4%) - сохранился уровень высокой или критической опасности. Anthropic планирует продолжить сканирование открытых проектов и при текущих показателях предполагается, что в дополнение к упомянутым уязвимостям Mythos вероятно выявит ещё около 3900 опасных уязвимостей в открытом ПО при проверке 50 участниками проекта Glasswing.

Сведения об 467 верифицированных уязвимостях переданы сопровождающим открытые проекты представителями компаний, проводивших рецензирование. Кроме того, по отдельным запросам сотрудники Anthropic передали сопровождающим информацию о 1129 непроверенных проблемах. Всего сопровождающие открытые проекты получили сведения о 1596 проблемах и подтвердили наличие 1451 уязвимостей. При этом в кодовых базах пока исправлено только 97 проблем и выпущено 88 публичных отчётов об уязвимостях.

Кроме того, сообщается, что 50 участниками проекта Glasswing, которым был предоставлен ранний доступ к модели Mythos, выявлено более 10 тысяч опасных уязвимостей в своих кодовых базах. Например, компания Cloudflare нашла при помощи Mythos более 2000 ошибок, из которых 400 отмечены как уязвимости с высоким и критическим уровнем опасности. Уровень ложных срабатываний по оценке Cloudflare оказался ниже, чем при тестировании людьми. Компания Mozilla при проверке кода Firefox 150 нашла (https://www.opennet.ru/opennews/art.shtml?num=65405) при помощи Mythos 271 уязвимостей, что в 10 раз больше, чем было найдено при проверке Firefox 148 моделью Claude Opus 4.6.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65515 (https://www.opennet.ru/opennews/art.shtml?num=65515)

https://www.opennet.ru/opennews/art.shtml?num=65515

GRO Frag - седьмая уязвимость класса Copy ...

2026-05-22T22:43:10+02:00

GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

В открытом доступе размещён эксплоит (https://gist.github.com/lcfr-eth/2566a5cef312c94a5ff8d62fa417955f) для седьмой уязвимости (1 (https://www.opennet.ru/opennews/art.shtml?num=65325), 2-3 (https://www.opennet.ru/opennews/art.shtml?num=65395), 4 (https://www.opennet.ru/opennews/art.shtml?num=65441), 5 (https://www.opennet.ru/opennews/art.shtml?num=65473), 6 (https://www.opennet.ru/opennews/art.shtml?num=65476)) в ядре Linux, позволяющей непривилегированному локальному пользователю получить права root, перезаписав данные в страничном кэше. CVE-идентификатор ещё не присвоен, кроме кода эксплоита информации о проблеме пока нет. Исправление доступно только в виде патча (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=4db79a322db8), который опубликован 20 мая и 21 мая был принят в основную ветку ядра Linux (корректирующие выпуски (https://kernel.org) ядра ещё недоступны).

Уязвимость присутствует в реализации технологии GRO (https://docs.kernel.org/networking/segmentation-offloads.html) (Generic Receive Offload), применяемой для ускорения обработки сегментированных пакетов. Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции skb_gro_receive(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. При установленном флаге SKBFL_MANAGED_FRAG_REFS пропускалось сохранение ссылки на освобождаемые страницы памяти в поле shinfo->frags, после чего данное поле присоединялось к другому skb без изменения счётчика ссылок, что приводило к обращению к памяти после её освобождения (use-after-free). Проблему удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на буфер io_uring.

Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0). Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root. Механизм эксплуатации сводится к тому, что атакующий добивается оседания базы пользователей в страничном кэше, после чего подставляет в кэш строку "hax::0:0::/root:/bin/sh". Следом запускается команда "su hax", которая получает не оригинальную базу пользователей с накопителя, а изменённую копию с подставным логином "hax", которому выставлены права root и пустой пароль. Работа эксплоита протестирована в Ubuntu 24.04.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65504 (https://www.opennet.ru/opennews/art.shtml?num=65504)

https://www.opennet.ru/opennews/art.shtml?num=65504

Linux Foundation опубликовал ...

2026-05-14T22:13:36+02:00

Linux Foundation опубликовал автомобильный дистрибутив AGL UCB 21.0 и платформу SoDeV

Организация Linux Foundation представила (https://www.linuxfoundation.org/press/automotive-grade-linux-releases-open-source-sodev-reference-platform-for-software-defined-vehicles-and-welcomes-five-new-members) двадцать первый выпуск дистрибутива AGL UCB (https://automotive.linuxfoundation.org/) (Automotive Grade Linux Unified Code Base), в рамках которого развивается универсальная платформа для использования в различных автомобильных подсистемах, от приборных панелей до автомобильных информационно-развлекательных систем. Одновременно представлен (https://www.automotivelinux.org/announcements/automotive-grade-linux-releases-open-source-sodev-reference-platform-for-software-defined-vehicles-and-welcomes-five-new-members/) первый выпуск эталонной платформы AGL SoDeV (Software Defined Vehicle), предназначенной для создания программно определяемых автомобильных систем на базе Automotive Grade Linux.

SoDeV представляет собой комбинированный продукт, сочетающий дистрибутив AGL UCB, Linux-контейнеры, VirtIO, гипервизор Xen, Zephyr RTOS и другие проекты Linux Foundation. Первый релиз SoDeV может запускаться на платах Renesas Sparrow Hawk, в облачных окружениях или в виртуальных машинах. Проект позволяет автопроизводителям ускорить вывод продукта на рынок, благодаря отделения разработки программного обеспечения от аппаратных систем и абстрагирования оборудования через виртуализацию. В течение 2026 года планируют реализовать более широкую поддержку SoC, применяемых автопроизводителями. Проект развивается при участии компаний Panasonic Automotive Systems, Honda, Toyota, Mazda, AISIN и Renesas.

( )

Дистрибутив AGL UCB основан на наработках проектов Tizen (https://www.tizen.org), GENIVI (http://www.genivi.org/) и Yocto (http://www.yoctoproject.org/). Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы (https://wiki.automotivelinux.org/agl-distro/release-notes) для QEMU, плат Renesas H3, Intel Up², Raspberry Pi 4 и Raspberry Pi 5. В разработке дистрибутива участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны (https://git.automotivelinux.org/) под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Среди изменений (https://wiki.automotivelinux.org/agl-distro/release-notes#latest_stable_release) в новой версии AGL UCB:

- Осуществлена синхронизация с компонентами платформы Yocto 5.0.16 (https://www.yoctoproject.org/);

- Обновлены инструментарии Flutter Embedder и Workspace Automation, в которые повышена производительность, решены проблемы с отрисовкой, добавлены новые возможности интерфейса пользователя. Обновлены версии
Flutter SDK 3.38.3 и языка Dart 3.10.1.

- Задействована библиотека Qt 6.8.

- До версии 6.0 обновлена спецификация VSS (https://covesa.github.io/vehicle_signal_specification/) (Vehicle Signal Specification).

- Фреймворк распределённого отображения (Distributed Display Framework) переведён на использование протокола gRPC.

- Обновлены пакеты BSP (Board Support Package):
meta-arm,
meta-freescale,
meta-freescale-3rdparty,
meta-raspberrypi,
meta-renesas,
meta-riscv,
meta-rockchip,
meta-tegra,
meta-ti.

- Обновлены пакеты
meta-aws,
meta-clang,
meta-flutter,
meta-openembedded,
meta-selinux,
meta-virtualization,
meta-python-ai,
meta-qt6.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65449 (https://www.opennet.ru/opennews/art.shtml?num=65449)

https://www.opennet.ru/opennews/art.shtml?num=65449

В Debian утверждена обязательная ...

2026-05-12T12:45:08+02:00

В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

Команда, отвечающая за формирование релизов Debian, объявила (https://lists.debian.org/debian-devel-announce/2026/05/msg00001.html) о переводе воспроизводимой пересборки (https://reproduce.debian.net/) пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки.

В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% (https://tests.reproducible-builds.org/debian/trixie/index_suite_amd64_stats.html) для архитектуры x86_64 и 96.8% (https://tests.reproducible-builds.org/debian/trixie/index_suite_arm64_stats.html) для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён (https://tests.reproducible-builds.org/debian/reproducible.html) в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета (3%), а у 7952 пакетов (21%) возникли общие проблемы при компиляции из исходного кода.

Повторяемые сборки (https://reproducible-builds.org/) дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65418 (https://www.opennet.ru/opennews/art.shtml?num=65418)

https://www.opennet.ru/opennews/art.shtml?num=65418

Скомпрометирован официальный ...

2026-05-08T19:43:40+02:00

Скомпрометирован официальный Twitter-канал Ubuntu

Следом за DDoS-атакой (https://www.opennet.ru/opennews/art.shtml?num=65340) на инфраструктуру компании Canonical злоумышленникам удалось (https://www.reddit.com/r/Ubuntu/comments/1t5xt2t/advivce_ubuntu_twitterx_account_hacked/) получить (https://lowendtalk.com/discussion/comment/4788632/#Comment_4788632) контроль над каналом Ubuntu (https://x.com/ubuntu) в социальной сети X.com (Twitter). В канале Ubuntu был размещён анонс AI-агента Numbat, который преподносился как децентрализованный AI, созданный на базе блокчейна и технологий криптовалюты Solana. Заявлялось, что AI-агент можно протестировать на сайте ai-ubuntu.com, который был зарегистрирован за несколько часов до размещения объявления. Оформление сайта было стилизовано под страницу ubuntu.com/ai (https://ubuntu.com/ai), а в тексте использовались факты из анонсированного вице-президентом компании Canonical проекта по интеграции (https://www.opennet.ru/opennews/art.shtml?num=65306) AI-технологий в Ubuntu.

Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён (https://x.com/i/status/2052211357542453341) с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовалютный кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютного токена и предоставлении возможности принять участие в его распределении среди пользователей.

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65402 (https://www.opennet.ru/opennews/art.shtml?num=65402)

https://www.opennet.ru/opennews/art.shtml?num=65402

Уязвимости Dirty Frag, изменяющие ...

2026-05-08T09:13:33+02:00

Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux

В ядре Linux выявлены две уязвимости (https://github.com/V4bel/dirtyfrag), по своей сути аналогичные несколько дней назад раскрытой уязвимости Copy Fail (https://www.opennet.ru/opennews/art.shtml?num=65325), но проявляющиеся в других подсистемах - xfrm-ESP и RxRPC. Серии уязвимостей присвоено кодовое имя Dirty Frag (https://dirtyfrag.io/) (также встречается упоминание Copy Fail 2). Уязвимости позволяют непривилегированному пользователю получить права root, перезаписав данные процесса в страничном кэше. Доступен эксплоит (https://github.com/V4bel/dirtyfrag/blob/master/exp.c), работающий во всех актуальных дистрибутивах Linux. Информация об уязвимости раскрыта до публикации исправлений, но есть обходной метод блокирования проблемы.

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP (https://docs.kernel.org/networking/xfrm/index.html), используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC (https://docs.kernel.org/networking/rxrpc.html), реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3), а уязвимость в RxRPC - с июня 2023 года (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a). Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в
RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, а но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны (https://github.com/V4bel/dirtyfrag/blob/master/assets/write-up.md) выполнением расшифровки данных по месту c
использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за
утечки информации (https://www.openwall.com/lists/oss-security/2026/05/07/12) сведения об уязвимости пришлось опубликовать (https://www.openwall.com/lists/oss-security/2026/05/07/8) до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc (https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/), ipsec (https://lore.kernel.org/all/afLDKSvAvMwGh7Fy@v4bel/) и xfrm (https://lore.kernel.org/all/20260504073403.38854-1-h3xrabbit@gmail.com/), без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение (https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4) c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать (https://afflicted.sh/blog/posts/copy-fail-2.html) рабочий эксплоит и опубликовал его (https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo), не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp (https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4) и rxrpc (https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/). CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Источник: https://www.opennet.ru/opennews/art.shtml?num=65395 (https://www.opennet.ru/opennews/art.shtml?num=65395)

https://www.opennet.ru/opennews/art.shtml?num=65395

Релиз Mesa 26.1, свободной реализации ...

2026-05-07T22:43:34+02:00

Релиз Mesa 26.1, свободной реализации OpenGL и Vulkan

После трёх месяцев разработки представлен (https://lists.freedesktop.org/archives/mesa-announce/2026-May/000849.html) релиз свободной реализации API OpenGL и Vulkan - Mesa 26.1.0 (http://mesa3d.org/). Первый выпуск ветки Mesa 26.1.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 26.1.1.

В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 (https://www.opennet.ru/opennews/art.shtml?num=62331) в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также обеспечивается (https://mesamatrix.net/) полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU Virgil3D (https://www.opennet.ru/opennews/art.shtml?num=37456) для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

Основные новшества (https://docs.mesa3d.org/relnotes/26.1.0.html):

- В драйверы для GPU Intel (Iris, Crocus и ANV) добавлена возможность напрямую работать с GPU из виртуальных машин, используя нативные контексты (native context) в VirtIO-GPU (https://qemu.readthedocs.io/en/system/devices/virtio-gpu.html). Нативные контексты позволяют повысить производительность работы с виртуальным GPU (virtio-gpu-gl) из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU.

- Для GPU PowerVR добавлена поддержка OpenGL ES 2.0, реализованная через драйвер Zink, позволяющий получить аппаратно ускоренный OpenGL на устройствах, поддерживающих API Vulkan.

- Для OpenCL-драйвера rusticl (https://www.opennet.ru/opennews/art.shtml?num=58114) теперь требуется статически собранная библиотека C++ stdlib для корректной работы с приложениями, использующими собственные C++ stdlib.

- В драйвер radeonsi (AMD) добавлена поддержка OpenGL-расширения GL_NV_timeline_semaphore (https://registry.khronos.org/OpenGL/extensions/NV/NV_timeline_semaphore.txt).

- В драйвер panfrost (ARM Mali) добавлена поддержка OpenGL-расширения GL_EXT_shader_image_load_store (https://registry.khronos.org/OpenGL/extensions/EXT/EXT_shader_image_load_store.txt).

- В драйвер v3d (Broadcom VideoCore) добавлена поддержка OpenGL-расширения GL_ARB_sample_shading (https://registry.khronos.org/OpenGL/extensions/ARB/ARB_sample_shading.txt).

- Добавлена поддержка Vulkan-расширений:

VK_ARM_scheduling_controls (https://docs.vulkan.org/refpages/latest/refpages/source/VK_ARM_scheduling_controls.html) для panvk
VK_EXT_acquire_drm_display (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_acquire_drm_display.html) для panvk
VK_EXT_astc_decode_mode (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_astc_decode_mode.html) для panvk
VK_EXT_attachment_feedback_loop_dynamic_state (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_attachment_feedback_loop_dynamic_state.html) для panvk
VK_EXT_attachment_feedback_loop_layout (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_attachment_feedback_loop_layout.html) для panvk
VK_EXT_blend_operation_advanced (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_blend_operation_advanced.html) для lavapipe
VK_EXT_color_write_enable (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_color_write_enable.html) для panvk
VK_EXT_conditional_rendering (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_conditional_rendering.html) для panvk
VK_EXT_depth_clamp_control (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_depth_clamp_control.html) для panvk
VK_EXT_descriptor_heap (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_descriptor_heap.html) для RADV (при выставлении 'export RADV_EXPERIMENTAL=heap')
VK_EXT_hdr_metadata (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_hdr_metadata.html) для v3dv
VK_EXT_image_drm_format_modifier (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_image_drm_format_modifier.html) для pvr
VK_EXT_image_view_min_lod (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_image_view_min_lod.html) для panvk
VK_EXT_legacy_dithering (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_legacy_dithering.html) для panvk
VK_EXT_map_memory_placed (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_map_memory_placed.html) для panvk
VK_EXT_nested_command_buffer (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_nested_command_buffer.html) для panvk
VK_EXT_non_seamless_cube_map (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_non_seamless_cube_map.html) для pvr
VK_EXT_present_timing (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_present_timing.html) для RADV, NVK, Turnip, ANV, Honeykrisp, panvk
VK_EXT_primitive_restart_index (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_primitive_restart_index.html) для RADV
VK_EXT_rgba10x6_formats (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_rgba10x6_formats.html) для panvk
VK_EXT_shader_atomic_float (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_shader_atomic_float.html) для panvk
VK_EXT_shader_stencil_export (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_shader_stencil_export.html) для panvk
VK_EXT_zero_initialize_device_memory (https://docs.vulkan.org/refpages/latest/refpages/source/VK_EXT_zero_initialize_device_memory.html) для panvk
VK_KHR_copy_memory_indirect (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_copy_memory_indirect.html) для nvk, RADV/GFX8+
VK_KHR_device_address_commands (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_device_address_commands.html) для RADV
VK_{KHR,EXT}_{surface,swapchain}_maintenance1 для panvk
VK_KHR_get_display_properties2 (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_get_display_properties2.html) для panvk
VK_KHR_get_surface_capabilities2 (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_get_surface_capabilities2.html) для panvk
VK_KHR_internally_synchronized_queues (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_internally_synchronized_queues.html) для RADV
VK_KHR_maintenance4 (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_maintenance4.html) для pvr
VK_KHR_pipeline_executable_properties (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_pipeline_executable_properties.html) для pvr
VK_KHR_present_id (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_present_id.html) для panvk, v3dv
VK_KHR_present_wait (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_present_wait.html) для panvk, v3dv
VK_KHR_sampler_ycbcr_conversion (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_sampler_ycbcr_conversion.html) для pvr
VK_KHR_shader_integer_dot_product (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_shader_integer_dot_product.html) для pvr
VK_KHR_shader_untyped_pointers (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_shader_untyped_pointers.html) для panvk
VK_KHR_swapchain_mutable_format (https://docs.vulkan.org/refpages/latest/refpages/source/VK_KHR_swapchain_mutable_format.html) для panvk
VK_QCOM_image_processing (https://docs.vulkan.org/refpages/latest/refpages/source/VK_QCOM_image_processing.html) для Turnip
VK_VALVE_mutable_descriptor_type (https://docs.vulkan.org/refpages/latest/refpages/source/VK_VALVE_mutable_descriptor_type.html) для panvk
VK_VALVE_shader_mixed_float_dot_product (https://docs.vulkan.org/refpages/latest/refpages/source/VK_VALVE_shader_mixed_float_dot_product.html) для RADV (Vega20, Navi14, RDNA2+)

- Реализованы OpenCL-расширения:

cl_khr_subgroup_ballot (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_ballot.html) для asahi, iris, llvmpipe, radeonsi и zink
cl_khr_subgroup_clustered_reduce (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_clustered_reduce.html) для asahi, llvmpipe, radeonsi и zink
cl_khr_subgroup_extended_types (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_extended_types.html) для asahi, iris, llvmpipe, radeonsi и zink
cl_khr_subgroup_non_uniform_arithmetic (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_non_uniform_arithmetic.html) для asahi, llvmpipe, radeonsi и zink
cl_khr_subgroup_non_uniform_vote (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_non_uniform_vote.html) для asahi, iris, llvmpipe, radeonsi и zink
cl_khr_subgroup_rotate (https://registry.khronos.org/OpenCL/specs/unified/refpages/man/html/cl_khr_subgroup_rotate.html) для asahi, llvmpipe и zink

- Драйвер VirGL (https://gitlab.freedesktop.org/virgl/) с реализацией виртуального GPU для QEMU остался без сопровождения и будет удалён, если не найдётся желающий взять его сопровождение в свои руки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65390 (https://www.opennet.ru/opennews/art.shtml?num=65390)

https://www.opennet.ru/opennews/art.shtml?num=65390

Релиз Chrome 148 Компания Google ...

2026-05-06T22:13:36+02:00

Релиз Chrome 148

Компания Google опубликовала (https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop.html) релиз web-браузера Chrome 148 (http://www.google.com/chrome). Одновременно доступен стабильный выпуск свободного проекта Chromium (http://dev.chromium.org/), выступающего основой Chrome. Браузер Chrome отличается (https://chromium.googlesource.com/chromium/src/+/master/docs/chromium_browser_vs_google_chrome.md) от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров (https://www.opennet.ru/opennews/art.shtml?num=26822) при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 149 запланирован на 2 июня.

Основные изменения в Chrome 148 (1 (https://chromeenterprise.google/resources/release-notes/), 2 (https://developer.chrome.com/en/blog/new-in-chrome-148/),
3 (https://blog.google/products-and-platforms/products/chrome/), 4 (https://developer.chrome.com/release-notes/148)):

- Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран (https://support.google.com/chrome/a/answer/16291696) из Азиатско-Тихоокеанского региона.

- Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.

- Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).

(https://img480-dot-cr-status.appspot.com/feature/5100248314806272/attachment/6266370321940480)

- Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.

(https://img968-dot-cr-status.appspot.com/feature/5516733320396800/attachment/5116761940819968)

- В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.

- В версии для Android появился (https://blog.google/products-and-platforms/products/chrome/approximate-location-chrome-on-android/) режим возвращения сайтам приблизительного, а не точного местоположения.

( )

- Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.

- Реализован API Prompt (https://developer.chrome.com/docs/ai/prompt-api), предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (https://deepmind.google/technologies/gemini/nano/).

- В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.

- CSS-запросы "@container" теперь могут вызываться (https://chromestatus.com/feature/5184267522015232) с использованием только имени контейнера (container-name) без указания типа (container-type).

#container {
container-name: --foo;
}
@container --foo {
input { background-color: green; }
}

- В CSS добавлено (https://chromestatus.com/feature/5146458504429568) ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

div {
display: if(style(--layout: fancy): grid; else: revert-rule);
}

- Для CSS-свойства "text-decoration-skip-ink" реализована (https://chromestatus.com/feature/5077600085082112) поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.

- В версии для Android добавлена возможность использования API Web Serial (https://web.dev/serial/) для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.

- В элементах ‹video› и ‹audio› появилась возможность указания
атрибута "loading=lazy (https://developer.mozilla.org/docs/Web/API/HTMLMediaElement/loading)" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.

- Добавлена (https://chromestatus.com/feature/5169590743203840) поддержка второй версии расширения формата Open Font "avar (https://github.com/harfbuzz/boring-expansion-spec/blob/main/avar2.md)" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.

- Внесены (https://developer.chrome.com/blog/new-in-devtools-148) улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей (https://issues.chromium.org/issues?q=customfield1223088:0-M148). Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer (https://github.com/google/sanitizers/wiki/AddressSanitizer), MemorySanitizer (https://github.com/google/sanitizers/wiki/MemorySanitizer), Control Flow Integrity (https://www.chromium.org/developers/testing/control-flow-integrity/), LibFuzzer (https://chromium.googlesource.com/chromium/src/+/master/testing/libfuzzer/README.md) и AFL (https://lcamtuf.coredump.cx/afl/). Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65386 (https://www.opennet.ru/opennews/art.shtml?num=65386)

https://www.opennet.ru/opennews/art.shtml?num=65386

Атакующие получили 27 сертификатов, ...

2026-05-06T14:14:12+02:00

Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert

Удостоверяющий центр Digicert раскрыл (https://bugzilla.mozilla.org/show_bug.cgi?id=2033170#c4) информацию об инциденте с безопасностью, в результате которого злоумышленники смогли получить сертификаты, пригодные для формирования цифровых подписей к драйверам и приложениям для платформы Windows. Атакующие смогли организовать выполнение своего кода на двух компьютерах сотрудников Digicert, отправив в чат службы поддержки сообщения о проблеме c приложением ZIP-архива со скриншотами. Внутри архива был размещён исполняемый файл в формате scr, содержащий вредоносный код.

В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности о выявлении вредоносных приложений, заверенного сертификатами Digicert, 14 апреля был инициирован повторный разбор, показавший, что 4 апреля была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

Добившись выполнения своего кода на внутренней системе атакующий получил доступ к порталу службы поддержки, на котором можно было просматривать заказы клиентов. Воспользовавшись данной возможностью атакующий узнал коды инициализации заявок на получение сертификатов "EV Code Signing (https://www.digicert.com/signing/code-signing-certificates)", подтверждённых, но ещё не выданных клиентам. Данные коды были использованы для получения сертификатов от имени клиентов.

По результатам разбора инцидента было отозвано 60 сертификатов, из которых для 27 удалось отследить прямую связь с атакующим, а 33 отозваны превентивно, так как для них не удалось подтвердить получение клиентом. Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65383 (https://www.opennet.ru/opennews/art.shtml?num=65383)

https://www.opennet.ru/opennews/art.shtml?num=65383

Автор платформы Bun проводит ...

2026-05-06T11:43:36+02:00

Автор платформы Bun проводит эксперимент по переписыванию с Zig на Rust

Джарред Самнер (Jarred Sumner (https://github.com/Jarred-Sumner)), создатель и основной разработчик серверной JavaScript-платформы Bun (https://bun.sh/), создал Git-ветку (https://github.com/oven-sh/bun/tree/claude/phase-a-port), в которой приступил к переписыванию Bun с языка Zig на Rust. Переписывание ведётся с использование AI-ассистента Claude, для которого сформировано отдельное руководство по портированию (https://github.com/oven-sh/bun/commit/46d3bc29f270fa881dd5730ef1549e88407701a5). По словам (https://news.ycombinator.com/item?id=48019226) Джарреда пока это лишь эксперимент, а не официальный порт, и высока вероятность, что дальше эксперимента дело не зайдёт и переписанный код не будет использован.

Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, что бы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. В конечном счёте планируется провести сравнительное тестирование вариантов Bun на Zig и Rust.

В декабре прошлого года проект Bun поглотила (https://www.opennet.ru/opennews/art.shtml?num=64366) компания Anthropic, поэтому у Джарреда есть ресурсы для вовлечения в портирование передовых AI-моделей Claude. Платформа Bun применяется в продуктах Claude Code и Claude Agent SDK, и компания Anthropic заинтересована в повышении её качества и развитии. Bun является одним из самых успешных проектов на языке Zig, при этом у разработчиков Zig и Bun расходятся мнения (https://simonwillison.net/2026/Apr/30/zig-anti-ai) в отношении применения AI в процессе разработки. В проекте Zig утверждён жёсткий запрет (https://ziglang.org/code-of-conduct/#strict-no-llm-no-ai-policy) применения больших языковых моделей при подготовке pull-запросов, issue и комментариев (запрещён даже перевод через AI неанглоязычных комментариев).

Введение подобных ограничений объясняется разработчиками Zig негативным опытом в рецензировании созданных через AI pull-запросов, которые отнимают ресурсы и время (например, отмечаются бессмысленные изменения, AI-галлюцинации и раздутые коммиты в 10 тысяч строк). Кроме того, проект Zig позиционирует себя как ориентированный на участников, а не вносимый ими вклад в разработку - главной целью принятия pull-запросов называется не добавление нового кода, а помощь в развитии новых участников.

Автор Bun не согласен с запретом AI в Zig и полагает (https://x.com/jarredsumner/status/2048434628248359284), что AI-слоп останется ностальгическим пережитком 2025 и 2026 годов, а разработка открытого ПО эволюционирует до запрета приёма кода от людей. Люди будут обсуждать проблемы, ставить задачи и расставлять приоритеты, а написание кода и отправка изменений в репозитории станет уделом AI. В качестве причины экспериментов с переписыванием на Rust также отмечается желание устранить проблемы в Bun, вызванные утечками памяти, и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

Из-за запрета применения AI разработчики Bun вынуждены поддерживать собственный форк (https://github.com/oven-sh/zig/compare/upgrade-0.15.2%E2%80%A6upgrade-0.15.2-fast) инструментария Zig, в котором благодаря применению AI удалось в 4 раза ускорить (https://x.com/bunjavascript/status/2048427636414923250) компиляцию за счёт распараллеливания семантического анализа и генерации кода. При этом судя по комментарию (https://ziggit.dev/t/bun-s-zig-fork-got-4x-faster-compilation-times/15183/19) одного из разработчиков Zig причина отклонения патчей не в AI, а в том, что распараллеливание семантического анализа затрагивает не только компилятор, но и сам язык - чтобы реализовать предложенную функциональность без ошибок и несовместимостей, требуется внесение изменений в язык Zig. Вместо распараллеливания, разработчики Zig развивают инкрементальную компиляцию, которая по их предположению позволит на порядок повысить скорость компиляции.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит (https://www.opennet.ru/opennews/art.shtml?num=59738) набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка (https://www.opennet.ru/opennews/art.shtml?num=61915) для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore (https://developer.apple.com/documentation/javascriptcore) и компоненты проекта WebKit (https://webkit.org/) с дополнительными патчами (https://github.com/oven-sh/WebKit).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65379 (https://www.opennet.ru/opennews/art.shtml?num=65379)

https://www.opennet.ru/opennews/art.shtml?num=65379

Доменная зона DE на несколько часов ...

2026-05-06T09:13:33+02:00

Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

Произошёл (https://blog.denic.de/en/denic-reports-resolved-dnssec-disruption-affecting-de-domains/) массовый сбой в работе доменной зоны "DE", применяемой в Германии. Проблемы возникли (https://bsky.app/profile/denic.de/post/3ml55z2xpq62r) из-за ошибки в настройке DNSSEC (https://ru.wikipedia.org/wiki/DNSSEC) для корневой зоны "DE", совершённой организацией DENIC (https://en.wikipedia.org/wiki/DENIC), отвечающей за домен первого уровня "DE". С 5 мая 22:30 по 6 мая 1:30 (https://radar.cloudflare.com/dns/de?dateRange=1d) (MSK) попытка резолвинга доменов в зоне "DE" через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC.

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила (https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz) проверку подлинности через DNSSEC для доменов в зоне "DE". Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается (https://community.letsencrypt.org/t/issues-getting-certificates-for-de-zone/247023), что проблема возникла из-за ошибки при обновлении (https://dnsviz.net/d/spiegel.de/dnssec/) цифровой подписи для зоны "DE", произведённом (https://www.namecheap.com/status-updates/planned-denic-de-registry-scheduled-maintenance-may-5-2026/) 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне "DE" операции криптографическая подпись (RRSIG - Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65380 (https://www.opennet.ru/opennews/art.shtml?num=65380)

https://www.opennet.ru/opennews/art.shtml?num=65380

Опубликована платформа Node.js 26.0.0 ...

2026-05-05T22:13:35+02:00

Опубликована платформа Node.js 26.0.0

Состоялся (https://nodejs.org/en/blog/release/v26.0.0) релиз Node.js 26.0.0 (https://nodejs.org), платформы для выполнения сетевых приложений на языке JavaScript. Node.js 26.0 отнесён (https://github.com/nodejs/Release) к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Поддержка Node.js 26.x будет осуществляться до мая 2029 года. Сопровождение прошлой LTS-ветки Node.js 24.x будет осуществляться до 30 апреля 2028 года, а позапрошлой 22.x - до 30 апреля 2027 года. Сопровождение LTS-ветки 20.x прекращено 30 апреля 2026 года, а промежуточной ветки Node.js 25.x будет прекращено 1 июня 2026 года.

Основные улучшения (https://nodejs.org/en/blog/release/v26.0.0):

- Включён по умолчанию API Temporal (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Temporal), предлагающий альтернативный набор методов для работы с датами и временем. API позволяет манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем. Время может задаваться в независимом от часового пояса представлении (Temporal.PlainDate, Temporal.PlainTime, Temporal.PlainDateTime), с привязкой к часовому поясу (Temporal.ZonedDateTime) и в эпохальном представлении (Temporal.Instant - число наносекунд с 1 января 1970 года).

- Движок V8 обновлён до версии 14.6, применяемой в Chromium 146 (https://www.opennet.ru/opennews/art.shtml?num=64979). Из улучшений по сравнению с прошлым выпуском Node.js отмечена возможность объединять несколько итераторов в один с помощью метода Iterator.concat(), а также реализация
спецификации "upsert (https://tc39.es/proposal-upsert/)" для упрощения работы с коллекциями пар ключ/значение в JavaScript-объектах Map и WeakMap.

- HTTP-клиент undici (https://undici.nodejs.org/) обновлён до ветки 8.x (https://github.com/nodejs/undici/tags).

- Удалён метод http.Server.prototype.writeHeader(), вместо которого следует использовать http.Server.prototype.writeHead().

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей (https://www.npmjs.com/), в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv (https://github.com/libuv/libuv), которая является надстройкой над libev (http://software.schmorp.de/pkg/libev.html) в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio (http://software.schmorp.de/pkg/libeio.html), для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares (http://c-ares.haxx.se/). Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8 (http://code.google.com/p/v8/). По своей сути Node.js похож на фреймворки Perl AnyEvent (http://search.cpan.org/dist/AnyEvent/), Ruby Event Machine (https://github.com/eventmachine/eventmachine), Python asyncio (https://docs.python.org/3/library/asyncio.html) и реализацию (http://wiki.tcl.tk/1527) событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65374 (https://www.opennet.ru/opennews/art.shtml?num=65374)

https://www.opennet.ru/opennews/art.shtml?num=65374

Проект PHP перешёл на лицензию BSD-3 и ...

2026-05-05T20:43:33+02:00

Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License

Разработчики языка программирования PHP направили в организацию OSI (Open Source Initiative) уведомление (https://lists.opensource.org/pipermail/license-review_lists.opensource.org/2026-May/006087.html) о добровольном выводе из обращения лицензии PHP License 3.01 (https://www.php.net/license/3_01.txt). Заявлено, что после нескольких лет работы код инструментария PHP полностью переведён на лицензию BSD-3 и в проекте больше не осталось кода под старой лицензией PHP License 3.01. Текст новой версии лицензии PHP License (https://github.com/php/php-src/blob/master/LICENSE) заменён на копию лицензии BSD-3.

Ранее интерпретатор PHP и движок Zend Engine распространялись под разными лицензиями PHP License (https://opensource.org/license/php-3-0) и Zend Engine License (https://github.com/php/php-src/blob/master/Zend/LICENSE). Переход на общую лицензию BSD-3 упростит условия лицензирования, обеспечит совместимость с GPL и решит давние проблемы, сохранив при этом все права пользователей и разработчиков. Ранее применявшиеся лицензии были признаны (https://www.gnu.org/licenses/license-list.html#PHP-3.01) Фондом СПО несовместимыми с GPL из-за пункта, не позволяющего без получения письменного разрешения использовать слово PHP при продвижении производных продуктов.

Изначально ветки PHP 1.x и 2.x поставлялись под лицензией GPLv2, но ветка PHP 3 была переведена на использование двух лицензий - PHP License и GPL. В PHP 4 лицензия была изменена ещё раз - основной код стал распространяться только под лицензией PHP License, а движок Zend Engine, являющийся основной интерпретатора PHP, был размещён в подкаталоге "Zend/" под отдельной лицензией Zend Engine License (https://github.com/php/php-src/blob/master/Zend/LICENSE). Zend Engine License, как и PHP License, содержит ограничения в отношении использования слова Zend в производных продуктах, но дополнительно требует упоминания использования движка в рекламных материалах.

После перехода на лицензию BSD-3 авторские права всех участников разработки сохранились, а права пользователей остались без изменений. Новая лицензия не налагает дополнительных ограничений и не ущемляет имеющихся прав по использованию, модификации и распространению продукта. Лицензии PHP и Zend основаны на тексте 4-пунктовой лицензии BSD и переход на лицензию BSD-3 лишь привёл к удалению пунктов, определяющих требования в отношении использования бренда "PHP", а также к прекращению действия условия, предписывающего упоминать об использовании свободного проекта PHP в производных продуктах.

Cмена лицензии не потребовала получения отдельного согласия от каждого разработчика, так как в тексте лицензий PHP и Zend определены полномочия, позволяющие PHP Group (https://www.php.net/credits.php) вносить изменения в лицензию и выпускать новые версии лицензии. Для перехода на лицензию BSD-3 было достаточно одобрения членов PHP Group и получения письменного подтверждения от юристов компании Perforce Software, которой принадлежит компания Zend Technologies. Процесс перехода на новую лицензию оформлен как обновление кода до версий PHP License v4 и Zend Engine License v3, текст которых совпадает с текстом лицензии BSD-3.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65372 (https://www.opennet.ru/opennews/art.shtml?num=65372)

https://www.opennet.ru/opennews/art.shtml?num=65372

Выпуск операционной системы ToaruOS 2.3 ...

2026-05-05T19:43:35+02:00

Выпуск операционной системы ToaruOS 2.3

Опубликован (https://toaruos.org/toaruos-23-is-out.html) выпуск Unix-подобной операционной системы ToaruOS 2.3 (http://toaruos.org/), написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную операционную систему. Код проекта написан на языке Си и распространяется (https://github.com/klange/toaruos) под лицензией BSD. Для загрузки подготовлен live-образ (https://github.com/klange/toaruos/releases/tag/v2.3.1), размером 7.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox.

( )

В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых оформлено большинство имеющихся драйверов устройств, таких как драйверы диска (PATA и ATAPI), ФС EXT2 и ISO9660, framebuffer, клавиатуры, мыши, сетевых карт (AMD PCnet FAST, Realtek RTL8139 и Intel PRO/1000), звуковых чипов (Intel AC'97), а также дополнений VirtualBox для гостевых систем. Ядро поддерживает Unix-потоки, TTY, виртуальную ФС, псевдо-ФС /proc, многопоточность, IPC, ramdisk, ptrace, разделяемую память, многозадачность и другие типовые возможности.

Cистема снабжена композитным оконным менеджером (http://toaruos.org/yutani-the-new-compositor.html), поддерживает динамически связываемые исполняемые файлы в формате ELF, многозадачность, графический стек, может выполнять Python 3 и GCC. В качестве файловой системы применяется ext2. Загрузчик поддерживает BIOS и EFI. Сетевой стек позволяет использовать API сокетов в стиле BSD-систем и поддерживает сетевые интерфейсы, включая loopback.

Из собственных приложений выделяется похожий на Vi редактор кода Bim, который используется последние несколько лет для разработки специфичных для ToaruOS приложений, таких как файловый менеджер, эмулятор терминала, графическая панель с поддержкой виджетов, пакетный менеджер, а также библиотеки для поддержки изображений (PNG, JPEG) и TrueType-шрифтов. Для ToaruOS выполнено портирование таких программ, как Vim, GCC, Binutils, FreeType, MuPDF, SDL, Cairo, Doom, Quake, Super Nintendo emulator, Bochs и т.п.

Проектом также развивается собственный динамический язык программирования Kuroko (https://kuroko-lang.github.io/), рассчитанный на замену Python при разработке утилит и пользовательских приложений для системы. Язык по синтаксису напоминает Python (позиционируется как сокращённый диалект Python с явным определением переменных) и отличается очень компактной реализацией. Поддерживается компиляция и интерпретация байткода. Интерпретатор байткода предоставляет сборщик мусора, поддерживает многопоточность без применения глобальной блокировки. Компилятор и интерпретатор могут быть собраны в форме небольшой разделяемой библиотеки (~500КБ), интегрируемой с другими программами и расширяемой через C API. Кроме ToaruOS язык может использоваться в Linux, macOS, Windows и запускаться в браузерах с поддержкой WebAssembly.

В новом выпуске (https://github.com/klange/toaruos/releases/tag/v2.3.0):

- В эмулятор терминала добавлена поддержка вкладок, переключаться между которыми можно последовательностью Alt-цифра.
Реализована эмуляция жирного начертания шрифтов через двойное наложение глифов. Добавлены подменю "Terminal state" для включения показа состояния различных режимов и "Send signal" для отправки сигналов фоновым процессам.

- Реализован просмотрщик системных руководств, поддерживающий man-страницы в формате roff.

- В контекстное меню добавлено подменю для управления мозаичной компоновкой окон.

- В ядре реализованы новые системные вызовы, среди которых pread/pwrite, sigsuspend, sigqueue, lchown, pipe2, dup3, getrusage и fcntl. Добавлена поддержка флагов FD_CLOEXEC и FD_CLOFORK. Реализована поддержка рандомизации адреса загрузки ядра. ABI системных вызовов переведено на использование инструкций syscall/sysret.

- Значительно расширены возможности виртуальной консоли (TTY), обеспечена эмуляция текстового режима VGA на базе фреймбуфера.

- В версии для архитектуры Aarch64 реализована возможность запуска в виртуальных машинах на базе QEMU.

- В сетевой стек добавлена поддержка одновременной работы с несколькими сокетами ICMP.

- В стандартную библиотеку libc добавлены функции getdelim, getline,
scandir, telldir, rewinddir, seekdir, ftruncate, fchmod, fchown, popen, pclose, sig2str, str2sig.

- Добавлены новые стандартные утилиты rmdir, uniq, cmp, zcat, realpath, id, nohup, cksum. Добавлены новые опции в ls, grep и fgrep. Переписаны утилиты ps, top, pstree, killall и pidof, которые переведены на новую библиотеку libtoaru_procfs, унифицирующую работу с псевдо-ФС /proc. Расширен командный интерпретатор esh.

- Добавлена утилита check-image для проверки возможности загрузки изображения графической библиотекой и вывода размера изображения.

- Язык программирования Kuroko обновлён до версии 1.5rc2 (https://github.com/kuroko-lang/kuroko/releases/tag/v1.5.0rc2).

- До версии 3.2 обновлён текстовый редактор Bim (https://github.com/klange/bim), созданный с оглядкой на Vim. В новой версии улучшена подсветка синтаксиса, расширена поддержка скриптов на языке Kuroko и добавлена новая система автодополнения ввода.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65367 (https://www.opennet.ru/opennews/art.shtml?num=65367)

https://www.opennet.ru/opennews/art.shtml?num=65367

Уязвимости в Nix и Lix, позволяющие ...

2026-05-05T13:43:34+02:00

Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе

В пакетных менеджерах Nix (https://github.com/NixOS/nix) и Lix (https://lix.systems/) выявлена уязвимость (https://discourse.nixos.org/t/security-advisory-local-privilege-escalation-in-lix-and-nix/77407), позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root. Проблема (CVE не присвоен) проявляется в фоновом процессе nix-daemon (https://nix.dev/manual/nix/2.26/command-ref/new-cli/nix3-daemon), применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов.

Уязвимость возникает (https://github.com/NixOS/nix/security/advisories/GHSA-vh5x-56v6-4368) из-за отсутствия ограничения рекурсивной обработки директорий в коде для разбора архивов NAR (Nix Archive), что можно использовать для инициирования исчерпания стека сопрограмм и перезаписи содержимого кучи (heap), размещённой после стека без сторожевых страниц памяти. Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix.

Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей и реализацией дополнительных проверок символических ссылок в NAR.
В Nix уязвимость проявляется начиная с версии 2.24.4 и устранена в выпусках 2.34.7, 2.33.6, 2.32.8, 2.31.5, 2.30.5, 2.29.4, 2.28.7 (https://github.com/NixOS/nix/tags). В Lix уязвимость появилась в выпуске 2.93.0 и устранена в обновлениях 2.93.4, 2.94.2 и 2.95.2 (https://github.com/lix-project/lix/tags). Пакетный менеджер Guix уязвимость не затрагивает.

Помимо этого в опубликованных обновлениях Nix устранена ещё одна уязвимость (https://github.com/NixOS/nix/security/advisories/GHSA-gr92-w2r5-qw5p) (CVE отсутствует), которой присвоен средний уровень опасности (4.3 из 10). Проблема проявляется начиная с выпуска Nix 2.24.7 и позволяет организовать запись файлов в область за пределами корневого каталога, в который осуществляется распаковка архива. Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями. При распаковки подобных архивов командой "nix-prefetch-url --unpack" или "nix store prefetch-file --unpack" файлы с абсолютными путями извлекаются как есть, без преобразования в относительный путь.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65364 (https://www.opennet.ru/opennews/art.shtml?num=65364)

https://www.opennet.ru/opennews/art.shtml?num=65364

Amazon опубликовал REX, среду для ...

2026-05-04T22:13:39+02:00

Amazon опубликовал REX, среду для контролируемого выполнения скриптов

Компания Amazon представила (https://aws.amazon.com/blogs/opensource/introducing-trusted-remote-execution-policy-enforced-scripts-for-ai-agents-and-humans/) движок безопасного исполнения скриптов REX (https://github.com/trusted-remote-execution/trusted-remote-execution) (Trusted Remote Execution), допускающий только разрешённые для каждого конкретного скрипта операции. Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога, а несанкционированные попытки удаления или изменения файлов заблокируются. Код REX написан на языке Rust и открыт (https://github.com/trusted-remote-execution/trusted-remote-execution) под лицензией Apache 2.0.

REX может применяться для контроля и ограничения операций, выполняемых скриптами, генерируемыми AI-агентами в процессе выполнения запросов системной автоматизации. При помощи REX владелец хоста может блокировать выполнение нецелевых действий и управлять тем, какие именно операции разрешены, независимо от запросов, поступающих AI-агенту. Подобный подход даёт возможность защититься от нового класса атак, в которых злоумышленники используют подстановку запросов AI-агентам для выполнения действий в системе.

( )

Для написания скриптов в REX применяется язык Rhai (https://rhai.rs/), использующий динамическую типизацию и предоставляющий синтаксис, напоминающий смесь JavaScript и Rust. К скрипту привязываются правила на языке Cedar (https://cedarpolicy.com/en), регламентирующие каждую выполняемую скриптом системную операцию. Скрипты выполняются в изолированном sandbox-окружении, в котором допускаются только явно разрешённые правилами операции с файлами, сетевые возможности, средства управления процессами и прочие системные функции. Каждый системный вызов, такой как открытие, чтение или запись файла, перед выполнением авторизируется в соответствии с заданными правилами.

Модель обеспечения безопасности строится на том, что правила отделены от скриптов и определяются (https://trusted-remote-execution.github.io/docs.html) не создателями скриптов или запускающими скрипты, а владельцем сервиса. Для исключения состояния гонки в скриптах и атак через символические ссылки в скриптах по возможности используются файловые дескрипторы, а не пути.
По умолчанию выполняемые движком REX скрипты не имеют прямого доступа к хосту и проводят операции через авторизированные Rust API.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65360 (https://www.opennet.ru/opennews/art.shtml?num=65360)

https://www.opennet.ru/opennews/art.shtml?num=65360

Автор Notepad++ потребовал ...

2026-05-04T13:43:34+02:00

Автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака

Автор открытого редактора кода Notepad++ обратил внимание (https://notepad-plus-plus.org/news/npp-trademark-infringement/) на появление неофициального порта "Notepad++ for macOS (https://notepad-plus-plus-mac.org/)", использующего без разрешения товарный знак Notepad++ и логотип проекта. Порт не имеет никакого отношения к основному проекту, но на своём сайте копирует оформление официального сайта Notepad++ (https://notepad-plus-plus.org/), использует на странице загрузки название "Notepad++ 1.0.5", а на странице с информацией о проекте упоминает создателя Notepad++ среди автора порта.

По мнению создателя Notepad++ подобные действия вводят пользователей в заблуждение и создают впечатление, что порт для macOS является частью официального проекта, созданного при участии и с ведома автора Notepad++. Код порта написан сторонним энтузиастом с использованием (https://github.com/notepad-plus-plus-mac/notepad-plus-plus) AI-ассистента Claude. В репозитории и на сайте не уточнятся, что это сторонний проект, поэтому во многих заметках в социальных сетях, блогах и интернет-изданиях порт стали преподносить как появление в Notepad++ поддержки платформы macOS, а не как возникновение отдельного проекта, никак не связанного с разработчиками оригинального Notepad++.

Дон Хо (Don Ho), автор Notepad++, призвал прекратить использование логотипа Notepad++ и переименовать порт, чтобы у пользователей не возникали ложные ассоциации о его связи с основным проектом. В остальном Дон Хо приветствовал (https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17982#issuecomment-4347477621) попытки адаптировать код для macOS и считает, что проведённая работа сможет помочь многим пользователям данной платформы. Дон Хо ничего не имеет против создания форков отрытого кода, но призывает не вводить в заблуждение их мнимой связью с исходными проектами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65358 (https://www.opennet.ru/opennews/art.shtml?num=65358)

https://www.opennet.ru/opennews/art.shtml?num=65358

Релиз набора компиляторов GCC 16 ...

2026-04-30T22:13:35+02:00

Релиз набора компиляторов GCC 16

После года разработки опубликован (https://gcc.gnu.org/pipermail/gcc-announce/2026/000190.html) релиз свободного набора компиляторов GCC 16.1 (https://gcc.gnu.org/gcc-16/), первый значительный выпуск в новой ветке GCC 16.x. В соответствии со схемой нумерации выпусков (https://gcc.gnu.org/develop.html#num_scheme), версия 16.0 использовалась в процессе разработки, а незадолго до выхода GCC 16.1 уже ответвилась ветка GCC 17.0 (https://gcc.gnu.org/gcc-17/), на базе которой будет сформирован следующий значительный релиз GCC 17.1.

Основные изменения (https://gcc.gnu.org/gcc-16/changes.html):

- Режим по умолчанию для языка C++ переключён на использование стандарта C++20 (https://www.opennet.ru/opennews/art.shtml?num=53670) (диалект GNU C++20, -std=gnu++20) вместо ранее предлагавшегося C++17 (https://www.opennet.ru/opennews/art.shtml?num=47153). Реализация C++20 в стандартной библиотеке объявлена стабильной.

- В состав включён экспериментальный фронтэнд ga68 (https://gcc.gnu.org/wiki/Algol68FrontEnd) для компиляции программ на языке программирования Алгол 68 (Algol 68).

- Добавлена возможность вывода диагностической информации в формате HTML. Расширена информация о ходе выполнения программы, включаемая при выводе диагностики в формате SARIF (https://gcc.gnu.org/wiki/SARIF), основанном на JSON (поддержка "-fdiagnostics-format=json" прекращена).

- Расширены оптимизации на этапе связывания (LTO, Link-Time Optimization). Добавлена опция "-flto-toplevel-asm-heuristics", включающая эвристику для улучшения оптимизации кода с ассемблерными вставками. Техника спекулятивной девиртуализации (-fdevirtualize-speculatively) теперь не ограничена преобразованием виртуальных методов и может применяться при преобразовании в прямые вызовы любых косвенных вызовов функций, например, вызовов через указатели.

- Реализована поддержка векторизации циклов, для которых на этапе компиляции неизвестно число итераций. Повышена эффективность обработки досрочных выходов из цикла (например, через break).

- Добавлена экспериментальная поддержка многих (https://en.cppreference.com/cpp/compiler_support) возможностей (https://gcc.gnu.org/projects/cxx-status.html) недавно утверждённого стандарта C++26 (https://www.opennet.ru/opennews/art.shtml?num=65102). Например, реализованы:

Рефлексия (https://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%84%D0%BB%D0%B5%D0%BA%D1%81%D0%B8%D1%8F_(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5)) (Reflection (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html), "-freflection"), позволяющая отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "^^ (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html#the-reflection-operator)" для получения метаинформации о грамматической конструкции и "[:…:] (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html#splicers)" для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами.

Контрактное программирование (https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BD%D1%82%D1%80%D0%B0%D0%BA%D1%82%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5) (Contracts (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2900r14.pdf)), позволяющее определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений. Возможность появится в GCC 16.

Оператор "template for (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p1306r5.html)" для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений.

Библиотека std::simd для распараллеливания выполнения операций над данными при помощи наборов инструкций SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.
Библиотеки std::inplace_vector, std::optional‹T&›, std::copyable_function, std::function_ref, std::indirect, std::polymorphic и std::owner_equal.

- Реализованы возможности, связанные со стандартом C++23, такие как явное (https://wg21.link/P2590R2) управление временем жизни объектов и поддержка (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2021/p2246r1.pdf) указания кодировки символов диагностических сообщений.

- Расширена поддержка стандарта C23 (https://www.opennet.ru/opennews/art.shtml?num=62278), например, реализована возможность использования атрибута "counted_by" для проверки корректности использования указателей.

- Продолжена (https://gcc.gnu.org/projects/gomp/) реализация стандартов OpenMP 5.0, 5.1, 5.2 и 6.0 (https://www.openmp.org/specifications/) (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Улучшена (https://gcc.gnu.org/wiki/OpenACC) реализация спецификаций параллельного программирования OpenACC 3.0, 3.3 и 3.4 (https://www.openacc.org/), определяющих средства для выноса операций (offloading) на GPU и специализированные процессоры, такие как NVIDIA PTX.

- В бэкенд для архитектуры x86 добавлена поддержка процессоров AMD на основе микроархитектуры Zen6 (-march=znver6), а также процессоров Intel Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).

- В бэкенде генерации кода для GPU AMD Radeon (GCN) реализована поддержка ускорителей AMD Instinct MI300 (gfx942).

- Для архитектур RISC-V, ARM, S/390 и LoongArch реализована поддержка типа "_BitInt (N)" для определения целых чисел с указанным числом битов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65329 (https://www.opennet.ru/opennews/art.shtml?num=65329)

https://www.opennet.ru/opennews/art.shtml?num=65329

Copy Fail - уязвимость в ядре Linux, ...

2026-04-30T13:13:36+02:00

Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

Исследователи из компании Xint выявили (https://xint.io/blog/copy-fail-linux-distributions) в ядре Linux уязвимость (https://copy.fail/) (CVE-2026-31431 (https://security-tracker.debian.org/tracker/CVE-2026-31431)), позволяющую непривилегированному пользователю получить root-доступ к системе. Проблеме присвоено кодовое имя Copy Fail. Доступен прототип эксплоита (https://github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.py). Возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16, но отмечается, что пакеты с ядром из других дистрибутивов, включая Debian, Arch, Fedora, Rocky и Alma, тоже подвержены проблеме, но их отдельно не тестировали.

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG), допущенной при внесении в 2017 году оптимизации (https://github.com/torvalds/linux/commit/72548b093ee3) для исключений лишней буферизации через выполнения по месту (in-place) операций блочного шифрования AEAD (https://ru.wikipedia.org/wiki/AEAD-%D1%80%D0%B5%D0%B6%D0%B8%D0%BC_%D0%B1%D0%BB%D0%BE%D1%87%D0%BD%D0%BE%D0%B3%D0%BE_%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F) (Authenticated Encryption with Associated Data). Проблема вызвана из-за некорректного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Таким образом, при передаче файла в сокет AF_ALG для расшифровки структура scatterlist содержала не ссылку на отдельный буфер, а прямую ссылку на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD смешивались привязанные по ссылке страницы "auth tag" с копируемыми в RX-буфер дополнительными аутентифицируемыми данными (AAD, Associated Authenticated Data) и шифротекстом, а смещение для операции записи в "auth tag" рассчитывалось относительно скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта в по выбранному смещению, что позволяет позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов, включая загрузку исполняемых файлов и разделяемых библиотек, содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в произвольные процессы или искажения данных в открываемых файлах.

В предложенном эксплоите (https://github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.py) выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для отключения проверки пароля.
При последующем запуске утилиты "su", будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.
Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5) в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2026-31431), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-31431), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-31431), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-31431), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-31431), Arch (https://security.archlinux.org/package/linux),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=8).

В качестве обходного пути защиты можно отключить модуль ядра algif_aead, который может использоваться в OpenSSL при явном включении движка afalg и в некоторых отдельных приложениях (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG"):

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

Источник: https://www.opennet.ru/opennews/art.shtml?num=65325 (https://www.opennet.ru/opennews/art.shtml?num=65325)

https://www.opennet.ru/opennews/art.shtml?num=65325

Выпуск инструментариев для ...

2026-04-30T09:43:34+02:00

Выпуск инструментариев для управления контейнерами LXC 7.0 и LXD 6.8

Сообщество Linux Containers опубликовало (https://discuss.linuxcontainers.org/t/lxc-7-0-lts-has-been-released/26612) релиз инструментария для организации работы изолированных контейнеров LXC 7.0 (https://linuxcontainers.org/lxc/), предоставляющий runtime, подходящий как для запуска контейнеров с полным системным окружением, близких к виртуальным машинам, так и для выполнения непривилегированных контейнеров отдельных приложений (OCI). LXC относится к низкоуровневым инструментариям, работающим на уровне отдельных контейнеров. Для централизованного управления контейнерами, развёрнутыми в кластере из нескольких серверов, на базе LXC развиваются системы Incus и LXD. Ветка LXC 7.0 отнесена к выпускам с длительной поддержкой, обновления для которых формируются в течение 5 лет (до 2031 года). Код LXC написан (https://github.com/lxc/lxc) на языке Си и распространяется под лицензией GPLv2.

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

- Реализована изоляция процесса мониторинга при помощи механизма Landlock (https://landlock.io/), позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.

- Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.

- Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.

- Устранена уязвимость (https://github.com/lxc/lxc/security/advisories/GHSA-3m9j-g9gc-vcvq) (CVE-2026-39402 (https://security-tracker.debian.org/tracker/CVE-2026-39402)), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала (https://discourse.ubuntu.com/t/lxd-6-8-has-been-released/80650) новую версию системы управления контейнерами LXD 6.8 (https://github.com/canonical/lxd). LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений (https://documentation.ubuntu.com/lxd/latest/reference/release-notes/release-notes-6.8/) в LXD 6.8:

- Добавлена функция связывания кластеров (Cluster links (https://documentation.ubuntu.com/lxd/latest/explanation/clusters/#exp-cluster-links)), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.

( )

- Добавлена новая роль узлов кластера - "control-plane (https://documentation.ubuntu.com/lxd/latest/howto/cluster_manage/#cluster-manage-control-plane)", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.

- Реализованы репликаторы (https://documentation.ubuntu.com/lxd/latest/howto/replicators_create/#howto-replicators-setup), позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.

- Добавлена поддержка (https://documentation.ubuntu.com/lxd/latest/api-extensions/#extension-gpu-cdi-hotplug) горячего подключения устройств GPU CDI (https://documentation.ubuntu.com/lxd/latest/reference/devices_gpu/#gpu-physical-cdi) (Container Device Interface) к работающим контейнерам.

- В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).

- В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.

( )

( )

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65327 (https://www.opennet.ru/opennews/art.shtml?num=65327)

https://www.opennet.ru/opennews/art.shtml?num=65327

Представлен GTK2-NG, форк библиотеки ...

2026-04-29T14:43:35+02:00

Представлен GTK2-NG, форк библиотеки GTK2

Один из разработчиков дистрибутива Devuan представил (https://devuanusers.com/thread-gtk2-revival-thread--80) проект GTK2-NG (https://git.devuan.org/Daemonratte/gtk2-ng), который будет развивать форк библиотеки GTK2, нацеленный на продолжение её сопровождения и обеспечение качественной работы в современных дистрибутивах. Поддержание форка позволит продолжить поставку в Devuan приложений, завязанных на GTK2, после прекращения (https://www.opennet.ru/opennews/art.shtml?num=64618) поддержки GTK2 в дистрибутиве Debian 14, релиз которого ожидается летом 2027 года.

Разработчики проекта GTK прекратили сопровождение GTK2 более пяти лет назад, а пакеты с GTK2 уже исключены из официальных репозиториев дистрибутивов Red Hat Enterprise Linux, SUSE Linux Enterprise Server, openSUSE и Arch Linux (доступен через AUR). Из значимых проектов GTK2 продолжает использовать звуковой редактор Ardour, но данный проект не зависит от внешних библиотек и поддерживает собственный форк GTK2 - YTK (https://www.opennet.ru/opennews/art.shtml?num=63547). В репозитории Debian остаётся около 150 пакетов, связанных зависимостями с GTK2, среди которых afterstep, Double Commander, fpc, gkrellm, gmpc, hexchat, lazarus, mplayer, navit, pidgin, sane-frontends, scim, sylpheed, tickr, tilem,
uim, usermode, xsane, xzgv и z88.

В GTK2-NG добавлено (https://git.devuan.org/Daemonratte/gtk2-ng/commits/branch/master) несколько десятков изменений, в основном связанных с переносом исправлений, распространявшихся в форме патчей в пакетах из AUR и Debian, и исправлением предупреждений, выдаваемых компилятором. Из улучшений отмечается модернизация функции сортировки массивов g_sort_array и замена алгоритма масштабирования для повышения чёткости пиктограмм. В виджете выбора файлов (filechooser) решены имевшиеся проблемы и проведена оптимизация
отображения в виде иконок содержимого каталогов с большим числом файлов. Протестирована сборка с использованием GCC 14 и Clang 21.

Из планов на будущее отмечается перенос изменений из форка (https://github.com/stefan11111/gtk2) GTK2, развиваемого (https://lists.suckless.org/dev/2407/35657.html) участником проекта Xlibre - stefan11111 (https://github.com/stefan11111), а также бэкпортирование кода из YTK (https://github.com/Ardour/ardour/tree/master/libs/tk/ytk), форка GTK2 от проекта Ardour. Среди задач также называется проверка сборки в GCC 15 и добавление поддержки использования libppd (https://github.com/OpenPrinting/libppd) для вывода на печать на системах с CUPS 3.x. Не исключается задействование лицензии GPLv3 для нового кода и смена названия для исключения претензий от проекта GNOME.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65323 (https://www.opennet.ru/opennews/art.shtml?num=65323)

https://www.opennet.ru/opennews/art.shtml?num=65323

Valve опубликовала сетевую ...

2026-04-29T13:13:40+02:00

Valve опубликовала сетевую библиотеку GameNetworkingSockets 1.5.0

После четырёх лет разработки компания Valve опубликовала (https://github.com/ValveSoftware/GameNetworkingSockets/releases/tag/v1.5.0) релиз библиотеки GameNetworkingSockets 1.5.0 (https://github.com/ValveSoftware/GameNetworkingSockets) с реализацией системы передачи сообщений поверх UDP, которая может применяться для организации высокоскоростного и надёжного сетевого обмена данными в играх. Код написан на языке С++ и поставляется (https://github.com/ValveSoftware/GameNetworkingSockets) под лицензией BSD.

GameNetworkingSockets реализует поверх UDP похожий на TCP протокол, обеспечивающий установку соединения, но ориентированный на передачу сообщений вместо потоков. Через установленный канал связи сообщения могут передаваться как в режиме гарантированной доставки, так и с использованием более быстрого режима ненадёжной передачи.

Протокол поддерживает такие возможности как обработка фрагментации, пересборка пакетов, прогнозирование и ограничение пропускной способности, создание P2P-каналов связи, обход трансляторов адресов (через WebRTC ICE) и шифрование. Данные в пакетах шифруются с использованием алгоритма блочного шифрования AES, а для обмена ключами и проверки сертификатов применяются цифровые подписи на базе эллиптических кривых Ed25519. Механизмы доставки ключей и выбора вектора инициализации для каждого пакета основаны на методах, применяемых в протоколе QUIC (https://www.opennet.ru/opennews/art.shtml?num=42063).

Среди изменений в новой версии:

- API ISteamNetworkingSockets::SendMessages расширен для упрощения обработки сбоев при отправке и инициирования повторных попыток доставки.

- Добавлены новые настройки для ECN, jitter-а, определения локального IP (IPLocalHost) и отключения аутентификации (AllowWithoutAuth).

- Добавлен вариант API ISteamNetworkingMessages для языка Си.

- Реализована начальная версия обвязки для языка Rust.

- Исправлены ошибки в реализации режима P2P.

- Реализована автоматическая корректировка ситуаций, связанных с нарушением порядка прихода пакетов и сообщений.

- Улучшена интеграция с инструментариями CMake и vcpkg.

- Налажена совместимость с новыми версиями библиотек protobuf (https://github.com/protocolbuffers/protobuf) и abseil (https://github.com/abseil/abseil-cpp).

- Добавлена поддержка диагностики через ETW (Event Tracing for Windows).

- Устранены уязвимости, информация о которым не детализируется, но судя по логу изменений речь о целочисленном переполнении (https://github.com/ValveSoftware/GameNetworkingSockets/commit/10f2446b986a706a98b9572056a7cb5cfaa2dc71) в функциях отправки пакетов и возможности обхода (https://github.com/ValveSoftware/GameNetworkingSockets/commit/e57ad381415e860c4d7b8484c183680e27c23130) проверки сертификата в функции CheckCertPOPID.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65318 (https://www.opennet.ru/opennews/art.shtml?num=65318)

https://www.opennet.ru/opennews/art.shtml?num=65318

В Нидерландах на базе Forgejo создана ...

2026-04-29T12:13:34+02:00

В Нидерландах на базе Forgejo создана платформа совместной разработки кода для госучреждений

Правительство Нидерландов ввело в строй (https://www.dutchitchannel.nl/news/730694/rijksoverheid-lanceert-eigen-soort-github-code-overheid-nl) собственный хостинг исходного кода code.overheid.nl (https://code.overheid.nl/), на котором планируют публиковать и совместно разрабатывать отрытое ПО для госучреждений. Хостинг позиционируется как европейская альтернатива GitHub и GitLab и направлен на обеспечение цифрового суверенитета. В качестве основы использована отрытая платформа совместной разработки Forgejo (https://www.opennet.ru/opennews/art.shtml?num=64074).

Проект запущен подразделением Open Source Program Office, созданным при Министерстве внутренних дел и по делам королевства Нидерландов (https://ru.wikipedia.org/wiki/%D0%9C%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D0%B5%D1%80%D1%81%D1%82%D0%B2%D0%BE_%D0%B2%D0%BD%D1%83%D1%82%D1%80%D0%B5%D0%BD%D0%BD%D0%B8%D1%85_%D0%B4%D0%B5%D0%BB_%D0%B8_%D0%BF%D0%BE_%D0%B4%D0%B5%D0%BB%D0%B0%D0%BC_%D0%BA%D0%BE%D1%80%D0%BE%D0%BB%D0%B5%D0%B2%D1%81%D1%82%D0%B2%D0%B0_%D0%9D%D0%B8%D0%B4%D0%B5%D1%80%D0%BB%D0%B0%D0%BD%D0%B4%D0%BE%D0%B2), и продвигает философию "Открыто, если не оговорено иное" ("Open, tenzij"), в соответствии с которой по умолчанию код развиваемых для госучреждений программных продуктов по возможности должен публиковаться в открытом доступе, чтобы другие госучреждения, граждане и компании могли проверять, использовать для собственных целей и улучшать код. Предполагается, что подобный подход не только повысит качество ПО, но и позволит добиться увеличения прозрачности процессов.

На текущем этапе хостинг открытого кода запущен в пилотном режиме и доступен ограниченной группе организаций. Заинтересованные в участии разработчики и организации могут присоединиться к тестированию, отправив заявку координатору проекта. Предполагается, что в ближайший год к проекту смогут подключиться различные государственные службы Нидерландов, от министерств до муниципалитетов.

Платформа Forgejo (https://forgejo.org/) является форком проекта Gitea (https://www.opennet.ru/opennews/art.shtml?num=58197), который в свою очередь ответвился (https://www.opennet.ru/opennews/art.shtml?num=45802) от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65316 (https://www.opennet.ru/opennews/art.shtml?num=65316)

https://www.opennet.ru/opennews/art.shtml?num=65316

В Python-пакет elementary-data, имеющий 1.1 млн ...

2026-04-28T22:43:36+02:00

В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код

Компания Elementary Data сообщила (https://www.elementary-data.com/post/security-incident-report-malicious-release-of-elementary-oss-python-cli-v0-23-3) о компрометации рабочих процессов GitHub Actions, в результате которой атакующие смогли (https://github.com/elementary-data/elementary/issues/2205) опубликовать в каталоге PyPI и в GitHub-репозитории (https://github.com/elementary-data/elementary) выпуск пакета elementary-data 0.23.3 (https://pypi.org/project/elementary-data/), в который был внедрён вредоносный код для кражи конфиденциальной информации с систем пользователей. Вредоносный выпуск также был включён в состав официального Docker-образа (https://ghcr.io/elementary-data/elementary) проекта. В прошлом месяце пакет elementary-data был загружен из репозитория PyPI более 1.1 млн раз (https://pypistats.org/packages/elementary-data).

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65313 (https://www.opennet.ru/opennews/art.shtml?num=65313)

https://www.opennet.ru/opennews/art.shtml?num=65313

Уязвимость в PackageKit, позволяющая ...

2026-04-24T11:13:13+02:00

Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux

В PackageKit (https://github.com/PackageKit/PackageKit/), D-Bus-прослойке, унифицирующей операции управления пакетами, выявлена уязвимость (https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html) Pack2TheRoot (CVE-2026-41651 (https://github.com/PackageKit/PackageKit/security/advisories/GHSA-f55j-vvr9-69xv)), позволяющая непривилегированному пользователю установить или удалить произвольный пакет и получить root-доступ к системе. Проблема проявляется начиная с версии 1.0.2 (https://github.com/PackageKit/PackageKit/releases/tag/PACKAGEKIT_1_0_2) (2014 год) и устранена (https://github.com/PackageKit/PackageKit/commit/76cfb675fb31acc3ad5595d4380bfff56d2a8697) в выпуске PackageKit 1.3.5 (https://lists.freedesktop.org/archives/packagekit/2026-April/026513.html).

Проблему выявили исследователи из компании Deutsche Telekom пр помощи AI-модели Claude Opus. Подготовлен рабочий эксплоит, действующий в большинстве дистрибутивов с PackageKit, но его и детальную информацию об уязвимости планируют опубликовать позднее, чтобы дать пользователям время обновить свои системы. Возможность эксплуатации уязвимости продемонстрирована в
Ubuntu Desktop 18.04/24.04.4/26.04, Ubuntu Server 22.04 - 24.04,
Debian Desktop 13.4, RockyLinux Desktop 10.1 и Fedora 43 Desktop/Server. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian (https://security-tracker.debian.org/tracker/CVE-2026-41651), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-41651), SUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-41651), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-41651), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-41651), Arch (https://security.archlinux.org/package/packagekit),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=5206), FreeBSD (https://www.freshports.org/ports-mgmt/packagekit/).

Уязвимость вызвана (https://bugs.launchpad.net/bugs/cve/2026-41651) состоянием гонки при обработке флагов транзакций в фоновом процессе PackageKit, позволяющем подменить параметры операции в момент между прохождением авторизации и до запуска операции с пакетом. Атакующий может отправить D-Bus-запрос для выполнения операции, допустимой для непривилегированного пользователя, после чего следом отправить повторный D-Bus-запрос. Если повторный запрос придёт до фактического начала выполнения разрешённой операции, можно добиться переопределения флагов уже начатой транзакции и изменения прокэшированного состояния.

Таким образом, уже начатая разрешённая транзакция будет выполнена с не исходными параметрами, а с подменёнными параметрами, переданными во втором запросе. Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет, в том числе локально сохранённый атакующим. Установка пакета выполняется с правами root, поэтому для получения root-доступа в системе атакующий может добавить в пакет собственный scriptlet, автоматически запускаемый перед или после установки.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65277 (https://www.opennet.ru/opennews/art.shtml?num=65277)

https://www.opennet.ru/opennews/art.shtml?num=65277

Проект WSL9x для запуска современных ...

2026-04-23T08:43:12+02:00

Проект WSL9x для запуска современных Linux-ядер в окружении Windows 95

Не связанный с компанией Microsoft энтузиаст реализовал (https://social.hails.org/@hailey/116446826733136456) инструментарий WSL9x (https://codeberg.org/hails/wsl9x) (Windows 9x Subsystem for Linux), позволяющий запускать современные ядра Linux внутри ядра Windows 95/98/ME. Проект даёт возможность в одной системе бок о бок выполнять приложения для Linux и Windows 9x, по аналогии с тем как прослойка WSL позволяет работать с Linux-приложениями в современных версиях Windows. Поддерживается запуск только консольных Linux-программ. Код компонентов WSL9x написан на Си и ассемблере и распространяется (https://codeberg.org/hails/wsl9x) под лицензией GPLv3.

В отличие от WSL2 в WSL9x не применяется виртуализация и ядро Linux выполняется в нулевом кольце защиты параллельно с ядром Windows, что позволяет использовать WSL9x на системах без поддержки аппаратной виртуализации, даже c CPU i486. В системе применяется модифицированное ядро Linux 6.19, собранное для работы в режиме UML (https://en.wikipedia.org/wiki/User-mode_Linux) (User-mode Linux), предназначенном для запуска ядра как пользовательского процесса. Обращение к POSIX API в UML-слое трансляции заменено на вызов API ядра Windows 9x.

В Windows загружается подготовленный проектом VxD-драйвер (https://en.wikipedia.org/wiki/VxD), отвечающий за инициализацию подсистемы WSL9x, загрузку и размещение ядра Linux в памяти, диспетчеризацию прерываний, цикличную передачу управления ядру Linux в режиме совместной многозадачности и обработку адресованных Linux-ядру событий из пространства пользователя, таких как выполнение системных вызовов и обращение к невыделенным страницам памяти (page faults).

Для пользователей предлагается утилита wsl.com, оформленная в виде 16-разрядного DOS-приложения и позволяющая использовать командную строку MS-DOS для запуска Linux-программ. Утилита обеспечивает передачу событий ввода и симулирует функциональность консоли для отображения вывода с поддержкой ANSI escape-кодов.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65270 (https://www.opennet.ru/opennews/art.shtml?num=65270)

https://www.opennet.ru/opennews/art.shtml?num=65270

Инициатива по удалению из ядра ...

2026-04-22T12:13:12+02:00

Инициатива по удалению из ядра старых Ethernet-драйверов из-за ошибок, выявляемых через AI

Эндрю Ланн (Andrew Lunn), мэйнтейнер 9 подсистем (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/MAINTAINERS#:~:text=Lunn), отвечающий за сетевые драйверы в ядре Linux, опубликовал (https://lore.kernel.org/lkml/20260421-v7-0-0-net-next-driver-removal-v1-v1-0-69517c689d1f@lunn.ch/) набор патчей, удаляющих из ядра все драйверы для Ethernet-адаптеров с интерфейсами ISA и PCMCIA. Отмечается, что ранее старые драйверы не требовали особых усилий по сопровождению, но с появлением продвинутых AI-инструментов и систем fuzzing-тестирования, используемых новичками для выявления ошибок в ядре, нагрузка на сопровождающих увеличилась.

Эндрю не видит особого смысла в исправлении старых драйверов, которыми, вероятно, уже никто не пользуется, и предлагает удалить их из ядра. В представленном для рецензирования наборе патчей удалено 18 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускаемых до 2002 года. В случае одобрения Линуса Торвальдса удаление может быть произведено в ядре Linux 7.2, намеченном на середину августа.

Предложенные для удаления драйверы:

- 3com 3c509, 3c515, 3c574, 3c589 и 3c59x для серий 3Com EtherLinkIII, EtherLink XL "Corkscrew", "RoadRunner" и "Vortex".

- amd hplance, mvme147, 7990 lance и nmclan для HP300,
Motorola MVME147 SBC, AMD PCnet32 (AT1500, NE2100), Allied Telesis AT1500, HP J2405A, Alchemy Semi AU1X00.

- smsc smc9194 и smc91c92, использовались на ноутбуках DELL c док-станциями и в ethernet-картах Megahertz, Motorola, Ositech и Psion Dacom.

- cirrus cs89x0 и mac89x0 для карт с чипами Crystal Semiconductor (Cirrus Logic) CS89[02]0, которые, например, использовались в платах iMX21ADS, компьютерах Macintosh и интегрировались в CPU EP93xx.

- fujitsu fmvj18x для Ethernet-карт с чипами Fujitsu FMV-J18x.

- xircom xirc2ps для выпускавшихся в конце 1990-х 16-разрядных PCMCIA-карт Xircom.

- 8390 AX88190, pcnet, ultra и wd80x3 - для NE2000-совместимых Ethernet-карт на чипах Asix AX88190, NS8390, SMC Ultra, SMC EtherEZ, WD8003 и WD8013, таких как D-Link DE-650, Linksys EthernetCard, Accton EN2212, RPTI EP400, PreMax PE-200, Thomas
Conrad и Kingston KNE-PCM.

После публикации патчей к обсуждению подключилось несколько пользователей, которые заявили о наличии в своих инфраструктурах оборудования, использующего предложенные к удалению драйверы. Например, до сих пор используются Motorola MVME147 (https://lore.kernel.org/lkml/CAFr9PXk=3md2oVDqFbmQLNiVMkRr32pHMPNSeskdTpM-1huB=A@mail.gmail.com/), mac89x0 (https://lore.kernel.org/lkml/CAFr9PXk9GMmPWeaURvgQySwAHtFDxRH7B43u9mG1P_v-oJmzNA@mail.gmail.com/) и 3com 3C905-B (https://lore.kernel.org/lkml/71d319ef-cd49-e8a8-70dd-cf0763ac6305@winds.org/). Также упоминается (https://lore.kernel.org/lkml/0856a42d87b62d3ab7890c348b1fe9c83e630784.camel@physik.fu-berlin.de/), что удаляемые драйверы могут потребоваться для ретро-систем Alpha, SPARC, PA-RISC и 68000.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65266 (https://www.opennet.ru/opennews/art.shtml?num=65266)

https://www.opennet.ru/opennews/art.shtml?num=65266

SDL запретил приём кода от AI. Созданы ...

2026-04-20T23:13:12+02:00

SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений

Разработчики библиотеки SDL (Simple DirectMedia Layer) приняли (https://github.com/libsdl-org/SDL/pull/15353) правила, запрещающие (https://github.com/libsdl-org/SDL/pull/15353/changes) приём изменений, содержащих код, сгенерированный большими языковыми моделями, такими как ChatGPT, Claude, Copilot и Grok. При этом разрешено использование AI для выявления проблем и анализа передаваемых изменений, но исправления подобных проблем должны создаваться людьми.

Судя по полученному проектом опыту, выявленные при помощи AI проблемы часто оказываются галлюцинациями, на практике не являющимися реальными проблемами или содержащими некорректную информацию. Разработчики, передающие сведения о проблемах, выявленных при помощи AI, должны хорошо разбираться в заявляемой проблеме и собственноручно убедиться в её существовании. При отправке pull-запросов разработчик должен подтвердить, что он является автором кода и передаёт результат своего труда под лицензией Zlib.

В качестве причин запрета разработки с использованием AI называется несовместимость создаваемого через AI кода с лицензией Zlib из-за невозможности точно определить источник кода, а также возможные лицензионные конфликты из-за косвенного заимствования кода из проектов под другими лицензиями (так как большая языковая модель обучена на коде под различными лицензиями, генерируемый код потенциально может трактоваться (https://www.opennet.ru/opennews/art.shtml?num=58055) как производная работа).

Дополнительно можно упомянуть создание двух форков текстового редактора Vim, созданных из-за недовольства участившегося применения AI при подготовке изменений (https://github.com/vim/vim/commits/master/):

- Vim Classic (https://vim-classic.org/) - форк кодовой базы Vim 8.2 (https://www.opennet.ru/opennews/art.shtml?num=52031), продолжающий сопровождение прошлой ветки. Проект основал (https://drewdevault.com/blog/Forking-vim/) Дрю ДеВолт (Drew DeVault), автор пользовательского окружения Sway (https://www.opennet.ru/opennews/art.shtml?num=50296), почтового клиента Aerc (https://www.opennet.ru/opennews/art.shtml?num=50823), языка программирования Hare (https://www.opennet.ru/opennews/art.shtml?num=64794) и платформы совместной разработки SourceHut (https://www.opennet.ru/opennews/art.shtml?num=52862). В качестве причин создания форка указано непринятие политики Vim в отношении использования AI, желание сохранить чистую совесть и продолжить получать удовольствие от работы с Vim.

- EVi (https://codeberg.org/NerdNextDoor/evi) - форк ветки Vim 9.1.0, в которой ещё не принимались изменения, созданные при помощи AI.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65216 (https://www.opennet.ru/opennews/art.shtml?num=65216)

https://www.opennet.ru/opennews/art.shtml?num=65216

Выпуск Bcachefs 1.38.0. Дистрибутив NASty для ...

2026-04-20T10:09:10+02:00

Выпуск Bcachefs 1.38.0. Дистрибутив NASty для развёртывания NAS на базе Bcachefs

Кент Оверстрит (Kent Overstreet) опубликовал (https://evilpiepirate.org/git/bcachefs-tools.git/commit/?id=44ea2cc69c1ac40215c1aec4ab388a2370eaea76) выпуск файловой системы Bcachefs 1.38.0 (https://bcachefs.org/). Выпуск охватывает два пакета: bcachefs-kernel-dkms (https://evilpiepirate.org/git/bcachefs.git) с модулем ядра, собираемым при помощи системы DKMS (Dynamic Kernel Module Support), и bcachefs-tools (https://evilpiepirate.org/git/bcachefs-tools.git) с запускаемой в пространстве пользователя утилитой bcachefs, реализующей команды для создания (mkfs), монтирования, восстановления и проверки ФС. Пакеты собраны для Arch Linux (https://security.archlinux.org/package/bcachefs-tools) и ожидаются для Debian, Ubuntu (https://apt.bcachefs.org/unstable/pool/main/b/bcachefs-tools/), Fedora, openSUSE (https://build.opensuse.org/package/show/filesystems:bcachefs:release/bcachefs) и NixOS (https://github.com/NixOS/nixpkgs/blob/nixos-25.11/pkgs/by-name/bc/bcachefs-tools/). DKMS-модуль поддерживает работу с ядрами Linux, начиная с 6.16.

Проектом Bcachefs развивается файловая система, нацеленная на сочетание расширенной функциональности, свойственной Btrfs и ZFS, и уровня производительности, надёжности и масштабируемости, характерного для XFS. Bcachefs поддерживает такие возможности, как включение в раздел нескольких устройств, многослойные раскладки накопителей (нижний слой с часто используемыми данными на базе быстрых SSD, а верхний слой с менее востребованными данными из жестких дисков), репликация (RAID 1/10), кэширование, прозрачное сжатие данных (режимы LZ4, gzip и ZSTD), срезы состояния (снапшоты), верификация целостности по контрольным суммам, коды коррекции ошибок, хранение информации в зашифрованном виде (используются ChaCha20 и Poly1305).

В новой версии (https://evilpiepirate.org/git/bcachefs-tools.git/tree/Changelog.mdwn):

- Btree-структура need_discard, применяемая для отслеживания освобождаемых наборов блоков, переведена на индексирование по порядковому номеру из журнала вместо пары устройство/набор блоков (device/bucket). Изменение позволило ускорить работу со структурой need_discard и исключить возникновение взаимной блокировки при восстановлении из журнала во время монтирования ФС с недостаточным числом свободных блоков под метаданные.

- Операции записи в журнал вынесены в отдельную fifo-очередь, а максимальное число одновременно производимых операций записи в журнал увеличено с 16 до 256, что позволило ускорить работу больших хранилищ с интенсивной нагрузкой на запись.

- Значительно ускорено монтирование ФС с большим числом снапшотов.

Дополнительно можно отметить выпуск (https://github.com/nasty-project/nasty/releases/tag/v0.0.3) проекта NASty 0.0.3 (https://github.com/nasty-project/nasty), развивающего дистрибутив для создания сетевых хранилищ (NAS) с использованием типового оборудования. Дистрибутив построен на пакетной базе NixOS, использует файловую систему Bcachefs и поддерживает предоставление доступа к файлам через NFS и SMB, а также экспорт блочных устройств через iSCSI и NVMe-oF. Управление осуществляется через web-интерфейс. Размер установочного iso-образа (https://github.com/nasty-project/nasty/releases/download/v0.0.3/nasty-v0.0.3-x86_64.iso) 1.9 ГБ. Наработки проекта [[https://github.com/nasty-project/nasty/распространяются]] под лицензией GPLv3. Web-интерфейс на писан на TypeScript с задействованием фреймворка SvelteKit (https://svelte.dev/docs/kit/introduction). Движок для управления хранилищем и системой написан на языке Rust.

Обновления загружаются и устанавливаются автоматически. Система обновляется атомарно с возможностью отката на прошлое состояние при выявлении проблем в новой версии. В web-интерфейсе доступны возможности для управления файловыми системами, снапшотами, подразделами, дисками, виртуальными машинами и совместным доступом. Имеются встроенные в web-интерфейс файловый менеджер и эмулятор терминала, работающие в браузере. Возможно создание правил для выполнения действий и оповещении администратора в случае излишнего потребления дискового пространства, сбоях в работе накопителей и перегреве.

Возможен запуск изолированных окружений и приложений, используя виртуализацию на базе QEMU/KVM и контейнерную изоляцию при помощи k3s runtime (Helm chart-ы для запуска приложений в контейнерах с настройкой проброса через nginx ingress можно устанавливать напрямую из WebUI). Поддерживается интеграция с платформой Kubernetes, для которой предоставляется драйвер CSI для динамического выделения места в хранилище. Дистрибутив по умолчанию отправляет (https://github.com/nasty-project/nasty-telemetry) телеметрию с анонимизированными данными о числе накопителей и размере хранилища (телеметрия отключается в секции "Settings → Telemetry").

В качестве причин выбора Bcachefs вместо ZFS отмечается активная разработка, поставка под лицензией GPL, простая модель работы с ФС, подразделами и снапшотами (без усложнённых концепций, типа dataset-ов, zvol и вложенных pool-ов) и наличие продвинутых возможностей, таких как автоматическое перемещение редко используемых данных на медленные накопители, коды коррекции ошибок и восстановление повреждений без остановки работы с ФС.

Из изменений в версии NASty 0.0.3 выделяется переход на использование механизма nix flake (https://nix.dev/manual/nix/2.28/command-ref/new-cli/nix3-flake.html) для упаковки и управления зависимостями; поддержка VPN Tailscale для проброса NVMe-oF поверх VPN; интеграция k3s runtime; добавление NUT (Network UPS Tools) для мониторинга устройств бесперебойного питания; web-панель для тонкой настройки NFS, SMB и iSCSI (включая опции для выбора планировщика ввода/вывода, журналирования и резервирования метаданных); дополнительные настройки для Bcachefs (управление кодами коррекции ошибок, выбор алгоритма контрольных сумм, online-ребалансировки и т.п.); поддержка кэша Cachix (https://www.cachix.org/) для ускорения доставки обновлений; возможность генерации TLS-сертификатов через Let's Encrypt; включение в состав утилит iotop-c, btop, fwupd, rsync и croc.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65244 (https://www.opennet.ru/opennews/art.shtml?num=65244)

https://www.opennet.ru/opennews/art.shtml?num=65244

В состав ядра Linux 7.1 принят новый ...

2026-04-18T08:40:30+02:00

В состав ядра Linux 7.1 принят новый драйвер для NTFS

Линус Торвальдс принял (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cdd4dc3aebeab43a72ce0bc2b5bab6f0a80b97a5) в состав ядра Linux 7.1, релиз которого ожидается в середине июня, набор патчей (https://lore.kernel.org/lkml/CAKYAXd-knEHqHPgz83+bOaLHAcA=f97f2-mnJxLmu0MiDkTgDA@mail.gmail.com/) с новой реализацией файловой системы NTFS, развивавшейся под именем ntfsplus. Новый драйвер включён под именем "ntfs", которое ранее использовалось для удалённого (https://www.opennet.ru/opennews/art.shtml?num=60777) из ядра старого драйвера, работавшего в режиме только для чтения. Драйвер ntfsplus разработал Намджэ Чон (Namjae Jeon (https://github.com/namjaejeon)), участник (https://www.samba.org/samba/team/) проекта Samba, сопровождающий (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/MAINTAINERS) драйвер EXFAT (https://www.opennet.ru/opennews/art.shtml?num=52222) и сервер KSMBD (https://www.opennet.ru/opennews/art.shtml?num=55706) в ядре Linux.

Разработка ntfsplus началась в 2022 году после публикации отчёта (https://www.opennet.ru/opennews/art.shtml?num=57095) о проблемах с сопровождением драйвера NTFS3 (https://github.com/Paragon-Software-Group/linux-ntfs3), разработанного (https://www.opennet.ru/opennews/art.shtml?num=55742) компанией Paragon Software и поставляемого (https://www.opennet.ru/opennews/art.shtml?num=55742) начиная с ядра 5.15 вместо старого заброшенного драйвера NTFS. С ноября 2021 года по июнь 2022 года разработчики ntfs3 перестали выходить на связь и рассматривать присылаемые патчи, но затем возобновили сопровождение и опубликовали (https://www.opennet.ru/opennews/art.shtml?num=57299) набор исправлений, который вошёл в состав ядра 5.19. С тех пор изменения для свежих версий ядра выпускаются регулярно (https://github.com/Paragon-Software-Group/linux-ntfs3/tags) и, среди прочего, достаточно большой набор улучшений и исправлений был принят (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=75a452d31ba6) в состав ядра 7.0.

В качестве мотива продвижения в ядро нового драйвера ntfsplus
указывалось (https://lore.kernel.org/lkml/20251020020749.5522-1-linkinjeon@kernel.org/), что более качественный и сопровождаемый NTFS-драйвер позволит улучшить совместимость Linux-систем с Windows-устройствами и упростить работу пользователей.
Заявлялось, что в нынешнем драйвере NTFS3 имеются проблемы, остающиеся нерешёнными, из-за которых многие пользователи и дистрибутивы продолжают применять старый драйвер ntfs-3g, работающий в пространстве пользователя. При прохождении тестового набора xfstests драйвер ntfsplus успешно проходит 326 тестов (41.4%) из 787, а ntfs3 - 273 (34.6%).

Драйвер ntfsplus основан на кодовой базе удалённого из ядра классического драйвера ntfs, который был переработан, расширен возможностью записи данных и существенно расширен для поддержки современных возможностей, таких как использование фолиантов страниц памяти (https://www.opennet.ru/opennews/art.shtml?num=56478#folios) (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap (https://docs.kernel.org/filesystems/iomap/index.html).

По сравнению с ntfs3 новый драйвер поддерживает такие возможности, как iomap, отложенное выделение блоков (delayed allocation (https://en.wikipedia.org/wiki/Allocate-on-flush)) и маппинг идентификаторов пользователей при монтировании (idmap). После принятия в основной состав ядра в ntfsplus планируют реализовать полноценное журналирование (в ntfs3 имеется поддержка создания replay-журнала).

В ntfsplus также удалось повысить производительность, благодаря применению асинхронных операций iomap, отложенному выделению блоков, оптимизации выделения новых кластеров, оптимизации слияния фрагментов, загрузки битовой карты кластеров в фоновом режиме и упреждающей загрузки блоков inode и информации о каталогах. В проведённых в ноябре прошлого года тестах iozone (https://www.iozone.org/) драйвер ntfsplus оказался (https://lore.kernel.org/lkml/20251020020749.5522-1-linkinjeon@kernel.org/) на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. В тесте на вывод списка файлов (ls -lR) в каталогах со 100/200/400 тысячами файлов
ntfsplus быстрее на 12-14%. По скорости монтирования ntfsplus быстрее в 5-6 раз (для 1 ТБ раздела 0.38 против 2.03 секунд).

На основе утилит ntfsprogs от проекта ntfs-3g для ntfsplus подготовлен собственный набор утилит
ntfsprogs-plus (https://github.com/ntfsprogs-plus/ntfsprogs-plus), работающих в пространстве пользователя и включающих приложения ntfsclone, ntfscluster и ntfsinfo. Проектом также разработана новая утилита ntfsck для проверки и восстановления повреждённых разделов с NTFS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65233 (https://www.opennet.ru/opennews/art.shtml?num=65233)

https://www.opennet.ru/opennews/art.shtml?num=65233

В AlmaLinux возобновлена сборка пакетов ...

2026-04-17T11:40:28+02:00

В AlmaLinux возобновлена сборка пакетов для 32-разрядных систем x86

Разработчики проекта AlmaLinux, развивающего редакцию дистрибутива Red Hat Enterprise Linux (RHEL), объявили (https://almalinux.org/blog/2026-04-16-almalinux-kitten-10-i686/) о реализации для дистрибутива AlmaLinux Kitten репозитория пакетов (https://kitten.vault.almalinux.org/10-kitten/BaseOS/i686/os/), собранных для архитектуры i686, а также публикации образов контейнеров в формате docker для 32-рядных систем x86. Редакция AlmaLinux Kitten 10 основана на пакетной базе CentOS Stream 10, развивается с использованием непрерывной модели обновления пакетов и используется в качестве upstream-а для ветки AlmaLinux 10. В дальнейшем планируют сформировать подобные сборки для основного дистрибутива AlmaLinux OS 10 и сопровождать их до 2035 года на всём протяжении жизненного цикла ветки 10.x.

Причиной возрождения сборок для архитектуры i686 является желание предоставить возможность запуска старых приложений, доступных только в форме исполняемых файлов для 32-разрядных систем. Сборки также могут быть полезны для формирования 32-разрядных окружений для тестирования кода в системах непрерывной интеграции и для запуска контейнеров для 32-разрядных программ.

Компания Red Hat отказалась от формирования 32-разрядных сборок для архитектуры x86 в выпуске RHEL 7 (https://www.opennet.ru/opennews/art.shtml?num=39974), опубликованном в 2014 году. В ветке CentOS 7 сборка 32-разрядных пакетов была продолжена (https://mirror.yandex.ru/centos/altarch/7/os/) командной CentOS Linux AltArch SIG , но начиная с ветки CentOS 8 формирование подобных сборок прекратилось (https://mirror.yandex.ru/centos/altarch/8/).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65229 (https://www.opennet.ru/opennews/art.shtml?num=65229)

https://www.opennet.ru/opennews/art.shtml?num=65229

Опубликован KDE Gear 26.04, набор ...

2026-04-16T18:10:29+02:00

Опубликован KDE Gear 26.04, набор приложений от проекта KDE

После четырёх месяцев разработки представлено (https://kde.org/announcements/gear/26.04.0/) апрельское сводное обновление приложений KDE Gear 26.04, развиваемых проектом KDE. В составе набора опубликованы (https://kde.org/info/releases-26.04.0.php) выпуски 249 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице (https://community.kde.org/Plasma/LiveImages). Новые версии отдельных приложений можно загрузить из каталогов Flathub (https://flathub.org/apps/search/kde) и SnapCraft (https://snapcraft.io/publisher/kde).

Наиболее заметные изменения (https://kde.org/announcements/changelogs/gear/26.04.0/):

- В файловом менеджере Dolphin (https://apps.kde.org/dolphin) предоставлена возможность назначений комбинаций клавиш для вызова почти всех пунктов меню, плагинов и расширений. Например, можно установить комбинацию клавиш для быстрого изменения сортировки по дате или имени.

- В приложении Merkuro (https://apps.kde.org/merkuro) (бывший Kalendar), сочетающем возможности адресной книги, менеджера задач и календаря-планировщика, изменено оформление расписания и редактора событий.

( )

- Модернизирован интерфейс и улучшена информативность представления данных в календаре-планировщике KOrganizer (https://kontact.kde.org/components/korganizer/).

( )

- В видеоредакторе Kdenlive (https://kdenlive.org/) реализован анимированных предпросмотр переходных эффектов в окне Compositions; добавлена поддержка зеркального отображение второй монитор для просмотра клипа одновременно в интерфейсе редактора и в полноразмерном виде; добавлена возможность импорта клипа в указанную позицию через контекстное меню на временной шкале; добавлена опция для увеличения элементов временной шкалы под указателем мыши; реализована автоматическая генерация звуковых миниатюр; обеспечена автоматическая подгонка длительности переходных эффектов при добавлении их на временную шкалу до или перед клипом; предоставлена поддержка одновременного изменения скорости сразу для нескольких клипов.

- В Audiotube (https://apps.kde.org/audiotube), приложение для прослушивания музыки с Youtube Music, реализована новая базовая страница, на которой представлена подборка музыки, рекомендованной для прослушивания.

( )

- В программе для обмена сообщениями Neochat (https://apps.kde.org/neochat/), использующей протокол Matrix, реализована поддержка нитей обсуждения (прикрепления ответов к конкретным сообщениям) и добавлен редактор текста с разметкой.

- В часах KClock (https://apps.kde.org/kclock/) при запуске таймера реализован показ виджета со счётчиком во время блокировки экрана на мобильных устройствах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65226 (https://www.opennet.ru/opennews/art.shtml?num=65226)

https://www.opennet.ru/opennews/art.shtml?num=65226

В ядре Linux 7.1 начали удаление ...

2026-04-16T14:10:28+02:00

В ядре Linux 7.1 начали удаление поддержки процессоров Baikal

Линус Торвальдс принял (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/log/?id=5a69195686d5b874ac5a4c7f809ecb75fbc535ef&qt=grep&q=Baikal) в состав ядра Linux 7.1 изменения, удаляющие поддержку контроллеров AHCI SATA (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5a69195686d5b874ac5a4c7f809ecb75fbc535ef) и PCIe (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=40286d6379aacfcc053253ef78dc78b09addffda), применяемых в SoC Baikal-T1 (https://ru.wikipedia.org/wiki/Baikal-T1). Помимо этого на рассмотрении находятся pull-запросы на удаление связанных с Baikal драйверов таймера (https://lore.kernel.org/lkml/abLV9vjYxXsKciHW@redhat.com/), памяти (https://lore.kernel.org/lkml/20260324132028.65350-2-krzk@kernel.org/), physmap (https://lore.kernel.org/lkml/ablGRNKWOa7nGK1A@sirena.org.uk/), шины (https://lore.kernel.org/lkml/20260227072726.1142944-1-andriy.shevchenko@linux.intel.com/), hwmon (https://lore.kernel.org/lkml/acQWy8e_Eqm6ANI2@zenone.zhora.eu/), dwc (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=764fd8338622d4e4c763bca6fa8e3ba747473eb6) и bt1-rom (https://lore.kernel.org/lkml/20260225162406.3815267-1-andriy.shevchenko@linux.intel.com/). До этого в ядре 7.0 уже была удалена поддержка драйверов i2c (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=bb7a3fc2c976b5d0deb35a54ca237519816d7ba9) и spi dw (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=e86dda7bde8801d32ffe7d1570fe173cab14d1ba) для SoC Baikal-T1. В качестве причины удаления упоминается отсутствие сопровождения и незавершённая интеграция в состав ядра компонентов платформы Baikal. Например, отмечается (https://lore.kernel.org/lkml/20260415212935.GA90297@bhelgaas/), что драйвер PCIe так и не был доведён до полностью работоспособного состояния.

Поддержка российского процессора Baikal-T1 и основанной на нём системы на кристалле BE-T1000 включена в ядро Linux начиная с ветки 5.8 (https://www.opennet.ru/opennews/art.shtml?num=53479). Процессор Baikal-Т1 содержит два суперскалярных ядра P5600 MIPS 32 r5, работающих на частоте 1.2 ГГц. Чип содержит кэш L2 (1 Мб), контроллер памяти DDR3-1600 ECC, 1 порт 10Gb Ethernet, 2 порта 1Gb Ethernet, контроллер PCIe Gen.3 х4, 2 порта SATA 3.0, USB 2.0, GPIO, UART, SPI, I2C. Процессор предоставляет аппаратную поддержку виртуализации, инструкции SIMD и интегрированный аппаратный ускоритель криптографических операций, поддерживающий ГОСТ 28147-89. Чип разработан с использованием лицензированного у компании Imagination Technologies блока процессорного ядра MIPS32 P5600 Warrior.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65222 (https://www.opennet.ru/opennews/art.shtml?num=65222)

https://www.opennet.ru/opennews/art.shtml?num=65222

Опубликован черновик спецификации ...

2026-04-16T10:40:28+02:00

Опубликован черновик спецификации протокола IPv8

Организация IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, выставила (https://datatracker.ietf.org/doc/draft-thain-ipv8/) на обсуждение первый черновой вариант спецификации протокола IPv8 (https://www.ietf.org/archive/id/draft-thain-ipv8-00.html). Документ предложен сторонней компаний One Limited, создан вне процесса стандартизации IETF и имеет статус "Internet-Draft" (любой при соблюдении формальностей может опубликовать подобный черновик). Протокол IPv8 примечателен использованием локально кэшируемых JWT-токенов OAuth2 для аутентификации элементов в сетях и верификацией каждого устанавливаемого исходящего соединения через запрос в DNS8 (без обращения к DNS8 не создаётся запись в таблице состояния XLATE8 (подобие NAT) и соединение блокируется).

Адресация в IPv6 близка к IPv4 - по сути адресное пространство IPv4 является подмножеством IPv8, а адрес образуется как префикс маршрутизации (номер автономной системы) + адрес IPv4 (‹asn›.n.n.n.n). При нулевом префиксе маршрутизации (0.n.n.n.n) образуется обычный адрес IPv4, который можно использоваться для взаимодействия с существующими сетями IPv4.
В заголовке пакета используется 8 номер версии в поле IP, а на адреса отправителя и получателя выделяется по 64 бита - 32 бита на префикс ASN + 32-бита на адрес хоста в стиле IPv4.

Заявлено, что решение на 100% обратно совместимо, внедрение может осуществляться бесшовно и для использования IPv8 не потребуется модификация существующих устройств, приложений и сетей. Подобное достигается благодаря применению в конечных сетях и на клиентских системах IPv4 с использованием для доступа к глобальной сети транслятора адресов XLATE8, преобразующего обращения между IPv4 и IPv8 по аналогии с NAT.

Стек IPv8 включает протокол DHCP8 для получения адресов и предоставления сервисов, систему доменных имён DNS8, протокол синхронизации времени NTP8, протолок сбора телеметрии NetLog8, резолвер WHOIS8 для утверждения маршрутов, систему управления доступом ACL8 и транслятор адресов IPv4/IPv8 XLATE8. Запись в таблицу состояния соединений XLATE8 добавляется после отправляемого при каждом соединении запроса к DNS8 и регистрации активного маршрута через обращение к сервису WHOIS8. Вся функциональность, связанная со сбором телементрии, аутентификацией, разрешением имён, синхронизацией времени и трансляцией адресов реализована в форме унифицированной платформы Zone Server.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65218 (https://www.opennet.ru/opennews/art.shtml?num=65218)

https://www.opennet.ru/opennews/art.shtml?num=65218

Фонд СПО призвал ONLYOFFICE удалить ...

2026-04-15T21:40:39+02:00

Фонд СПО призвал ONLYOFFICE удалить ограничения, добавленные сверх лицензии AGPL

Кшиштоф Севич (Krzysztof Siewicz), юрист Фонда свободного ПО, отвечающий за контроль над соблюдением лицензий, заявил (https://www.fsf.org/blogs/licensing/agpl-is-not-a-tool-for-taking-freedom-away) о необоснованности претензий (https://www.opennet.ru/opennews/art.shtml?num=65108) разработчиков ONLYOFFICE к создателям форка Euro-Office, отбросившим добавленные в текст лицензии дополнения и продолжившие развитие кодовой базы ONLYOFFICE под чистой лицензией AGPLv3. Фонд СПО призвал ONLYOFFICE прояснить, что так как заявлено, что пакет поставляется под лицензией AGPLv3, то получившие копию кода пользователи имеют право удалить из текста лицензии любые дополнительные ограничения.

Более того, указано, что если проект ONLYOFFICE намерен продолжить использование AGPLv3 в будущих выпусках, он должен явно указать, что кодовая база распространяется под лицензией AGPLv3 и удалить упоминание всех ограничений из документации и исходного кода. Действия ONLYOFFICE, связанные с добавлением дополнительных ограничений в текст лицензии AGPLv3, названы вводящими пользователей в заблуждение и не соответствующими духу свободного ПО.

В текст лицензии AGPLv3, под которой распространяется код ONLYOFFICE, в 2021 году были добавлены дополнительные условия, требующие сохранения в производных продуктах оригинального логотипа ONLYOFFICE. Раздел 7(b) лицензии AGPL допускает добавление дополнительных требований об указании авторства и разработчики ONLYOFFICE считают, что логотип подпадает под данное разрешение. Представители Фонда СПО не согласны с этим и утверждают, что логотип является элементом товарного знака и бренда, напрямую не связанным с упоминанием автора.

Пункт о логотипе воспринят Фондом СПО как введение ограничения, несовместимого со свободами, которые предоставляет лицензия AGPLv3. Раздел 7 лицензии AGPLv3 предоставляет пользователям право удалять ограничения, внесённые сверх условий, определённых в разделах 7(a)-7(f). ONLYOFFICE может создать на основе текста AGPL собственную лицензию с дополнительными условиями, но в этом случае не должен упоминать, что код продолжает поставляться под лицензией AGPLv3.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65217 (https://www.opennet.ru/opennews/art.shtml?num=65217)

https://www.opennet.ru/opennews/art.shtml?num=65217

Из ядра Linux 7.1 удалены опции сборки ...

2026-04-15T07:40:29+02:00

Из ядра Linux 7.1 удалены опции сборки для процессоров i486

Линус Торвальдс принял (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0972ba5605a0a0cd8a9e74558b97a9c9626adfb5) в состав ядра Linux 7.1, релиз которого ожидается в середине июня, первую серию изменений (https://lore.kernel.org/lkml/adyzbgQOUdkoEJJ9@gmail.com/) для прекращения поддержки процессоров i486. На данном этапе из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам.

Причины удаления поддержки процессоров i486 связаны с необходимостью сопровождать в ядре усложнённый код, эмулирующий некоторые аппаратные операции, такие как CX8 (https://www.felixcloutier.com/x86/cmpxchg8b:cmpxchg16b) (сравнить и обменять 8 байт) и TSC (https://en.wikipedia.org/wiki/Time_Stamp_Counter) (счётчик циклов CPU, используемый в планировщике задач). Подобный код время от времени становится источником проблем, разбор которых отнимает у разработчиков время, которое можно было бы потратить c большей пользой. При этом мало кто использует современные ветки ядра Linux на устаревших 32-разрядных CPU - ни осталось ни одного значимого дистрибутива, для которого продолжали бы публиковаться пакеты с ядром, собранные с опцией "M486=y".

В прошлом вопрос удаления поддержки CPU i486 поднимался разработчиками ядра Linux как минимум два раза. В октябре 2022 года Линус Торвальдс поднял тему (https://www.opennet.ru/opennews/art.shtml?num=57964) удаления поддержки CPU i486, обсуждая проблему, возникшую из-за ошибки в коде эмуляции инструкции "CX8". Линус отметил, что процессоры i486 становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами.
В 2025 году после выявления очередной проблемы, проявляющейся при эмуляции инструкции "CX8", обсуждение возобновилось (https://www.opennet.ru/opennews/art.shtml?num=63184) и Линус Торвальдс заявил, что чувствует, что настало время отказаться от поддержки CPU i486 и не видит причин, чтобы продолжать тратить время разработчиков на решение возникающих из-за этих процессоров проблем.

Поддержка процессоров i386 была удалена (https://www.opennet.ru/opennews/art.shtml?num=35582) из ядра в 2012 году.
Прекращение поддержки классических i486 не затронет выпускавшиеся до 2019 года встроенные процессоры Intel Quark (https://en.wikipedia.org/wiki/Intel_Quark), а также продолжающие производиться SoC Vortex86DX (https://en.wikipedia.org/wiki/Vortex86), так как данные процессоры хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65209 (https://www.opennet.ru/opennews/art.shtml?num=65209)

https://www.opennet.ru/opennews/art.shtml?num=65209

Выпуск криптографической ...

2026-04-14T23:40:28+02:00

Выпуск криптографической библиотеки OpenSSL 4.0.0

Состоялся (https://openssl-library.org/post/2026-04-14-openssl-40-final-release/) релиз библиотеки OpenSSL 4.0.0 (https://www.openssl.org), предлагающей с реализацию протоколов TLS и различных алгоритмов шифрования. OpenSSL 4.0 отнесён к выпускам с обычным сроком поддержки, обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток OpenSSL 3.6, 3.5 LTS, 3.4 и 3.0 LTS продлится (https://www.openssl.org/policies/releasestrat.html) до ноября 2026 года, апреля 2030 года, октября 2026 года и сентября 2026 года соответственно. Код проекта распространяется (https://github.com/openssl/openssl) под лицензией Apache 2.0.

Основные (https://github.com/openssl/openssl/blob/master/NEWS.md#openssl-4.0) новшества (https://github.com/openssl/openssl/releases/tag/openssl-4.0.0):

- Добавлена (https://github.com/openssl/openssl/blob/master/doc/designs/ech-api.md) поддержка TLS-расширения ECH (https://www.opennet.ru/opennews/art.shtml?num=59869) (Encrypted ClientHello, RFC 9849 (https://datatracker.ietf.org/doc/html/rfc9849)), предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. В отличие от расширения ESNI (Encrypted Server Name Indication) в ECH вместо шифрования на уровне отдельных полей, целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key).

- Добавлена поддержка определённых в RFC 8998 (https://datatracker.ietf.org/doc/html/rfc8998#name-iana-considerations) алгоритмов, использующих стандартизированный в Китае набор криптоалгоритмов SM2: алгоритма формирования цифровой подписи sm2sig_sm3, группы обмена ключами curveSM2 и постквантовой группы curveSM2MLKEM768.

- Добавлена криптографическая функция хэширования cSHAKE (https://csrc.nist.gov/pubs/sp/800/185/final), основанная на алгоритме SHA-3 и позволяющая формировать разные хэши на основе одинаковых входных данных для защиты от атак, манипулирующих повторным использованием данных.

- Добавлен гибридный алгоритм "ML-DSA-MU", сочетающий постквантовый алгоритм формирования цифровой подписи ML-DSA (https://csrc.nist.gov/csrc/media/Presentations/2024/falcon/images-media/prest-falcon-pqc2024.pdf) (CRYSTALS-Dilithium) с классической хеш-функцией SHAKE256.

- Добавлена поддержка функций формирования ключей SNMP KDF на основе HMAC-SHA и SRTP KDF на основе AES-CM, используемых в сетевых протоколах SNMPv3 и SRTP.

- В команду "openssl fipsinstall" добавлена опция "-defer_tests", позволяющая отложить запуск тестов при установке FIPS-модулей.

- Для платформы Windows реализована поддержка статического или динамического связывания с Visual C++ Runtime.

- В TLS 1.2 добавлена поддержка согласуемого обмена ключами на основе алгоритма FFDHE (Finite Field Diffie-Hellman Ephemeral), соответствующая RFC 7919 (https://datatracker.ietf.org/doc/html/rfc7919).

- Прекращена поддержка SSLv3 и SSLv2 Client Hello.

- Удалена поддержка динамически загружаемых движков, вместо которых для расширения функциональности OpenSSL следует использовать концепцию подключаемых провайдеров (https://www.openssl.org/docs/man3.0/man7/provider.html).

- В TLS на этапе компиляции отключена поддержка устаревших эллиптических кривых. Для возвращения можно использовать опцию "enable-tls-deprecated-ec".

- Удалена утилита c_rehash, вместо которой следуют использовать команду "openssl rehash".

- Из команды "openssl ca" удалена устаревшая опция "msie-hack".

- Удалена поддержка собственных методов EVP_CIPHER, EVP_MD, EVP_PKEY
и EVP_PKEY_ASN1.

- Удалены устаревшие функции SSL/TLS, привязанные к фиксированным версиями протоколов, например, "TLSv1_client_method()".

- Удалены устаревшие функции ERR_get_state(), ERR_remove_state()
и ERR_remove_thread_state().

- Прекращена поддержка целевых платформ darwin-i386{,-cc} и darwin-ppc{,64}{,-cc}.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65208 (https://www.opennet.ru/opennews/art.shtml?num=65208)

https://www.opennet.ru/opennews/art.shtml?num=65208

Выпуск nginx 1.30.0 и форка FreeNginx 1.30.0 ...

2026-04-14T21:10:28+02:00

Выпуск nginx 1.30.0 и форка FreeNginx 1.30.0

После года разработки опубликована (https://github.com/nginx/nginx/releases/tag/release-1.30.0) новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.30.0 (http://nginx.org/), которая вобрала в себя изменения, накопленные в основной ветке 1.29.x. В дальнейшем все изменения в стабильной ветке 1.30 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.31, в которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется (http://nginx.com/blog/nginx-1-6-1-7-released) использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus. Код nginx написан на языке Си и распространяется (https://github.com/nginx/nginx/) под лицензией BSD.

В соответствии с февральским отчётом (https://www.netcraft.com/blog/february-2026-web-server-survey) компании Netcraft под управлением nginx работает около 321 млн сайтов (год назад 245 млн, два года назад - 243 млн, три года назад 289 млн). Nginx используется на 16.08% всех активных сайтов (год назад 17.89%, два года назад 18.15%, три года назад 18.94%), что соответствует второму месту по популярности в данной категории (доля Apache соответствует 13.27% (год назад 16.03%, два года назад 20.09%, три года назад 20.52%), Cloudflare - 20.62% (17.81%, 14.12%, 11.32%), Google - 10.65% (9.89%, 10.41%, 9.89%).

При рассмотрении всех сайтов nginx сохраняет лидерство и занимает 22.65% рынка (год назад 20.48%, два года назад - 22.31%, три года назад - 25.94%), в то время как доля Apache соответствует 12.19% (16.03%, 20.17%, 20.58%), Cloudflare - 15.27% (12.87%, 11.24%, 10.17%), OpenResty (https://openresty.org/en/) (платформа на базе nginx и LuaJIT) - 8.01% (9.36%, 7.93%, 7.94%).

Среди миллиона самых посещаемых сайтов в мире nginx занимает второе место с долей 19.85% (год назад 20.37%, два года назад 20.63%, три года назад 21.37%). Первое место удерживает Cloudflare - 26.84% (22.32%, 22.59%, 21.62%). Доля Apache httpd - 15.84% (17.95%, 20.09%, 21.18%).

(https://www.netcraft.com/blog/february-2026-web-server-survey)

По данным (https://w3techs.com/technologies/history_overview/web_server) W3Techs nginx используется на 32.8% сайтов из миллиона самых посещаемых (в апреле прошлого года этот показатель составлял 33.8%, позапрошлого - 34.3%). Доля Apache за год снизилась с 26.3% до 23.9%, доля Microsoft IIS снизилась с 4% до 3.4%, а доля Caddy с 0.3% до 0.2%. Доля Node.js увеличилась с 4.4% до 6.0%, а доля LiteSpeed с 14.6% до 15.2%.

Наиболее заметные улучшения, добавленные в процессе формирования основной ветки 1.29.x:

- Добавлена поддержка TLS-расширения ECH (https://www.opennet.ru/opennews/art.shtml?num=59869) (Encrypted ClientHello), продолжающего развитие расширения ESNI (Encrypted Server Name Indication) и используемого для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Использование ECH включается через указание в директиве "ssl_ech_file (https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_ech_file)" файла конфигурации ECHConfig в формате PEM. Поддержка доступна при использовании сборок OpenSSL с ECH (https://github.com/openssl/openssl/tree/feature/ech).

- Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath (https://nginx.org/en/docs/http/ngx_http_core_module.html#multipath)".

- Добавлена возможность привязки сеансов клиентов к одним и тем же серверам в группе. Доступно три метода: "cookie" - передача данных о выбранном сервере через указанную Cookie; "route" - проксируемый сервер назначает клиенту маршрут при получении первого запроса; "learn" - nginx анализирует ответы от upstream-сервера и запоминает начатые сервером сеансы. Для настройки (https://www.opennet.ru/opennews/art.shtml?num=64961) привязки в блок "upstream" модуля "http" добавлена директива "sticky (https://nginx.org/en/docs/http/ngx_http_upstream_module.html#sticky)", а в директиву "server" добавлены параметры "route" и "drain".

- Добавлена директива "early_hints (https://nginx.org/en/docs/http/ngx_http_core_module.html#early_hints)" и реализована поддержка HTTP-кода 103 (https://www.opennet.ru/opennews/art.shtml?num=47474) в ответах от бэкендов proxy и gRPC. Код 103 позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице css и javascript). Получив информацию о подобных ресурсах браузер приступит к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.

- Добавлены директивы add_header_inherit (https://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header_inherit) и
add_trailer_inherit (https://nginx.org/en/docs/http/ngx_http_headers_module.html#add_trailer_inherit), позволяющие изменить правила наследования значений, указанных в директивах add_header и add_trailer. Параметр "off" отменяет наследование значений, а параметр "merge" включает добавление значений с предыдущего уровня к значениям на текущем уровне.

- Добавлена директива "ssl_certificate_compression (https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate_compression)" для управления сжатием TLS-сертификатов.

- Добавлена директива max_headers (https://nginx.org/en/docs/http/ngx_http_core_module.html#max_headers), ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.

- Добавлены переменные $request_port (https://nginx.org/en/docs/http/ngx_http_core_module.html#var_request_port) и $is_request_port (https://nginx.org/en/docs/http/ngx_http_core_module.html#var_is_request_port). Первая переменная содержит номер порта из компонента URI или из заголовка "Host", а вторая содержит ":", если переменная $request_port не пустая.

- Добавлены переменные
$ssl_sigalg и $ssl_client_sigalg (https://nginx.org/en/docs/http/ngx_http_ssl_module.html#variables), содержащие название алгоритма формирования цифровой подписи для TLS-соединения.

- В директиву "geo (https://nginx.org/en/docs/http/ngx_http_geo_module.html#geo)" добавлен параметр "volatile", отключающий кэширование переменной. Разрешено использовать маски в директиве "include", указанной внутри блока "geo".

- В блоке "upstream" активирована по умолчанию директива "keepalive". В директиву "keepalive (https://nginx.org/en/docs/http/ngx_http_upstream_module.html#keepalive)", используемую в блоке "upstream (https://nginx.org/en/docs/http/ngx_http_upstream_module.html)", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных
блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.

- При использовании в режиме прокси по умолчанию выставлена (https://blog.nginx.org/blog/keep-alive-to-upstreams-is-now-default-in-nginx-1-29-7) версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module (https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_http_version) включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection").

- В модуль ngx_http_proxy (https://nginx.org/en/docs/http/ngx_http_proxy_module.html) добавлена поддержка протокола HTTP/2, что позволяет использовать HTTP/2 при обращении к бэкендам.

- Предоставлена возможность загрузки криптографических ключей из аппаратных токенов, используя в качестве провайдера библиотеку OpenSSL.

- В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.

- Добавлена возможность сборки с криптографической библиотекой AWS-LC (https://www.opennet.ru/opennews/art.shtml?num=59004), развиваемой компанией Amazon.

- По умолчанию отключено сжатие сертификатов TLSv1.3.

- Обеспечена совместимость с библиотекой OpenSSL 4.0 (https://github.com/openssl/openssl/releases/tag/openssl-4.0.0).

Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.30.0 (https://freenginx.org/), развивающего форк (https://www.opennet.ru/opennews/art.shtml?num=60603) Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. Среди изменений в ветке FreeNginx 1.30:
добавлена поддержка (https://freenginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_encrypted_hello_key) TLS-расширения ECH (Encrypted Client Hello); улучшена обработка директивы limit_rate (https://freenginx.org/en/docs/http/ngx_http_core_module.html#limit_rate); добавлены директивы send_min_rate (https://freenginx.org/en/docs/http/ngx_http_core_module.html#send_min_rate) и client_body_min_rate (https://freenginx.org/en/docs/http/ngx_http_core_module.html#client_body_min_rate); реализована возможность ограничения числа соединений (https://freenginx.org/en/docs/mail/ngx_mail_limit_conn_module.html) и интенсивности запросов (https://freenginx.org/en/docs/mail/ngx_mail_core_module.html#limit_rate) в почтовом прокси; добавлена поддержка БД GeoIP2 в модуле GeoIP (https://freenginx.org/en/docs/http/ngx_http_geoip_module.html); усилена защита модуля XSLT (https://freenginx.org/en/docs/http/ngx_http_xslt_module.html#xml_external_entities).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65207 (https://www.opennet.ru/opennews/art.shtml?num=65207)

https://www.opennet.ru/opennews/art.shtml?num=65207

Проект по тестированию FreeBSD на ...

2026-04-14T09:23:50+02:00

Проект по тестированию FreeBSD на ноутбуках

Некоммерческая организация FreeBSD Foundation представила (https://freebsdfoundation.org/blog/call-for-testing-introducing-the-laptop-integration-testing-project/) проект по тестированию FreeBSD на ноутбуках, созданный в рамках инициативы (https://www.opennet.ru/opennews/art.shtml?num=61951) по улучшению поддержки ноутбуков и повышению удобства работы пользователей во FreeBSD. Целью проекта является получение информации о совместимости FreeBSD с различным аппаратным обеспечением, применяемым в современных ноутбуках, что позволит сформировать реалистичное представление об имеющихся проблемах и определить приоритетные направления работы. Результаты проверки будут публиковать на сводной странице, позволяющей оценить уровень поддержки тех или иных моделей ноутбуков во FreeBSD.

Пользователям предлагается сформировать и отправить отчёт о совместимости FreeBSD с их системами. Для создания отчёта предложены (https://github.com/FreeBSDFoundation/freebsd-laptop-testing) скрипт (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/blob/main/run_hwprobe.sh) и инструкция (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/blob/main/testing_checklist.md) с перечнем возможностей, которые следует проверить при загрузке на устройстве FreeBSD. Результаты необходимо отправить в форме pull-запроса (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/pulls) в репозиторий проекта на GitHub.

Скрипт run_hwprobe.sh, который следует запустить после загрузки на своём устройстве FreeBSD, определяет имеющееся оборудование и выполняет ряд автоматизированных тестов для проверки его работоспособности. Собранные данные (пример (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/pull/52/changes#diff-037afd07d1a8cd6a4db11425e3c9ab0b6a64c1ff95d66e71d4bc2940a1762e1e)) включают информацию о CPU, GPU, сетевых адаптерах, звуковых картах, Wi-Fi, Bluetooth, накопителях, USB-устройствах и загруженных модулях ядра.

Инструкция включает контрольный список с перечнем рекомендуемых ручных проверок, позволяющих субъективно оценить корректность перехода в спящий режим в разных условиях, работу индикаторов, срабатывание режимов экономии энергопотребления, поддержку GPU, вывод видео и звука через HDMI, задействование аппаратного декодирования видео, подключение к сети, работу высокоскоростных режимов Wi-fi, работу в KDE, подключение внешних мониторов и т.п.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65175 (https://www.opennet.ru/opennews/art.shtml?num=65175)

https://www.opennet.ru/opennews/art.shtml?num=65175

Выпуск miracle-wm 0.9, композитного ...

2026-04-14T09:23:50+02:00

Выпуск miracle-wm 0.9, композитного менеджера на базе Wayland и Mir

Мэтью Косарек (Matthew Kosarek), разработчик из компании Canonical, опубликовал (https://github.com/miracle-wm-org/miracle-wm/releases/tag/v0.9.0) выпуск композитного менеджера miracle-wm 0.9 (https://miracle-wm.org/), использующего протокол Wayland и компоненты для построения композитных менеджеров Mir (https://github.com/canonical/mir). Miracle-wm поддерживает мозаичную (tiling) компоновку окон, схожую с аналогичной в проектах i3 (https://i3wm.org/) и Sway (https://www.opennet.ru/opennews/art.shtml?num=58388). В качестве панели может применяться Waybar (https://github.com/Alexays/Waybar). Код проекта написан на языке C++ и распространяется (https://github.com/mattkae/miracle-wm) под лицензией GPLv3. Готовые сборки сформированы в формате snap (https://snapcraft.io/miracle-wm), а также в пакетах rpm и deb для Fedora (https://src.fedoraproject.org/rpms/miracle-wm) и Ubuntu (https://launchpad.net/~matthew-kosarek/+archive/ubuntu/miracle-wm).

Целью miracle-wm является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие продукты, как Swayfx (https://github.com/WillPower3309/swayfx). При этом проект позволяет использовать и классические приёмы работы с плавающими окнами, например, можно размещать отдельные окна поверх мозаичной сетки или закреплять окна к определённому месту на рабочем столе. Поддерживается виртуальные рабочие столы с возможностью выставления для каждого рабочего стола своего режима работы с окнами по умолчанию (мозаичная компоновка или плавающие окна).

Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое оформление с плавными переходами и цветами. Конфигурация определяется в формате YAML (https://wiki.miracle-wm.org/latest/configuration/introduction/). Для установки miracle-wm можно использовать команду "sudo snap install miracle-wm --classic".

( )

Основные новшества:

- Добавлена система плагинов (https://docs.miracle-wm.org/miracle_plugin/), поставляемых в промежуточном коде WebAssembly (https://www.opennet.ru/opennews/art.shtml?num=63899) и выполняемых в форме изолированных (sandbox) модулей. Плагины могу применяться для изменения и расширения возможностей композитного менеджера, среди прочего связанных с изменением логики размещения окон, обработкой и расширением конфигурации (https://wiki.miracle-wm.org/develop/configuration/plugins/), перехватом событий ввода и указателя мыши, реализацией анимированных эффектов и подключением обработчиков, срабатывающих при создании, удалении или переключении рабочих столов. Плагины могут перезапускаться по отдельности без перезапуска композитного менеджера.

- Добавлен API для разработки плагинов на языке Rust.

- Добавлена (https://wiki.miracle-wm.org/develop/configuration/cursor/) поддержка тем оформления курсоров.

- Добавлены новые пиктограммы.

- Добавлена комбинация клавиш "Meta + Shift + R" для перезагрузки конфигурации.

- Концепция "мини-деревьев" (mini tree), применяемая для группировки связанных друг с другом плавающих окон, заменена более предсказуемое поведение с отдельными плавающими окнами.

- Проведена оптимизация производительности.

- Обеспечена автоматическая перезагрузка настроек дисплея после изменения конфигурации.

- Изменён формат настройки собственных обработчиков (https://wiki.miracle-wm.org/develop/configuration/custom_actions/) - в привязках вместо идентификаторов клавиш в стиле событий ввода (https://github.com/torvalds/linux/blob/master/include/uapi/linux/input-event-codes.h) ядра Linux теперь следует использовать имена в стиле XKbKeysyms (https://xkbcommon.org/), например, "D" вместо "KEY_D" и "Return" вместо "KEY_ENTER".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65174 (https://www.opennet.ru/opennews/art.shtml?num=65174)

https://www.opennet.ru/opennews/art.shtml?num=65174

Опасные уязвимости в GStreamer, CUPS, wolfSSL, ...

2026-04-14T09:23:49+02:00

Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux

Несколько выявленных за последние дни опасных уязвимостей, большинство из которых можно эксплуатировать удалённо:

- В корректирующем релизе мультимедийного фреймворка GStreamer 1.28.2 (https://lists.freedesktop.org/archives/gstreamer-devel/2026-April/082215.html) выявлено 11 уязвимостей (https://gstreamer.freedesktop.org/security/), из которых 3 вызваны переполнением буфера и потенциально могут привести к выполнению кода при обработке специально оформленных мультимедийных контейнеров MKV (https://gstreamer.freedesktop.org/security/sa-2026-0022.html) (CVE не назначен) и MOV/MP4 (https://gstreamer.freedesktop.org/security/sa-2026-0016.html) (CVE-2026-5056 (https://security-tracker.debian.org/tracker/CVE-2026-5056)), а также потоков в формате H.266/VVC (https://gstreamer.freedesktop.org/security/sa-2026-0017.html) (CVE не назначен). Остальные 8 уязвимостей вызваны целочисленным переполнением или разыменованием нулевого указателя, и могут привести к отказу в обслуживании или утечке информации при обработке данных в форматах WAV, JPEG2000, AV1, H.264, MOV, MP4, FLV, mDVDsub и SRT/WebVTT. Опасность уязвимостей в GStreamer усугубляется тем, что он применяется (https://www.opennet.ru/opennews/art.shtml?num=64964) в GNOME для разбора метаданных при автоматической индексации новых файлов, т.е. для атаки достаточно добиться загрузки файла в индексируемый каталог ~/Downloads.

- В сервере печати CUPS (https://github.com/OpenPrinting/cups/) выявлено 8 уязвимостей (https://www.openwall.com/lists/oss-security/2026/04/08/2), две из которых (CVE-2026-34980 (https://security-tracker.debian.org/tracker/CVE-2026-34980), CVE-2026-34990 (https://security-tracker.debian.org/tracker/CVE-2026-34990)) могут (https://www.linkedin.com/posts/yasamal4ik_february-2026-cve-2026-26080-and-cve-2026-activity-7441018899502043136-Rukx) использоваться (https://heyitsas.im/posts/cups/) для организации удалённого выполнения своего кода с правами root через отправку специально оформленного запроса на сервер печати. Первая уязвимость (https://github.com/OpenPrinting/cups/security/advisories/GHSA-4852-v58g-6cwf) позволяет неаутентифицированному атакующему добиться выполнения своего кода с правами пользователя lp, отправив специально оформленное задание вывода на печать (проблема вызвана некорректной обработкой экранированных символов перевода строки). Вторая уязвимость (https://github.com/OpenPrinting/cups/security/advisories/GHSA-c54j-2vqw-wpwp) позволяет поднять привилегии с пользователя lp до root, добившись изменения файлов c правами root через подстановку фиктивного принтера. Обновление CUPS с устранением уязвимостей пока недоступно (https://github.com/OpenPrinting/cups/tags).

- Опубликован (https://github.com/wolfSSL/wolfssl/releases/tag/v5.9.1-stable) корректирующий релиз криптографической библиотеки wolfSSL 5.9.1 (https://github.com/wolfSSL/wolfssl/), в котором устранена 21 уязвимость. Одной проблеме присвоен критический уровень опасности, а 9 - высокий (приводят к повреждению памяти). Критическая уязвимость (CVE-2026-5194 (https://security-tracker.debian.org/tracker/CVE-2026-5194)) вызвана отсутствием проверки размера хэша и идентификатора OID, что позволяет указывать хэши, размером меньше допустимого для снижения стойкости алгоритмов формирования цифровой подписи ECDSA/ECC, DSA, ML-DSA, ED25519 и ED448, и обхода аутентификации на базе сертификатов. Уязвимость выявлена инженерами Anthropic в ходе проверки кода AI-моделью.

- Опубликованы (https://github.com/openssl/openssl/tags) корректирующие выпуски криптографической библиотеки OpenSSL 3.6.2, 3.5.6, 3.4.5 и 3.3.7, в которых устранено 7 уязвимостей (https://openssl-library.org/news/secadv/20260407.txt). Наиболее опасная уязвимость (CVE-2026-31790 (https://security-tracker.debian.org/tracker/CVE-2026-31790)) может привести к утечке конфиденциальных данных, оставшихся в буфере после прошлой операции. Проблема вызвана использованием неинициализированной памяти при инкапсуляции ключей RSA KEM RSASVE.
Другая уязвимость (CVE-2026-31789 (https://security-tracker.debian.org/tracker/CVE-2026-31789)) вызвана переполнением буфер и потенциально может привести к выполнению кода при осуществлении операций по преобразованию строк в шестнадцатеричное представление при обработке специально оформленных сертификатов X.509. Проблема помечена как неопасная так как она проявляется только на 32-разрядных платформах. Остальные уязвимости вызваны чтением данных из области вне буфера, обращения к уже освобождённой памяти и разыменования нулевого указателя.

- В AI-агенте OpenClaw 2026.3.11 (https://github.com/openclaw/openclaw/), позволяющем AI-моделям взаимодействовать в системными окружениями (например, запускать утилиты и работать с файлами), устранена критическая уязвимость (https://github.com/openclaw/openclaw/security/advisories/GHSA-4jpw-hj22-2xmc) (CVE-2026-32922 (https://nvd.nist.gov/vuln/detail/CVE-2026-32922)) с уровнем опасности 10 из 10. Уязвимость вызвана тем, что команда "/pair approve" должным образом не проверяла полномочия, из-за чего любой пользователь, имеющий привилегии сопряжения с хостом (самый низкий уровень привилегий, для которого достаточно доступа к OpenClaw), мог утвердить права администратора для самого себя и полностью контролировать окружение. Для совершения атаки достаточно (https://web.archive.org/web/20260403174514/https://old.reddit.com/r/sysadmin/comments/1sbdw29/if_youre_running_openclaw_you_probably_got_hacked/) подключиться к OpenClaw, запросить регистрацию фиктивного устройства с доступом operator.admin, после чего самому одобрить собственный запрос командой "/pair approve" и получить полное управление атакованным экземпляром OpenClaw и всеми связанными с ним сервисами.

За несколько дней до этого в OpenClaw была
выявлена (https://blink.new/blog/cve-2026-33579-openclaw-privilege-escalation-2026) похожая уязвимость (CVE-2026-33579 (https://nvd.nist.gov/vuln/detail/CVE-2026-33579)), позволявшая обойти проверку прав доступа и получить права администратора. Выявившими проблему исследователями приводится статистика, в соответствии с которой в сети найдено 135 тысяч публично доступных экземпляров OpenClaw, из которых 63% позволяют подключиться без аутентификации.

- В пакетном менеджере Nix, применяемом в дистрибутиве NixOS, выявлена уязвимость (https://discourse.nixos.org/t/nix-security-advisory-privilege-escalation-via-symlink-following-during-fod-output-registration/76900) (CVE-2026-39860 (https://security-tracker.debian.org/tracker/CVE-2026-39860)), которой присвоен (https://github.com/NixOS/nix/security/advisories/GHSA-g3g9-5vj6-r3gj) критический уровень опасности (9 из 10). Уязвимость даёт возможность перезаписать любой файл в системе, насколько позволяют права доступа фонового процесса Nix, который в NixOS и многопользовательских установках выполняется с правами root. Проблема вызвана некорректным устранением (https://github.com/NixOS/nix/commit/a3163b9eabb952b4aa96e376dea95ebcca97b31a) уязвимости CVE-2024-27297 (https://github.com/NixOS/nix/security/advisories/GHSA-2ffj-w4mj-pg37) в 2024 году. Эксплуатация осуществляется через подмену символической ссылкой каталога внутри изолированного сборочного окружения, в который записывался результат сборки. Уязвимость устранена в обновлениях nix 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 и 2.28.6.

- В ядре Linux устранено (https://mtlynch.io/claude-code-found-linux-vulnerability/) 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code и затрагивающих подсистемы
nfsd (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=5133b61aaf437e5f25b1b396b14242a6bb0508e2), io_uring (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=5170efd9c344c68a8075dcb8ed38d3f8a60e7ed4), futex (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=19f94b39058681dec64a10ebeb6f23fe7fc3f77a) и ksmbd (1 (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=5258572aa5fd5a7ed01b123b28241e0281b6fb9b), 2 (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=6b4f875aac344cdd52a1f34cc70ed2f874a65757)). Уязвимость в драйвере NFS позволяет через отправку запросов к NFS-серверу узнать содержимое областей памяти ядра. Проблема вызвана ошибкой, проявляющейся (https://www.kernel.org/pub/linux/kernel/v2.6/snapshots/old/patch-2.6.0-test5-bk10.log) начиная с ядра 2.6.0 (2003 год).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65183 (https://www.opennet.ru/opennews/art.shtml?num=65183)

https://www.opennet.ru/opennews/art.shtml?num=65183

Выпуск дистрибутива Deepin 25.1, ...

2026-04-14T09:23:49+02:00

Выпуск дистрибутива Deepin 25.1, развивающего собственное графическое окружение

Опубликован (https://www.deepin.org/en/deepin-25-1-announcement/) релиз дистрибутива Deepin 25.1 (http://www.deepin.org/?language=en), развивающего собственный рабочий стол Deepin Desktop Environment (DDE), а также около 40 пользовательских приложений, среди которых музыкальный проигрыватель Deepin Music, видеоплеер Deepin Movie, инсталлятор и центр установки программ Deepin Store. Проект основан группой разработчиков из Китая, но трансформировался в международный проект и поддерживает русский язык. Репозиторий дистрибутива включает более 8000 пакетов. Все наработки распространяются (https://github.com/linuxdeepin) под лицензией GPLv3. Размер загрузочных iso-образов (https://cdimage.deepin.com/releases/25.1/) 6.8 ГБ (amd64, arm64, riscv64 и loongarch64).

Компоненты рабочего стола и приложения разрабатываются (https://github.com/linuxdeepin/dde-file-manager) с использованием языков C/C++ и Go (https://github.com/linuxdeepin/go-lib/tree/master/graphic). Графический интерфейс построен с использованием библиотеки Qt. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов работы. В классическом режиме осуществляется более явное отделение открытых окон и предлагаемых для запуска приложений, отображается область системного лотка. Эффективный режим чем-то напоминает Unity, смешивая индикаторы запущенных программ, избранных приложений и управляющих апплетов (настройка громкости/яркости, подключённые накопители, часы, состояние сети и т.п.). Интерфейс запуска программ предоставляет два режима - просмотр избранных приложений и навигация по каталогу установленных программ.

( )

Среди изменений (https://www.deepin.org/en/deepin-25-1-release/):

- Переделан AI-ассистент для написания текста, в который добавлена возможность загрузки эталонного справочного материала. На основе загруженных образцов AI формирует структурный план, который пользователь может вручную отредактировать перед финальной генерацией текста. После генерации содержимое можно отредактировать в AI-интерфейсе и экспортировать в формате PDF, MS Word или Markdown. Генерация может производиться с использованием локально работающих AI-моделей

- Добавлен AI-режим "Claw Mode" на базе проекта OpenClaw (https://github.com/openclaw/openclaw), позволяющий управлять работой компьютера и автоматически выполнять системные работы при помощи команд на естественном языке, такие как запуск приложений, редактирование настроек и обработка наборов файлов. Реализована интеграция AI с программами для обмена сообщениями, позволяющая выполнять сложные работы через мессенджер, такие как сбор информации из разных источников и резюмирование документов.

- Добавлена возможность вызова панели AI-инструментов для перевода, резюмирования и пояснения текста, выделенного в любых приложениях.

- Обеспечен адаптивный выбор AI-модели в зависимости от трудности задачи, балансируя между скоростью и глубиной знаний. По умолчанию интегрирована работа с AI-моделями DeepSeek 3.2 и GLM 4.7.

( )

- Ядро Linux обновлено до выпуска 6.18 (https://www.opennet.ru/opennews/art.shtml?num=64346) (было 6.12). Интегрирована поддержка планировщика задач BORE (https://github.com/firelzrd/bore-scheduler), применяемого в CachyOS для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов.
В аллокаторе памяти ядра (SLUB) задействован слой кэширования "sheaves", использующий несколько кэшей, каждый из которых привязан к отдельному ядру CPU. Подобный кэш повышает производительность и снижает накладные расходы при выделении и освобождении памяти в ядре.
Для повышения производительности подкачки задействован механизм "Swap Table (https://docs.kernel.org/mm/swap-table.html)".
Повышена производительность ФС Ext4 и XFS. Добавлена поддержка расширения архитектуры набора команд Intel APX (https://www.intel.com/content/www/us/en/developer/articles/technical/advanced-performance-extensions-apx.html) (Advanced Performance Extension), предоставляющего 16 дополнительных регистров общего назначения.

- В среде рабочего стола DDE (Deepin Desktop Environment) в панели задач реализована поддержка разделения пиктограмм приложений, у которых одновременно открыто несколько окон. В конфигуратор добавлена настройка размера курсора мыши.

- В файловом менеджере реализована возможность использования правой кнопки мыши для закрепления вкладок в верхней части, сохранения путей важных каталогов и перемещения элементов между окнами в режиме drag&drop. При предпросмотре изображений добавлена поддержка изменения масштаба мышью. Оптимизирован визуальный эффект группировки файлов.

- В почтовый клиент добавлена поддержка вывода писем на печать.

( )

Источник: https://www.opennet.ru/opennews/art.shtml?num=65187 (https://www.opennet.ru/opennews/art.shtml?num=65187)

https://www.opennet.ru/opennews/art.shtml?num=65187

Релиз Chrome 147 с поддержкой ...

2026-04-14T09:23:49+02:00

Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения

Компания Google опубликовала (https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html) релиз web-браузера Chrome 147 (http://www.google.com/chrome). Одновременно доступен стабильный выпуск свободного проекта Chromium (http://dev.chromium.org/), выступающего основой Chrome. Браузер Chrome отличается (https://chromium.googlesource.com/chromium/src/+/master/docs/chromium_browser_vs_google_chrome.md) от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров (https://www.opennet.ru/opennews/art.shtml?num=26822) при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 148 запланирован на 5 мая.

Основные изменения в Chrome 147 (1 (https://support.google.com/chrome/a/answer/7679408#147), 2 (https://developer.chrome.com/en/blog/new-in-chrome-147/),
3 (https://blog.google/products-and-platforms/products/chrome/new-chrome-productivity-features/), 4 (https://developer.chrome.com/release-notes/147)):

- Добавлен режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. Вертикальные вкладки могут показываться в развёрнутом (пиктограмма + часть описания) и свёрнутом режимах (только пиктограммы). При наведения курсора на боковую вкладку показывается эскиз с её содержимым. Упрощено управление группами вкладок.
В контекстное меню, появляющееся при клике правой кнопкой мыши на строке вкладок, добавлена опция "Показать вкладки вертикально" ("Show Tabs Vertically"). Если опция не появилась по умолчанию, её можно активировать через настройку "chrome://flags/#vertical-tabs".

( )

( )

- Переработан режим чтения (reading mode (https://support.google.com/chrome/answer/14218344)), при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. В новой версии по аналогии с Firefox значимое содержимое показывается во всей видимой области, а не как раньше в узком боковом окне рядом с исходной страницей. Если новый режим не применяется по умолчанию, его можно активировать через настройку "chrome://flags/#read-anything-immersive-reading-mode".

( )

- В меню "Help" добавлена кнопка для отправки жалобы для занесения в список блокировки web-страниц, созданных для мошенничества или фишинга. Кнопка показывается при включённом режиме "Safe Browsing".

(https://storage.googleapis.com/support-kms-prod/e17bc1f8-291c-4bf6-be6b-e6105211995a)

- Расширены средства защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действие защиты теперь попадают не только попытки загрузки ресурсов по HTTP/HTTPS, запросы fetch() и iframe-вставки, но и установка соединений через WebSockets и WebTransport (https://www.opennet.ru/opennews/art.shtml?num=55099), а также fetch-запросы, инициированные через метод WindowClient.navigate(). Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети.

- Функциональность для разбора XML переведена (https://chromestatus.com/feature/5309598397497344) c libxml2 на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности. Изменение касается только XML, как было объявлено (https://www.opennet.ru/opennews/art.shtml?num=64194) ранее поддержка XSLT скоро будет прекращена.

- Реализована (https://developer.chrome.com/blog/element-scoped-view-transitions) возможность применения метода startViewTransition() не только для всей страницы, но и для отдельных HTML-элементов.

- Добавлена CSS-функция contrast-color() (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Values/color_value/contrast-color), возвращающая противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.

- Добавлено CSS-свойство "border-shape (https://drafts.csswg.org/css-borders-4/#border-shape)", позволяющего создавать непрямоугольное обрамление элементов, например, использовать рамки круглой или многоугольной формы. CSS-свойство "border-shape" принимает те же виды форм, что и свойство "clip-path", но в отличие от последнего определяет контур, декодирует его и отсекает выходящее за контур содержимое.

- Добавлен интерфейс CSSPseudoElement (https://www.w3.org/TR/css-pseudo-4/#CSSPseudoElement-interface), позволяющий работать с псеведоэлементами CSS из JavaScript.

- В элементе link
реализована (https://chromestatus.com/feature/5202661416763392) возможность применения атрибута "rel=modulepreload" для упреждающей загрузки не только скриптов, но и модулей с CSS-стилями (‹link rel="modulepreload" as="style" href="..."›) и данными JSON (‹link rel="modulepreload" as="json" href="..."›).

- Изменено поведение при вычислении ширины рамок и контуров в CSS-свойствах border-width, outline-width и column-rule-width, которое унифицировано с Firefox и браузерами на движке WebKit. До сих пор ширина в указанных свойствах обнулялась, независимо от выставленных в них значений, если свойства border-style, outline-style или column-rule-style имели значение "none" или "hidden". Теперь значения order-width, outline-width и column-rule-width всегда выставляют заданные разработчиком значения, независимо от содержимого свойств "*-style".

- Добавлен метод Math.sumPrecise() (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Math/sumPrecise) для вычисления суммы элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).

- Добавлен (https://chromestatus.com/feature/5154214529597440) атрибут Request.isReloadNavigation, позволяющий определить, что страница была перезагружена, например, после нажатия на кнопку "Refresh" или вызова методов location.reload() и history.go(0).

- Для снижения точности косвенной идентификации изменена логика округления размера памяти, возвращаемого через API Device Memory (https://github.com/w3c/device-memory#the-web-exposed-api), позволяющего получить сведения о размере оперативной памяти. Данная информация может оказаться полезной для создания легковесных вариантов web-приложений, загружающихся для устройств с небольшим ОЗУ или для активации расширенных возможностей при наличии большого объёма памяти. В сборках для платформы Android размер памяти теперь округляется до 1, 2, 4 и 8 гигабайт, а для других платформ до 2, 4, 8, 16 и 32 гигабайт.

- Для изолированных web-приложений (IWA (https://www.chromium.org/blink/launching-features/isolated-web-apps/) - Isolated Web Apps) реализован API Web Printing (https://wicg.github.io/web-printing), предоставляющий методы для определения наличия принтеров, отправки документов на печать и управления очередью вывода на печать. Используемые в API имена атрибутов и семантика соответствуют протоколу IPP (Internet Printing Protocol).

- В режиме "Origin trials" реализован (https://chromestatus.com/feature/5176273954144256) API WebNN (https://webmachinelearning.github.io/webnn), позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.

- Внесены (https://developer.chrome.com/blog/new-in-devtools-147) улучшения в инструменты для web-разработчиков. Во встроенном AI-ассистенте реализован автоматический выбор контекста. Модернизирована панель "Device Mode", применяемая для тестирования работы сайта на разных мобильных устройствах. В панели Network обеспечено автоматическое декодирование сжатого содержимого запросов, переданных с заголовком Content-Encoding: gzip или deflate. Предоставлена возможность применения регулярных выражений для фильтрации CSS-стилей.

Кроме нововведений и исправления ошибок в новой версии устранено 60 уязвимостей (https://issues.chromium.org/issues?q=customfield1223088:0-M146). Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer (https://github.com/google/sanitizers/wiki/AddressSanitizer), MemorySanitizer (https://github.com/google/sanitizers/wiki/MemorySanitizer), Control Flow Integrity (https://www.chromium.org/developers/testing/control-flow-integrity/), LibFuzzer (https://chromium.googlesource.com/chromium/src/+/master/testing/libfuzzer/README.md) и AFL (https://lcamtuf.coredump.cx/afl/). Двум проблемам (переполнение буфера и целочисленное переполнение в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 60 премий и выплатила 118 тысяч долларов США (две премии $43000, две премии $11000 и по одной премии в $4000, $3000, $2000 и $1000. Размер 52 вознаграждений пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65166 (https://www.opennet.ru/opennews/art.shtml?num=65166)

https://www.opennet.ru/opennews/art.shtml?num=65166

Google задействовал Rust-библиотеку Hickory ...

2026-04-14T09:23:49+02:00

Google задействовал Rust-библиотеку Hickory в прошивке радиомодуля смартфонов Pixel 10

Компания Google поделилась опытом (https://security.googleblog.com/2026/04/bringing-rust-to-pixel-baseband.html) задействования в прошивке к baseband-модему, поставляемому в смартфонах Pixel 10, кода на языке Rust. Код для работы с протоколом DNS в прошивке заменён на Rust-библиотеку hickory-proto (https://crates.io/crates/hickory-proto), развиваемую разработчиками DNS-сервера Hickory (https://www.opennet.ru/opennews/art.shtml?num=59883), задействованного в инфраструктуре Let's Encrypt.

Интеграция hickory-proto в прошивку осуществлена в рамках инициативы по повышению защиты baseband-модема. В прошивке baseband-модема имеется обработчик DNS, так как данный протокол используется в современных сотовых сетях, среди прочего при переадресации вызовов.
При этом DNS является сложным протоколом, требующим разбора данных, поступающих извне и не заслуживающих доверия. В прошлом у Google уже был опыт выявления уязвимостей в прошивках baseband-модема устройств Pixel, например, в 2024 году была найдена уязвимость CVE-2024-27227 (https://nvd.nist.gov/vuln/detail/cve-2024-27227), приводящая к переполнению буфера при обработке специально оформленных DNS-ответов.

Предполагается, что использование парсера протокола DNS на языке Rust сократит поверхность атаки и уменьшит риск эксплуатации (https://www.opennet.ru/opennews/art.shtml?num=58809) через DNS целого класса уязвимостей, вызванных ошибками при низкоуровневой работе с памятью. Проект также рассматривается как базис для более широкого внедрения в другие компоненты кода на языках, безопасно работающих с памятью.

Из проблемных моментов отмечено относительно большой размер результирующего кода, так как библиотка Hickory-proto изначально не рассчитана на использование во встраиваемых устройствах. Размер интегрированных компонентов составил 371KB, из которых 350KB код Hickory-proto и зависимостей, 17KB - вспомогательные функции, выделенные из стандартной библиотеки, 4KB - прослойка для использования библиотеки для обработки ответов от DNS-серверов.

Отмечается, что для модема устройств Pixel дополнительные 300KB укладываются в имеющиеся ограничения памяти, но для более требовательных встраиваемых устройств необходимо проведение оптимизации для сокращения размера кода. В будущем в Hickory-proto планируют реализовать флаги, оставляющие при компиляции только требуемую функциональность.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65190 (https://www.opennet.ru/opennews/art.shtml?num=65190)

https://www.opennet.ru/opennews/art.shtml?num=65190

Релиз ядра Linux 7.0 После двух месяцев ...

2026-04-14T09:23:48+02:00

Релиз ядра Linux 7.0

После двух месяцев разработки Линус Торвальдс представил (https://lore.kernel.org/lkml/CAHk-=wj2WqpPBwpAXo8bj_Hx-NxKMRVTVMUaQis7+Vm6XLRZiw@mail.gmail.com/T/#u) релиз ядра Linux 7.0 (https://www.kernel.org/). Среди наиболее заметных изменений: правила применения AI-ассистентов, перевод Rust в основные возможности ядра, повышение производительности подкачки, включение по умолчанию режима PREEMPT_LAZY, поддержка фильтров для операций io_uring, новая ФС Nullfs, инфраструктура fserror, средства мониторинга XFS, поддержка ремапинга в Btrfs, включение по умолчанию версии NFS 4.1, интеграция пост-квантового криптоалгоритма ML-DSA, активация AccECN в сетевой подсистеме, начальная поддержка WiFi 8.

Номер 7.0 присвоен, так как в ветке 6.x накопилось достаточного выпусков для смены первого числа в номере версии (в своё время выпуск 6.0 был сформирован следом за 5.19). Смена нумерации осуществляется из эстетических соображений и является формальным шагом, снимающим дискомфорт из-за накопления большого числа выпусков в серии.

В новую версию принято 15624 исправления от 2477 разработчиков,
размер патча - 56 МБ (изменения затронули 18053 файла, добавлено 704060 строк кода,
удалено 278132 строки). В прошлом выпуске было 15657 исправлений от 2237 разработчиков, размер патча - 52 МБ. Около 51% всех представленных в 7.0
изменений связаны с драйверами устройств, примерно 11% изменений имеют
отношение к обновлению кода, специфичного для аппаратных архитектур, 14%
связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними
подсистемами ядра.

Основные новшества в ядре 7.0 (1 (https://kernelnewbies.org/Linux_7.0), 2 (https://lwn.net/Articles/1058664/), 3 (https://www.opennet.ru/kernel/ml/7.0.html)):

- Дисковая подсистема, ввод/вывод и файловые системы

Реализована инфраструктура fserror и добавлен (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=dd466ea0029961ee0ee6e8e468faa1506275c8a9) API для получения информации об ошибках ввода/вывода и повреждении метаданных при работе с файлами. Предложенная инфраструктура унифицирует в файловых системах передачу сведений об ошибках в пространство пользователя через механизм fsnotify.

В XFS добавлены (https://lore.kernel.org/linux-xfs/176897694953.202109.15171131238404759078.stgit@frogsfrogsfrogs/) новые возможности для мониторинга за состоянием файловой системы из пространства пользователя. Предложена ioctl-операция XFS_IOC_HEALTH_MONITOR, возвращающая файловый дескриптор, через который можно получать сведения о сбоях, связанных с повреждением метаданных или возникновение ошибок при вводе/вывода, а также отслеживать изменение состояний ФС, таких как отмонтирование и завершение работы. Дополнительно предложен управляемый через systemd фоновый процесс xfs_healer, обрабатывающий события о состоянии ФС из пространства пользователя и при необходимости автоматически запускающий процедуры восстановления (https://www.kernel.org/doc/html/next/filesystems/xfs-online-fsck-design.html).

В файловую систему Btrfs добавлена экспериментальная поддержка структуры "дерево ремапинга" (remap tree (https://github.com/btrfs/btrfs-todo/issues/54)), которая в будущем может быть задействована в качестве промежуточного слоя при выполнении операций ввода-вывода. Суть добавленной возможности в том, что после перемещения данных на накопителе вместо обновления всех связанных с этими данными структур в дополнительной структуре "remap tree" сохраняются старые и новые адреса данных, после чего при обращении к данным адреса подменяются. Новый подход преподносится как более надёжный и гибкий, а также упрощающий дальнейшее расширение функциональности Btrfs.

В Btrfs реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8912c2fd5830) поддержка прямого ввода/вывода в ситуациях, когда размер блока превышает размер страницы памяти в системе.

В состав
включена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7416634fd6f1) новая файловая система "Nullfs", которую можно использовать в качестве заглушки для корневой ФС. Файловая система Nullfs всегда пустая, не содержит данных и не поддерживает изменения. Назначением Nullfs является использование в качестве начальной ФС для упрощения процесса загрузки системы - поверх Nullfs затем монтируются другие ФС и используется системный вызов pivot_root() для переключения корневой ФС вместо очистки содержимого initramfs и использования связанной с ним корневой ФС.

Реализовано (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=74554251dfc9) обновление информации о времени модификации файлов в неблокирующем режиме. Ранее вызов file_update_time_flags() с флагом IOCB_NOWAIT возвращал ошибку "-EAGAIN", что не позволяло использовать операции прямой записи в неблокирующем режиме.

В файловых системах в разряд отдельно включаемых опций переведена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7e463614c97b) поддержка уведомительных блокировок (lease (https://man7.org/linux/man-pages/man2/F_SETLEASE.2const.html)). По умолчанию подобный механизм теперь не активируется из-за проблем с ФС, изначально не рассчитанных на его применение. Например, его не поддерживают ФС 9p и cephfs.

В файловой системе Ext4 повышена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5903c871e21498405d11c5699d06becd12acda24) эффективность кэширования экстентов и отложенного выделения блоков (delayed allocation). Реализован sysfs-параметр "err_report_sec", определяющий задержку записи в лог повторяющихся предупреждений о проблемах с целостностью и ошибках в ФС. Повышена производительность одновременной записи в несколько файлов в режиме прямого ввода/вывода (direct I/O).

В файловой системе EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения, для сжатия по умолчанию задействован алгоритм LZMA. Опционально доступны алгоритмы DEFLATE и Zstandard, которые больше не помечены экспериментальными. Реализовано совместное использование записей в страничном кэше (page-cache) для идентичных файлов в отдельных ФС EROFS.

Удалён (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=64dd89ae01f2) режим laptop_mode, экономящий энергопотребление за счёт откладывания и объединения операций записи на жёсткий диск с целью продления нахождения диска в спящем режиме и снижения числа пробуждений. Режим потерял актуальность, так как в современных мобильных устройствах жёсткие диски вытеснены твердотельными накопителями.

Файловая система F2FS переведена на использование больших фолиантов страниц памяти (https://www.opennet.ru/opennews/art.shtml?num=56478#folios) (large folios).

Возрождена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=75a452d31ba6) работа над драйвером ntfs3, развиваемым (https://www.opennet.ru/opennews/art.shtml?num=55742) компанией Paragon Software. Добавлена поддержка операций с файлами на базе iomap, реализованы опции llseek SEEK_DATA/SEEK_HOLE, добавлен режим delalloc для отложенного выделения блоков. Тем временем, в списке рассылки разработчиков ядра в феврале было одобрено (https://lore.kernel.org/lkml/20260204094210.GA31939@lst.de/#t) включение в состав одной из будущих версий ядра новой реализации NTFS - ntfsplus (https://www.opennet.ru/opennews/art.shtml?num=64084), разработанной для замены ntfs3.

По умолчанию при сборке включена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7537db24806f) версия протокола NFS 4.1 (CONFIG_NFS_V4_1). Обеспечена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b3c78bc53630) блокировка экспорта через NFS специализированных псевдо-ФС, таких как pidfs и nsfs. В NFSD реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=feb8a46b14d9) экспериментальная возможность использования POSIX ACL и добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1c87a0c39a86) поддержка динамического изменения пула потоков (thread-pool) в зависимости от нагрузки.

- Память и системные сервисы

Утверждены официальные правила применения AI-ассистентов (https://docs.kernel.org/process/coding-assistants.html) и включения в ядро автоматически сгенерированного содержимого (https://docs.kernel.org/process/generated-content.html). При передаче сгенерированного кода предписано помечать его через указание используемого AI-ассистента при помощи тега "Assisted-by". AI-ассистентам запрещено добавлять тег "Signed-off-by" - человек, передавший патч, считается его автором, несёт ответственность за переданное изменение и ручается за его качество. Разработчикам предписано проводить ручное рецензирование полученного через AI кода и проверять соответствие результата лицензионным требованиям.

Поддержка Rust переведена (https://opennet.ru/64401-rust) из экспериментальных в основные возможности ядра (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9fa7153c31a3). Поддержка Rust не активна по умолчанию и не приводит к включению Rust в число обязательных сборочных зависимостей к ядру.

Завершена (https://lore.kernel.org/lkml/20251220-swap-table-p2-v5-0-8862a265a033@tencent.com/T/) интеграция в ядро механизма "Swap Table (https://docs.kernel.org/mm/swap-table.html)", позволяющего повысить производительность подкачки. Ускорение достигается благодаря уменьшению конкуренции за доступ к кэшу подкачки, более эффективного поиска в кэше и снижения фрагментации. Бэкенд на базе Swap Table задействован для кэширования подкачки вместо бэкенда XArray и позволил в тесте redis-benchmark с BGSAVE увеличить число обрабатываемых запросов на 22%.

Добавлена поддержка появившегося в Clang 22 расширения Thread Safety Analysis (https://clang.llvm.org/docs/ThreadSafetyAnalysis.html), позволяющего на этапе компиляции выявлять потенциальные состояния гонки и ошибки, вызванные некорректным выставлением блокировок. Расширение предлагает серию атрибутов, таких как GUARDED_BY(...), REQUIRES(...), RELEASE(...) и ACQUIRE(...), позволяющих отмечать охватываемые блокировками функции и разделять области действия блокировок (определять контекст). На этапе компиляции выполняется проверка корректности применения примитивов синхронизации, таких как мьютексы, на основе оценки активности или не активности, связанного с ними контекста.

В системный вызов open_tree добавлен (https://git.kernel.org/linus/9b8a0ba68246a61d903ce62c35c303b1501df28b) флаг OPEN_TREE_NAMESPACE для упрощения настройки изолированных контейнеров и ускорения запуска контейнеров на системах с большим числом точек монтирования. По аналогии с OPEN_TREE_CLONE новый флаг копирует только указанное дерево точек монтирования (mount tree), но вместо локального файлового дескриптора возвращает файловый дескриптор в новом пространстве имён точек монтирования, в котором скопированное дерево монтируется поверх копии реальной корневой ФС. Флаг OPEN_TREE_NAMESPACE востребован для ухода от раздельного выполнения операций unshare(CLONE_NEWNS) и pivot_root(), применяемых при создании контейнеров.

В системный вызов rseq добавлен (https://lore.kernel.org/linux-kernel/20251215155615.870031952@linutronix.de/T/) механизм расширения квантов времени (time slice), позволяющий получить дополнительное процессорное время для неразрывного выполнения критической секции. Идея в том, чтобы избежать прерывания планировщиком задач критической секции с выставленной блокировкой, приводящего к передаче управления другим потокам, использующим ресурс, на которых остаётся выставлена блокировка. Расширение кванта времени производится без дополнительных накладных расходов, но и без строгих гарантий, предоставляемых при полноценном регулировании приоритетов.

Для архитектур arm64, loongarch, powerpc, riscv, s390 и x86 режим вытеснения задач (preemption) в планировщике по умолчанию изменён (https://web.git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7dadeaa6e851) с PREEMPT_NONE на PREEMPT_LAZY. Число возможных режимов сокращено (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7dadeaa6e851) с четырёх до двух - PREEMPT_FULL и PREEMPT_LAZY (режимы PREEMPT_NONE и PREEMPT_VOLUNTARY оставлены только для архитектур, не поддерживающих PREEMPT_FULL и PREEMPT_LAZY). Режим PREEMPT_LAZY применяет модель полного вытеснения (PREEMPT_FULL) для realtime-задач (RR/FIFO/DEADLINE), но задерживает вытеснение обычных задач (SCHED_NORMAL) до границы тика. Вносимая задержка приводит к сокращению случаев вытеснения держателей блокировок, что позволяет приблизить производительность к конфигурациям, использующим модель добровольного вытеснения (voluntary preemption), т.е. PREEMPT_LAZY позволяет сохранить возможности полного вытеснения в отношении realtime-задач, но сводит к минимуму проседание производительности для обычных задач.

Включение PREEMPT_LAZY привело (https://www.opennet.ru/opennews/art.shtml?num=65143) к серьёзной регрессии, в два раза снижающей производительность PostgreSQL на системах ARM64. Для устранения падения производительности разработчикам PostgreSQL предложено (https://lore.kernel.org/lkml/20260403213207.GF2872@noisy.programming.kicks-ass.net/) задействовать опцию PR_RSEQ_SLICE_EXTENSION для снижения вероятности вытеснения держателя блокировки.

Продолжен (https://lore.kernel.org/rust-for-linux/20260208135445.64840-1-ojeda@kernel.org/) перенос изменений из ветки Rust-for-Linux (https://github.com/Rust-for-Linux/linux), связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра. Благодаря ранее интегрированной библиотеке "syn (https://crates.io/crates/syn)", упрощающей написание сложных макросов, удалось сократить размер Rust-кода в ядре за счёт упрощения определений имеющихся процедурных макросов. Расширены возможности библиотек kernel, macros и pin-init.

В систему асинхронного ввода/вывода io_uring
добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5247c034a67f) опция для использования не кольцевых очередей (non-circular submission queue), более эффективно кэшируемых в ситуации, когда выполнение запроса завершается раньше возврата из системного вызова.

В подсистеме eBPF в механизме BTF (BPF Type Format), предоставляющем информацию для проверки типов в псевдокоде BPF, для поиска отладочной информации задействован (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b9da17391e13) бинарный поиск, что повысило эффективность загрузки BPF-программ. В eBPF добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b236134f70ba) поддержка неявных аргументов при вызове kfunc (https://docs.kernel.org/bpf/kfuncs.html) (функции ядра, доступные для использования в программах BPF), определённых с флагом KF_IMPLICIT_ARGS.

Удалён (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=996812c453ca) код для поддержки начального RAM-диска (initrd) на базе linuxrc (https://github.com/openSUSE/linuxrc), давно объявленный устаревшим. Оставшиеся реализации initrd планируют удалить в 2027 году. Вместо initrd следует использовать initramfs (разница в том, что initrd размещает начальное загрузочное окружение в дисковом образе, а initramfs - в файловой системе).

В блочном устройстве zram (https://docs.kernel.org/admin-guide/blockdev/zram.html), применяемом для сжатого хранения раздела подкачки в памяти, изменена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d38fab605c66) логика работы со сжатыми страницами памяти при опциональном перемещении данных в постоянное хранилище в случае заполнения доступной оперативной памяти. Ранее страницы памяти распаковывались перед записью на физический носитель, а теперь сохраняются как есть в сжатом виде, что снижает нагрузку на CPU и экономит энергию при автономной работе.

В утилиту timerlat (https://docs.kernel.org/tools/rtla/rtla-timerlat.html), предназначенную для измерения задержек при работе планировщика задач, добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f967d1eca7d0) опция "--bpf-action" для запуска BPF-программ в случае превышения заданного порога.

В систему трассировки ftrace добавлена настройка "bitmask-list" для вывода битовых масок в читаемом виде (в форме списка битов, а не шестнадцатеричного числа). В tracefs добавлены возможности для аудита
фильтров (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=729757b96a66) и триггеров (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6a80838814ee). Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=800af362d689) команда "perf sched stats" для сбора и отображения статистики о работе планировщика задач. В подсистему perf добавлена поддержка метрик производительности процессоров AMD Zen 6 (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=c7decec2f2d2ab0366567f9e30c0e1418cece43f), Intel Nova Lake (https://git.kernel.org/linus/7e760ac4617b63628edd55a96be2fc85b7eaa435), Diamond Rapids (https://git.kernel.org/linus/7ac422cf7b16ec524bcd8e017459e328a4103f63) и Wildcat Lake (https://git.kernel.org/linus/6d4b8d052ff22742c3980fa45f26b0969a9b6163), Airmont NP (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=3006911f284d769b0f66c12b39da130325ef1440).

В утилите Turbostat реализован (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2961f841b025fb234860bac26dfb7fa7cb0fb122) вывод статистики о работе L2-кэша процессоров Intel.

Добавлены (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=dfa6ce636cb8) сборочные опции LOGO_LINUX_MONO_FILE, LOGO_LINUX_VGA16_FILE и LOGO_LINUX_CLUT224_FILE для определения файла с изображением логотипа, который будет показываться при загрузке ядра вместо штатного логотипа с пингвином Tux.

Реализовано (https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?h=x86/cpu&id=f8c7600d468bdb6e44ed3b3247c6e53f5be5d8de) автоматическое включение использования расширений Intel TSX (Transactional Synchronization Extensions) на системах c процессорами, не подверженными уязвимости Zombieload (https://www.opennet.ru/opennews/art.shtml?num=51852), такими как Cooper Lake, Ice Lake, Sapphire Rappids, Emerald Rappids и Granite Rappids. Уязвимость
Zombieload приводит к утечке сведений по сторонним каналам при работе механизма асинхронного прерывания операций (TAA, TSX Asynchronous Abort). Включение TSX позволяет добиться повышения производительности многопоточных приложений за счёт динамического исключения лишних операций синхронизации.

- Виртуализация и безопасность

В системе асинхронного ввода/вывода io_uring реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d42eb05e60fea31de49897d63a1d73f933303bd4) возможность прикрепления BPF-программ с фильтрами, контролирующими, что могут делать конкретные SQE (Submission Queue Entry) операции (подобие системных вызовов в io_uring). Добавленная возможность является аналогом фильтров системных вызовов. Фильтры можно привязывать к определённым задачам и они наследуются при порождении других процессов после вызова fork(). При наличии активных фильтров, добавляемые поверх фильтры могут лишь прикреплять дополнительные ограничения, но не отключать имеющиеся. Реализованная возможность позволит блокировать методы (https://www.opennet.ru/opennews/art.shtml?num=63136) обхода фильтрации системных вызовов в sandbox-окружениях, основанные на выполнении вместо системных вызовов аналогичных операций, предоставляемых в io_uring.

В SELinux добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5473a722f782) возможность управления доступом к токенам BPF, позволяющим (https://lwn.net/Articles/935195/) непривилегированным процессам выполнять некоторые привилегированные операции c BPF, например, загружать BPF-программы в ядро и создавать map-структуры (https://docs.ebpf.io/linux/map-type/).

Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=64edccea594c) поддержка алгоритма формирования цифровых подписей ML-DSA (https://csrc.nist.gov/csrc/media/Presentations/2024/falcon/images-media/prest-falcon-pqc2024.pdf) (CRYSTALS-Dilithium), основанного на теории решёток и стойкого к подбору на квантовом компьютере. Предоставлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0ad9a71933e7) возможность использования ML-DSA для аутентификации модулей ядра.

Удалена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=148519a06304) возможность использования схем формирования цифровых подписей с алгоритмом SHA-1 для заверения модулей ядра (поддержка загрузки подписанных модулей сохранена).

В записи аудита NETFILTER_PKT добавлены ([https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=15b0c43aa621) поля 'sport' и 'dport' для инспектирования номеров сетевых портов, а не только IP-адресов.

Для систем с архитектурой RISC-V реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=79dd4f2f40d0) поддержка расширений Zicfiss и Zicfilp, предоставляющих аппаратные возможности для применения защиты CFI (Control Flow Integrity), блокирующей нарушения нормального порядка выполнения инструкций (control flow) в результате применения эксплоитов, изменяющих хранимые в памяти указатели на функции.

В гипервизоре KVM реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=db5e82496492) возможность передачи в гостевые системы информации о поддержке процессором расширения ERAPS (Enhanced Return Address Predictor Security), позволяющего обойтись без некоторых операций сброса состояния CPU при возвращении управления хосту гостевой системой. Кроме того, добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=bf2c3138ae36) поддержка закрепления за гостевыми системами оборудования для отслеживания производительности (PMU, Performance Monitoring Unit), что позволяет повысить точность профилирования по сравнению с использованием эмулируемых PMU.

В драйвер для гипервизора Hyper-V добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ff225ba9ad71) поддержка интерфейса debugfs для просмотра статистики о работе гипервизора.
Добавлено (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=033724b1c627885aed049f775e4b10583d895af6) отдельной хранилище ключей (keyring) для проверки целостности дисковых образов при помощи модуля dm-verity.

- Сетевая подсистема

Включено по умолчанию расширение AccECN (Accurate Explicit Congestion Notification (https://datatracker.ietf.org/doc/html/draft-ietf-tcpm-accurate-ecn-28)), реализующее улучшенный вариант расширения ECN (https://ru.wikipedia.org/wiki/Explicit_Congestion_Notification), позволяющего хостам в случае перегрузки маркировать IP-пакеты вместо их отбрасывания, что даёт возможность определять возникновение начальной стадии затора в каналах связи без потери пакетов. Исходное расширение ECN имеет ограничение, допускающее выставление только одного сигнала о перегрузке в рамках одного цикла приёма-передачи TCP (RTT, Round-Trip Time, отправка запроса и получение ответа). AccECN снимает данное ограничение и даёт возможность получателю передавать отправителю более одной метки о перегрузке в заголовке TCP-пакета. Алгоритмы управления перегрузкой могут использовать полученную информацию для более точного реагирования на перегрузки и не прибегать к резкому снижению интенсивности отправки пакетов при появлении незначительной перегрузки.

В реализацию алгоритма управления сетевыми очередями Cake (https://www.bufferbloat.net/projects/codel/wiki/Cake/) добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ff420c568b4c) возможность обработки нескольких очередей для распределения нагрузки на несколько ядер CPU. Алгоритм CAKE применяется для снижения негативного влияния промежуточной буферизации пакетов на граничном сетевом оборудовании, и нацелен на достижение максимально возможной пропускной способности и минимального уровня задержек даже на медленных каналах связи.

В сокеты VSOCK (https://www.man7.org/linux/man-pages/man7/vsock.7.html), используемые для взаимодействия с виртуальными машинами,
добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ff420c568b4c) поддержка сетевых пространств имён (network namespace).

Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a1085114715ee9980405d6856276c5e88339cee7) начальная реализация будущего стандарта WiFi 8 (https://en.wikipedia.org/wiki/IEEE_802.11bn) (802.11bn, Ultra High Reliability" WiFi).

Добавлены (https://www.opennet.ru/opennews/art.shtml?num=64783) оптимизации, позволившие повысить производительность обработки входящих UDP-пакетов на 12% при проведении стресс-тестирования в 100-гигабитной сети.

Добавлена (https://lore.kernel.org/netdev/cover.1768493907.git.asml.silence@gmail.com/T/) возможность использования буферов приёма пакетов (RX), размером больше 4 КБ. Увеличение размера буфера сокращает число операций со стеком при использовании аппаратного агрегирования пакетов (hw-gro - Hardware Generic Receive Offload), что в однопоточных тестах приводит к снижению нагрузки на CPU почти на треть.

Реализована (https://lore.kernel.org/all/cover.1769011015.git.pabeni@redhat.com/) возможность применения механизмов аппаратного ускорения обработки пакетов GSO (Generic Segmentation Offload) и GRO (Generic Receive Offload) при использовании вложенных UDP-туннелей.

- Оборудование

В драйвере AMDGPU реализована (https://lore.kernel.org/lkml/CAPM=9tzgmO1PWeuxjAxqOmS5PTsOe8jHP9Poy23q6tvY66B1KQ@mail.gmail.com/) поддержка IP-блоков (https://ru.wikipedia.org/wiki/IP-cores), используемых в новых GPU AMD, таких как SMUIO 15.x, PSP 15.x, IH 6.1.1/7.1, MMHUB 3.4/4.2, GC 11.5.4/12.1, SDMA 6.1.4/7.1/7.11.4 и JPEG 5.3.

В драйвере Nouveau улучшено управление частотой на системах Tegra 186+.

В драйвер i915 добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=203c7904f2d85ac768749112ddedb522965316f9) начальная поддержка дисплейного IP-блока Xe3p_LPD, применяемого в процессорах Intel Nova Lake-P.

Продолжена (https://lore.kernel.org/lkml/CAPM=9tzgmO1PWeuxjAxqOmS5PTsOe8jHP9Poy23q6tvY66B1KQ@mail.gmail.com/) работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлен режим Multi Queue (https://lore.kernel.org/lkml/20251211010249.1647839-19-niranjana.vishwanathapura@intel.com/T/). Добавлены (https://lore.kernel.org/intel-xe/20251126185952.546277-1-matthew.brost@intel.com/) компоненты, необходимые для диагностики зависаний GPU в Mesa. Добавлена (https://lore.kernel.org/intel-xe/20251124190237.20503-1-lukasz.laguna@intel.com/) поддержка механизма MERT для управления доступом к памяти GPU. Расширена поддержка датчиков температуры.

Продолжена (https://lore.kernel.org/lkml/DFYW1WV6DUCG.3K8V2DAVD1Q4A@kernel.org/) интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. В новой версии проведена подготовка к реализации поддержки GPU на базе микроархитектуры Turing и внесены различные внутренние изменения.

Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8ea39d960c9f) поддержка контроллеров и периферийных устройств с многоканальным интерфейсом SPI (Serial Peripheral Interface), позволяющим передавать данные в несколько параллельных потоков.

Добавлен (https://lore.kernel.org/lkml/20251214-b4-atcphy-v3-0-ba82b20e9459@kernel.org/T/) драйвер для комбинированных коннекторов Type-C, применяемых на устройствах на чипах Apple Silicon и сочетающих интерфейсы USB3, DP-AltMode и Thunderbolt/USB4.

Добавлена поддержка звуковых подсистем чипов Tegra238, Minisforum V3 SE, iBasso DC04U, Intel Nova Lake, Nova Lake S и Focusrite Forte.

Реализована (https://www.collabora.com/news-and-blog/news-and-events/rk3588-and-rk3576-video-decoders-support-merged-in-the-upstream-linux-kernel.html) поддержка аппаратных декодировщиков видео в форматах H.264 и HEVC, применяемых в SoC RK3588 и RK3576 (используются, например, в платах Orange Pi 5).

Добавлена (https://lore.kernel.org/dmaengine/20250821085111.1430076-1-yi.sun@intel.com/T/) начальная поддержка ускорителей копирования и анализа данных Intel DSA 3.0 (https://www.intel.com/content/www/us/en/products/docs/accelerator-engines/data-streaming-accelerator.html) (Data Streaming Accelerator).

Добавлена поддержка ARM-плат, SoC и устройств: Arduino UnoQ, OrangePi 6 Plus, OrangePi CM5, Anbernic RG-DS, Realtek Kent, Qualcomm Kaanapali, Mediatek Ezurio, Facebook Anacapa, Microchip LAN9668, Khadas VIM1S, QNAP TS133, i.MX952, i.MX93, i.MX94, VHIP4 EvalBoard, TQ-Systems MBLS1028A, Agilex5, Radxa CM3J, Glymur,

Добавлена поддержка смартфонов и планшетов: Fairphone Gen 6 (SoC Qualcomm Milos/Snapdragon 7s Gen 3), Pixel 3/3 xl, Microsoft surface pro 11.

Одновременно латиноамериканский Фонд свободного ПО сформировал (https://www.fsfla.org/pipermail/linux-libre/2026-April/003647.html)
вариант полностью свободного ядра 7.0 (http://www.fsfla.org/ikiwiki/selibre/linux-libre/) - Linux-libre 7.0-gnu (http://linux-libre.fsfla.org/pub/linux-libre/releases/7.0-gnu/), очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 7.0 проведена чистка от блобов драйвера iwlwifi. Обновлён код чистки в драйверах amdgpu, adreno, TI PRUeth, air_en8811h, ath12k, TI VPE, rtw8852b, rt1320, rt5575 SPI, tas2783, Intel catpt. Выполнена чистка имён blob-ов в dts-файлах (devicetree) для ARM-чипов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65194 (https://www.opennet.ru/opennews/art.shtml?num=65194)

https://www.opennet.ru/opennews/art.shtml?num=65194

Доступен полностью свободный ...

2026-04-14T09:23:48+02:00

Доступен полностью свободный Linux-дистрибутив Trisquel 12.0

После трёх лет с момента публикации прошлой ветки представлен (https://trisquel.info/en/trisquel-120-ecne-release-announcement) релиз полностью свободного Linux-дистрибутива Trisquel 12.0 (http://trisquel.info/en/), основанного на пакетной базе Ubuntu 24.04 LTS и ориентированного на использование в небольших предприятиях, в образовательных учреждениях и домашними пользователями. Trisquel лично одобрен Ричардом Столманом, официально признан Фондом Свободного ПО в качестве полностью свободного и помещен в список (http://www.gnu.org/distros/free-distros.html) рекомендованных фондом дистрибутивов. Для загрузки доступны (http://mirror.fsf.org/trisquel-images/) установочные образы, размером 3.4 ГБ (MATE), 2.7 ГБ (KDE), 1.9 ГБ (LXDE), 1.5 ГБ (Sugar) и 79 МБ (загрузка по сети), сформированные для архитектур x86_64, ppc64el, arm64 и armhf. Выпуск обновлений для дистрибутива будет осуществляться до апреля 2029 года.

Дистрибутив примечателен исключением из поставки всех несвободных компонентов, таких как бинарные драйверы, прошивки и элементы графического оформления, распространяемые под несвободной лицензией или использующие зарегистрированные торговые марки. Несмотря на полный отказ от проприетарных компонентов, Trisquel совместим с Java (OpenJDK), поддерживает большинство аудио- и видео-форматов, включая работу с защищенными DVD, задействуя при этом только полностью свободные реализации данных технологий. В качестве рабочих столов предлагаются MATE (по умолчанию), LXDE и KDE.

В новом выпуске:

- Осуществлён переход с пакетной базы Ubuntu 22.04 на ветку Ubuntu 24.04 (https://www.opennet.ru/opennews/art.shtml?num=61069).

- До версии 6.8 (была 5.15) обновлён полностью свободный вариант ядра Linux - Linux Libre, очищенный от проприетарных прошивок и драйверов, содержащих несвободные компоненты. Повышена модульность поставки ядра.

- С целью повышения безопасности переработаны правила AppArmor для графических окружений.

- Пакетный менеджер APT обновлён до ветки 3.0 (https://www.opennet.ru/opennews/art.shtml?num=63026), а настройки репозиториев переведены на использование формата deb822.

- В состав включены web-браузеры GNU IceCat (https://www.gnu.org/software/gnuzilla/) и ungoogled-chromium (https://github.com/Eloston/ungoogled-chromium), помимо ранее поставляемого Abrowser (https://trisquel.info/en/wiki/abrowser-help) (сборка Firefox от разработчиков Trisquel).

- Рабочий стол MATE обновлён до версии 1.26.1. Опционально для установки доступны пользовательские окружения LXDE 0.99.2, KDE Plasma 5.27 и Sugar 0.121 (обучающее окружение для детей).

- Обновлены версии программ, в том числе в бэкпортах доступны свежие версии LibreOffice, yt-dlp, Inkscape, Nextcloud Desktop, Kdenlive, Tuba, 0 A.D., fastfetch и многих других приложений.

( )

( )

( )

Основные требования (https://www.gnu.org/distros/free-system-distribution-guidelines.html) к полностью свободным дистрибутивам:

- Включение в состав дистрибутива ПО с одобренными FSF лицензиями;

- Недопустимость поставки бинарных прошивок (firmware) и любых бинарных компонентов драйверов;

- Непринятие неизменяемых функциональных компонентов, но возможность включения нефункциональных, при условии разрешения копировать и распространять их в коммерческих и некоммерческих целях (например, CC BY-ND-карты к GPL-игре);

- Недопустимость использования торговых марок, условия использования которых мешают свободному копированию и распространению всего дистрибутива или его части;

- Соблюдение лицензионной чистоты документации, недопустимость документации, рекомендующей установку проприетарного ПО для решения определённых задач.

В настоящее время помимо Trisque в список (http://www.gnu.org/distros/free-distros.html) полностью свободных дистрибутивов GNU/Linux включены следующие проекты:

- Dragora (http://www.dragora.org/) - независимый дистрибутив, пропагандирующий идею максимального архитектурного упрощения;

- Dynebolic (http://dynebolic.org) - специализированный дистрибутив для обработки видео и аудио данных (более не развивается - последний релиз был 8 сентября 2011 года);

- Guix (http://www.gnu.org/software/guix/) - основан на пакетном менеджере Guix и системе инициализации GNU Shepherd (ранее известной как GNU dmd), написанными на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов.

- Hyperbola (https://www.hyperbola.info/) - основан на стабилизированных срезах пакетной базы Arch Linux с переносом из Debian некоторых патчей для повышения стабильности и безопасности. Проект развивается в соответствии с принципом KISS (Keep It Simple Stupid) и нацелен на предоставление пользователям простого, легковесного, стабильного и безопасного окружения.

- Parabola GNU/Linux (https://parabolagnulinux.org/) - дистрибутив, основанный на наработках проекта Arch Linux;

- PureOS (https://pureos.net/) - основан на пакетной базе Debian и разрабатывается компанией Purism, развивающей смартфон Librem 5 и выпускающей ноутбуки, поставляемые с данным дистрибутивом и прошивкой на базе CoreBoot;

- libreCMC (http://librecmc.org/) (libre Concurrent Machine Cluster), специализированный дистрибутив, рассчитанный на использование во встраиваемых устройствах, таких как беспроводные маршрутизаторы.

- ProteanOS (http://proteanos.com/) - обособленный дистрибутив, развивающийся в направлении достижения как можно более компактного размера;

Источник: https://www.opennet.ru/opennews/art.shtml?num=65193 (https://www.opennet.ru/opennews/art.shtml?num=65193)

https://www.opennet.ru/opennews/art.shtml?num=65193

Часть компьютеров в госучреждениях ...

2026-04-14T09:23:48+02:00

Часть компьютеров в госучреждениях Франции планируют перевести с Windows на Linux

Давид Амьель (David Amiel (https://en.wikipedia.org/wiki/David_Amiel)), министр бюджета, государственных счетов и гражданской администрации Франции, объявил (https://www.numerique.gouv.fr/sinformer/espace-presse/souverainete-numerique-reduction-dependances-extra-europeennes/) о планах по переводу некоторых компьютеров в госучреждениях с Windows на Linux. Миграция осуществляется в рамках инициативы по обеспечению цифрового суверенитета и снижению зависимости от не европейских технологических компаний.

Амьель подчеркнул, что французское правительство больше не может мириться с тем, что не контролирует свои данные и цифровую инфраструктуру. Сроки перехода и внедряемый дистрибутив Linux пока не уточняются. Первым на Linux решено перевести рабочие станции в межминистерском управлении цифровизации (DINUM). Министерствам предписано до осени подготовить собственные планы снижения зависимости от не европейских технологий, охватывающие рабочие станции, инструменты совместной разработки, антивирусы, AI-системы, СУБД, платформы виртуализации и сетевое оборудование.

Решение о замене Windows принято спустя несколько месяцев после анонса перевода системы проведения видеоконференций с пакета Microsoft Teams на французский продукт Visio, основанный на открытой платформе Jitsi (https://jitsi.org/). До конца года также планируют заменить информационную систему здравоохранения на новую подконтрольную разработку. Кроме этого, объявлено о миграции 80 тысяч сотрудников отделений системы медицинского страхования на собственную платформу межведомственного документооборота.

В дополнение можно отметить развитие Linux-дистрибутива EU OS (https://eu-os.eu/), нацеленного на использование в государственном секторе Евросоюза. Дистрибутив развивается энтузиастами, которые взаимодействуют с органами государственного управления ЕС и намерены получить статус проекта Европейской комиссии. Дистрибутив основан на Fedora Linux, формируется в виде атомарно обновляемого системного образа и поставляется со средой рабочего стола KDE. Среди других европейских дистрибутивов похожего назначения:
GendBuntu (https://en.wikipedia.org/wiki/GendBuntu) (редакция Ubuntu, применяемая (https://www.opennet.ru/opennews/art.shtml?num=38045) в Национальной жандармерии Франции), Linux Plus 1 (https://www.schleswig-holstein.de/DE/landesregierung/themen/digitalisierung/linux-plus1) (внедрён (https://www.opennet.ru/opennews/art.shtml?num=60928) в немецком регионе Шлезвиг-Гольштейн), LiMux (https://en.wikipedia.org/wiki/LiMux) (выпускался до 2019 года и применялся в Мюнхене), Linux Barcelona (https://web.archive.org/web/20180122174245/https://elpais.com/ccaa/2017/12/01/catalunya/1512145439_132556.html) (сборка Ubuntu, применяемая в госучреждениях Барселоны).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65184 (https://www.opennet.ru/opennews/art.shtml?num=65184)

https://www.opennet.ru/opennews/art.shtml?num=65184

Выпуск браузерного движка Servo 0.1.0, ...

2026-04-14T08:38:33+02:00

Выпуск браузерного движка Servo 0.1.0, который теперь доступен в форме crate-пакета

Опубликован (https://servo.org/blog/2026/04/13/servo-0.1.0-release/) выпуск браузерного движка Servo 0.1.0 (https://servo.org/) и развиваемого вместе с ним демонстрационного браузера ServoShell (https://book.servo.org/trying/getting-servoshell.html), написанных на языке Rust. Готовые сборки сформированы (https://github.com/servo/servo/releases/tag/v0.1.0) для Linux, Android, macOS и Windows. Помимо отдельных сборок (https://servo.org/download/) Servo теперь поставляется и в форме crate-пакета (https://crates.io/crates/servo), позволяющего встраивать движок в приложения и использовать его в форме библиотеки.

Servo 0.1.0 стал первым выпуском, для которого обеспечен длительный цикл поддержки (https://book.servo.org/embedding/lts-release.html) (LTS). Новые LTS-ветки будут публиковать раз в 6 месяцев на основе очередного промежуточного выпуска. Поддержка LTS-выпусков будет осуществляться 9 месяцев (3 месяца даётся для перехода на новую LTS-ветку). От обычных выпусков LTS-ветка отличается публикацией обновлений с исправлениями уязвимостей в библиотеке servo, JavaScript-движке и зависимостях. Предполагается, что LTS-ветка будет полезна для разработчиков, встраивающих Servo в свои проекты и не желающих ежемесячно переходить на очередной промежуточный выпуск с возможными изменениями в API.

Выпуск Servo 0.1.0 LTS построен на основе сформированной несколько дней назад промежуточной версии 0.0.6, в которой были реализованы следующие новые возможности (https://servo.org/blog/2026/03/31/february-in-servo/):

- В HTML-элементe "button" реализованы атрибуты "command" и "commandfor", которые можно использовать в кнопках вместо атрибутов "popovertargetaction" и "popovertarget" для декларативной настройки взаимодействия с меню, вызываемым при нажатии на кнопку.

- Добавлен CSS-селектор ":modal", позволяющий определить, что диалог, созданный через элемент ‹dialog›, является модальным.

- Реализовано CSS-правило @property (https://web.dev/at-property/), позволяющее регистрировать собственные CSS-свойства (https://drafts.css-houdini.org/css-properties-values-api/).

- Добавлены CSS-свойства "alignment-baseline (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Properties/alignment-baseline)" и "baseline-shift (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Properties/baseline-shift)" для выравнивания текста по вертикали.

- Добавлена поддержка заголовка "Content-Security-Policy: base-uri", ограничивающего URL, которые могут использоваться в HTML-элементе ‹base›.

- Добавлена частичная поддержка отложенной загрузки iframe-блоков, при которой содержимое, находящееся вне видимой области, не загружается до тех пор, пока пользователь не прокрутит страницу в место, непосредственно предшествующее элементу. Включение отложенной загрузки страниц осуществляется через атрибут "loading=lazy" в теге iframe (‹iframe loading=lazy›).

- Добавлена частичная поддержка CSS-свойства "transform-style: preserve-3d (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Properties/transform-style)" для позиционирования дочерних элементов в 3D-пространстве.

- Реализованы события pointermove, pointerdown, pointerup и pointercancel.

- Обеспечен поворот изображений на основе метаданных EXIF.

- Обеспечено использование переменной окружения LANG для выбора языка по умолчанию для заголовка "Accept-Language" и свойства navigator.language.

- Добавлены API Pointer Events (https://w3c.github.io/pointerevents/) и UserActivation (https://html.spec.whatwg.org/multipage/interaction.html#the-useractivation-interface).

- Реализованы методы import.meta.resolve() (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Operators/import.meta/resolve), formData() (https://developer.mozilla.org/en-US/docs/Web/API/FormData), toJSON() (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Date/toJSON), createIndex(), deleteIndex() и index() (https://developer.mozilla.org/en-US/docs/Web/API/IDBObjectStore/).

- В демонстрационном браузере servoshell для изменения настроек
реализованы страницы servo:preferences (GUI конфигуратор) и servo:config (изменение отдельных параметров в стиле about:config). Добавлена поддержка перезагрузки страницы при нажатии F5.

( )

- В инструментах для web-разработчиков в режиме инспектирования добавлена поддержка редактирования атрибутов DOM, в web-консоли обеспечен предпросмотр объектов, передаваемых через console.log(), в отладчике появилась возможность приостановки и возобновления выполнения скриптов.

- Расширен API для встраивания браузерного движка в приложения.

Движок Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65197 (https://www.opennet.ru/opennews/art.shtml?num=65197)

https://www.opennet.ru/opennews/art.shtml?num=65197

Выпуск браузерного движка Servo 0.1.0, ...

2026-04-13T22:38:33+02:00

Выпуск браузерного движка Servo 0.1.0, который теперь доступен в форме crate-пакета

Опубликован (https://servo.org/blog/2026/04/13/servo-0.1.0-release/) выпуск браузерного движка Servo 0.1.0 (https://servo.org/) и развиваемого вместе с ним демонстрационного браузера ServoShell (https://book.servo.org/trying/getting-servoshell.html), написанных на языке Rust. Готовые сборки сформированы (https://github.com/servo/servo/releases/tag/v0.1.0) для Linux, Android, macOS и Windows. Помимо отдельных сборок (https://servo.org/download/) Servo теперь поставляется и в форме crate-пакета (https://crates.io/crates/servo), позволяющего использовать движок в форме библиотеки.

Servo 0.1.0 стал первым выпуском, для которого обеспечен длительный цикл поддержки (https://book.servo.org/embedding/lts-release.html) (LTS). Новые LTS-ветки будут публиковать раз в 6 месяцев на основе очередного промежуточного выпуска. Поддержка LTS-выпусков будет осуществляться 9 месяцев (3 месяца даётся для перехода на новую LTS-ветку). От обычных выпусков LTS-ветка отличается публикацией обновлений с исправлениями уязвимостей в библиотеке servo, JavaScript-движке и зависимостях. Предполагается, что LTS-ветка будет полезна для разработчиков, встраивающих Servo в свои проекты и не желающих ежемесячно переходить на очередной промежуточный выпуск с возможными изменениями в API.

Выпуск Servo 0.1.0 LTS построен на основе сформированной несколько дней назад промежуточной версии 0.0.6, в которой были реализованы следующие новые возможности (https://servo.org/blog/2026/03/31/february-in-servo/):

- В HTML-элементe "button" реализованы атрибуты "command" и "commandfor", которые можно использовать в кнопках вместо атрибутов "popovertargetaction" и "popovertarget" для декларативной настройки взаимодействия с меню, вызываемым при нажатии на кнопку.

- Добавлен CSS-селектор ":modal", позволяющий определить, что диалог, созданный через элемент ‹dialog›, является модальным.

- Реализовано CSS-правило @property (https://web.dev/at-property/), позволяющее регистрировать собственные CSS-свойства (https://drafts.css-houdini.org/css-properties-values-api/).

- Добавлены CSS-свойства "alignment-baseline (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Properties/alignment-baseline)" и "baseline-shift (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Properties/baseline-shift)" для выравнивания текста по вертикали.

- Добавлена поддержка заголовка "Content-Security-Policy: base-uri", ограничивающего URL, которые могут использоваться в HTML-элементе ‹base›.

- Добавлена частичная поддержка отложенной загрузки iframe-блоков, при которой содержимое, находящееся вне видимой области, не загружается до тех пор, пока пользователь не прокрутит страницу в место, непосредственно предшествующее элементу. Включение отложенной загрузки страниц осуществляется через атрибут "loading=lazy" в теге iframe (‹iframe loading=lazy›).

- Добавлена частичная поддержка CSS-свойства "transform-style: preserve-3d (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Properties/transform-style)" для позиционирования дочерних элементов в 3D-пространстве.

- Реализованы события pointermove, pointerdown, pointerup и pointercancel.

- Обеспечен поворот изображений на основе метаданных EXIF.

- Обеспечено использование переменной окружения LANG для выбора языка по умолчанию для заголовка "Accept-Language" и свойства navigator.language.

- Добавлены API Pointer Events (https://w3c.github.io/pointerevents/) и UserActivation (https://html.spec.whatwg.org/multipage/interaction.html#the-useractivation-interface).

- Реализованы методы import.meta.resolve() (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Operators/import.meta/resolve), formData() (https://developer.mozilla.org/en-US/docs/Web/API/FormData), toJSON() (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Date/toJSON), createIndex(), deleteIndex() и index() (https://developer.mozilla.org/en-US/docs/Web/API/IDBObjectStore/).

- В демонстрационном браузере servoshell для изменения настроек
реализованы страницы servo:preferences (GUI конфигуратор) и servo:config (изменение отдельных параметров в стиле about:config). Добавлена поддержка перезагрузки страницы при нажатии F5.

( )

- В инструментах для web-разработчиков в режиме инспектирования добавлена поддержка редактирования атрибутов DOM, в web-консоли обеспечен предпросмотр объектов, передаваемых через console.log(), в отладчике появилась возможность приостановки и возобновления выполнения скриптов.

- Расширен API для встраивания браузерного движка в приложения.

Движок Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65197 (https://www.opennet.ru/opennews/art.shtml?num=65197)

https://www.opennet.ru/opennews/art.shtml?num=65197

Релиз ядра Linux 7.0 После двух месяцев ...

2026-04-13T13:23:38+02:00

Релиз ядра Linux 7.0

После двух месяцев разработки Линус Торвальдс представил (https://lore.kernel.org/lkml/CAHk-=wj2WqpPBwpAXo8bj_Hx-NxKMRVTVMUaQis7+Vm6XLRZiw@mail.gmail.com/T/#u) релиз ядра Linux 7.0 (https://www.kernel.org/). Среди наиболее заметных изменений: правила применения AI-ассистентов, перевод Rust в основные возможности ядра, повышение производительности подкачки, включение по умолчанию режима PREEMPT_LAZY, поддержка фильтров для операций io_uring, новая ФС Nullfs, инфраструктура fserror, средства мониторинга XFS, поддержка ремапинга в Btrfs, включение по умолчанию версии NFS 4.1, интеграция пост-квантового криптоалгоритма ML-DSA, активация AccECN в сетевой подсистеме, начальная поддержка WiFi 8.

Номер 7.0 присвоен, так как в ветке 6.x накопилось достаточного выпусков для смены первого числа в номере версии (в своё время выпуск 6.0 был сформирован следом за 5.19). Смена нумерации осуществляется из эстетических соображений и является формальным шагом, снимающим дискомфорт из-за накопления большого числа выпусков в серии.

В новую версию принято 15624 исправления от 2477 разработчиков,
размер патча - 56 МБ (изменения затронули 18053 файла, добавлено 704060 строк кода,
удалено 278132 строки). В прошлом выпуске было 15657 исправлений от 2237 разработчиков, размер патча - 52 МБ. Около 51% всех представленных в 7.0
изменений связаны с драйверами устройств, примерно 11% изменений имеют
отношение к обновлению кода, специфичного для аппаратных архитектур, 14%
связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними
подсистемами ядра.

Основные новшества в ядре 7.0 (1 (https://kernelnewbies.org/Linux_7.0), 2 (https://lwn.net/Articles/1058664/), 3 (https://www.opennet.ru/kernel/ml/7.0.html)):

- Дисковая подсистема, ввод/вывод и файловые системы

Реализована инфраструктура fserror и добавлен (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=dd466ea0029961ee0ee6e8e468faa1506275c8a9) API для получения информации об ошибках ввода/вывода и повреждении метаданных при работе с файлами. Предложенная инфраструктура унифицирует в файловых системах передачу сведений об ошибках в пространство пользователя через механизм fsnotify.

В XFS добавлены (https://lore.kernel.org/linux-xfs/176897694953.202109.15171131238404759078.stgit@frogsfrogsfrogs/) новые возможности для мониторинга за состоянием файловой системы из пространства пользователя. Предложена ioctl-операция XFS_IOC_HEALTH_MONITOR, возвращающая файловый дескриптор, через который можно получать сведения о сбоях, связанных с повреждением метаданных или возникновение ошибок при вводе/вывода, а также отслеживать изменение состояний ФС, таких как отмонтирование и завершение работы. Дополнительно предложен управляемый через systemd фоновый процесс xfs_healer, обрабатывающий события о состоянии ФС из пространства пользователя и при необходимости автоматически запускающий процедуры восстановления (https://www.kernel.org/doc/html/next/filesystems/xfs-online-fsck-design.html).

В файловую систему Btrfs добавлена экспериментальная поддержка структуры "дерево ремапинга" (remap tree (https://github.com/btrfs/btrfs-todo/issues/54)), которая в будущем может быть задействована в качестве промежуточного слоя при выполнении операций ввода-вывода. Суть добавленной возможности в том, что после перемещения данных на накопителе вместо обновления всех связанных с этими данными структур в дополнительной структуре "remap tree" сохраняются старые и новые адреса данных, после чего при обращении к данным адреса подменяются. Новый подход преподносится как более надёжный и гибкий, а также упрощающий дальнейшее расширение функциональности Btrfs.

В Btrfs реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8912c2fd5830) поддержка прямого ввода/вывода в ситуациях, когда размер блока превышает размер страницы памяти в системе.

В состав
включена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7416634fd6f1) новая файловая система "Nullfs", которую можно использовать в качестве заглушки для корневой ФС. Файловая система Nullfs всегда пустая, не содержит данных и не поддерживает изменения. Назначением Nullfs является использование в качестве начальной ФС для упрощения процесса загрузки системы - поверх Nullfs затем монтируются другие ФС и используется системный вызов pivot_root() для переключения корневой ФС вместо очистки содержимого initramfs и использования связанной с ним корневой ФС.

Реализовано (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=74554251dfc9) обновление информации о времени модификации файлов в неблокирующем режиме. Ранее вызов file_update_time_flags() с флагом IOCB_NOWAIT возвращал ошибку "-EAGAIN", что не позволяло использовать операции прямой записи в неблокирующем режиме.

В файловых системах в разряд отдельно включаемых опций переведена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7e463614c97b) поддержка уведомительных блокировок (lease (https://man7.org/linux/man-pages/man2/F_SETLEASE.2const.html)). По умолчанию подобный механизм теперь не активируется из-за проблем с ФС, изначально не рассчитанных на его применение. Например, его не поддерживают ФС 9p и cephfs.

В файловой системе Ext4 повышена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5903c871e21498405d11c5699d06becd12acda24) эффективность кэширования экстентов и отложенного выделения блоков (delayed allocation). Реализован sysfs-параметр "err_report_sec", определяющий задержку записи в лог повторяющихся предупреждений о проблемах с целостностью и ошибках в ФС. Повышена производительность одновременной записи в несколько файлов в режиме прямого ввода/вывода (direct I/O).

В файловой системе EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения, для сжатия по умолчанию задействован алгоритм LZMA. Опционально доступны алгоритмы DEFLATE и Zstandard, которые больше не помечены экспериментальными. Реализовано совместное использование записей в страничном кэше (page-cache) для идентичных файлов в отдельных ФС EROFS.

Удалён (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=64dd89ae01f2) режим laptop_mode, экономящий энергопотребление за счёт откладывания и объединения операций записи на жёсткий диск с целью продления нахождения диска в спящем режиме и снижения числа пробуждений. Режим потерял актуальность, так как в современных мобильных устройствах жёсткие диски вытеснены твердотельными накопителями.

Файловая система F2FS переведена на использование больших фолиантов страниц памяти (https://www.opennet.ru/opennews/art.shtml?num=56478#folios) (large folios).

Возрождена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=75a452d31ba6) работа над драйвером ntfs3, развиваемым (https://www.opennet.ru/opennews/art.shtml?num=55742) компанией Paragon Software. Добавлена поддержка операций с файлами на базе iomap, реализованы опции llseek SEEK_DATA/SEEK_HOLE, добавлен режим delalloc для отложенного выделения блоков. Тем временем, в списке рассылки разработчиков ядра в феврале было одобрено (https://lore.kernel.org/lkml/20260204094210.GA31939@lst.de/#t) включение в состав одной из будущих версий ядра новой реализации NTFS - ntfsplus (https://www.opennet.ru/opennews/art.shtml?num=64084), разработанной для замены ntfs3.

По умолчанию при сборке включена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7537db24806f) версия протокола NFS 4.1 (CONFIG_NFS_V4_1). Обеспечена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b3c78bc53630) блокировка экспорта через NFS специализированных псевдо-ФС, таких как pidfs и nsfs. В NFSD реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=feb8a46b14d9) экспериментальная возможность использования POSIX ACL и добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1c87a0c39a86) поддержка динамического изменения пула потоков (thread-pool) в зависимости от нагрузки.

- Память и системные сервисы

Утверждены официальные правила применения AI-ассистентов (https://docs.kernel.org/process/coding-assistants.html) и включения в ядро автоматически сгенерированного содержимого (https://docs.kernel.org/process/generated-content.html). При передаче сгенерированного кода предписано помечать его через указание используемого AI-ассистента через тег "Assisted-by". AI-ассистентам запрещено добавлять тег "Signed-off-by" - человек, передавший патч, считается его автором, несёт ответственность за переданное изменение и ручается за его качество. Разработчикам предписано проводить ручное рецензирование полученного через AI кода и проверять соответствие результата лицензионным требованиям.

Поддержка Rust переведена (https://opennet.ru/64401-rust) из экспериментальных в основные возможности ядра (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9fa7153c31a3). Поддержка Rust не активна по умолчанию и не приводит к включению Rust в число обязательных сборочных зависимостей к ядру.

Завершена (https://lore.kernel.org/lkml/20251220-swap-table-p2-v5-0-8862a265a033@tencent.com/T/) интеграция в ядро механизма "Swap Table (https://docs.kernel.org/mm/swap-table.html)", позволяющего повысить производительность подкачки. Ускорение достигается благодаря уменьшению конкуренции за доступ к кэшу подкачки, более эффективного поиска в кэше и снижения фрагментации. Бэкенд на базе Swap Table задействован для кэширования подкачки вместо бэкенда XArray и позволил в тесте redis-benchmark с BGSAVE увеличить число обрабатываемых запросов на 22%.

Добавлена поддержка появившегося в Clang 22 расширения Thread Safety Analysis (https://clang.llvm.org/docs/ThreadSafetyAnalysis.html), позволяющего на этапе компиляции выявлять потенциальные состояния гонки и ошибки, вызванные некорректным выставлением блокировок. Расширение предлагает серию атрибутов, таких как GUARDED_BY(...), REQUIRES(...), RELEASE(...) и ACQUIRE(...), позволяющих отмечать охватываемые блокировками функции и разделять области действия блокировок (определять контекст). На этапе компиляции выполняется проверка корректности применения примитивов синхронизации, таких как мьютексы, на основе оценки активности или не активности, связанного с ними контекста.

В системный вызов open_tree добавлен (https://git.kernel.org/linus/9b8a0ba68246a61d903ce62c35c303b1501df28b) флаг OPEN_TREE_NAMESPACE для упрощения настройки изолированных контейнеров и ускорения запуска контейнеров на системах с большим числом точек монтирования. По аналогии с OPEN_TREE_CLONE новый флаг копирует только указанное дерево точек монтирования (mount tree), но вместо локального файлового дескриптора возвращает файловый дескриптор в новом пространстве имён точек монтирования, в котором скопированное дерево монтируется поверх копии реальной корневой ФС. Флаг OPEN_TREE_NAMESPACE востребован для ухода от раздельного выполнения операций unshare(CLONE_NEWNS) и pivot_root(), применяемых при создании контейнеров.

В системный вызов rseq добавлен (https://lore.kernel.org/linux-kernel/20251215155615.870031952@linutronix.de/T/) механизм расширения квантов времени (time slice), позволяющий получить дополнительное процессорное время для неразрывного выполнения критической секции. Идея в том, чтобы избежать прерывания планировщиком задач критической секции с выставленной блокировкой, приводящего к передаче управления другим потокам, использующим ресурс, на которых остаётся выставлена блокировка. Расширение кванта времени производится без дополнительных накладных расходов, но и без строгих гарантий, предоставляемых при полноценном регулировании приоритетов.

Для архитектур arm64, loongarch, powerpc, riscv, s390 и x86 режим вытеснения задач (preemption) в планировщике по умолчанию изменён (https://web.git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7dadeaa6e851) с PREEMPT_NONE на PREEMPT_LAZY. Число возможных режимов сокращено (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7dadeaa6e851) с четырёх до двух - PREEMPT_FULL и PREEMPT_LAZY (режимы PREEMPT_NONE и PREEMPT_VOLUNTARY оставлены только для архитектур, не поддерживающих PREEMPT_FULL и PREEMPT_LAZY). Режим PREEMPT_LAZY применяет модель полного вытеснения (PREEMPT_FULL) для realtime-задач (RR/FIFO/DEADLINE), но задерживает вытеснение обычных задач (SCHED_NORMAL) до границы тика. Вносимая задержка приводит к сокращению случаев вытеснения держателей блокировок, что позволяет приблизить производительность к конфигурациям, использующим модель добровольного вытеснения (voluntary preemption), т.е. PREEMPT_LAZY позволяет сохранить возможности полного вытеснения в отношении realtime-задач, но сводит к минимуму проседание производительности для обычных задач.

Включение PREEMPT_LAZY привело (https://www.opennet.ru/opennews/art.shtml?num=65143) к серьёзной регрессии, в два раза снижающей производительность PostgreSQL на системах ARM64. Для устранения падения производительности разработчикам PostgreSQL предложено (https://lore.kernel.org/lkml/20260403213207.GF2872@noisy.programming.kicks-ass.net/) задействовать опцию PR_RSEQ_SLICE_EXTENSION для снижения вероятности вытеснения держателя блокировки.

Продолжен (https://lore.kernel.org/rust-for-linux/20260208135445.64840-1-ojeda@kernel.org/) перенос изменений из ветки Rust-for-Linux (https://github.com/Rust-for-Linux/linux), связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра. Благодаря ранее интегрированной библиотеке "syn (https://crates.io/crates/syn)", упрощающей написание сложных макросов, удалось сократить размер Rust-кода в ядре за счёт упрощения определений имеющихся процедурных макросов. Расширены возможности библиотек kernel, macros и pin-init.

В систему асинхронного ввода/вывода io_uring
добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5247c034a67f) опция для использования не кольцевых очередей (non-circular submission queue), более эффективно кэшируемых в ситуации, когда выполнение запроса завершается раньше возврата из системного вызова.

В подсистеме eBPF в механизме BTF (BPF Type Format), предоставляющем информацию для проверки типов в псевдокоде BPF, для поиска отладочной информации задействован (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b9da17391e13) бинарный поиск, что повысило эффективность загрузки BPF-программ. В eBPF добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b236134f70ba) поддержка неявных аргументов при вызове kfunc (https://docs.kernel.org/bpf/kfuncs.html) (функции ядра, доступные для использования в программах BPF), определённых с флагом KF_IMPLICIT_ARGS.

Удалён (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=996812c453ca) код для поддержки начального RAM-диска (initrd) на базе linuxrc (https://github.com/openSUSE/linuxrc), давно объявленный устаревшим. Оставшиеся реализации initrd планируют удалить в 2027 году. Вместо initrd следует использовать initramfs (разница в том, что initrd размещает начальное загрузочное окружение в дисковом образе, а initramfs - в файловой системе).

В блочном устройстве zram (https://docs.kernel.org/admin-guide/blockdev/zram.html), применяемом для сжатого хранения раздела подкачки в памяти, изменена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d38fab605c66) логика работы со сжатыми страницами памяти при опциональном перемещении данных в постоянное хранилище в случае заполнения доступной оперативной памяти. Ранее страницы памяти распаковывались перед записью на физический носитель, а теперь сохраняются как есть в сжатом виде, что снижает нагрузку на CPU и экономит энергию при автономной работе.

В утилиту timerlat (https://docs.kernel.org/tools/rtla/rtla-timerlat.html), предназначенную для измерения задержек при работе планировщика задач, добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f967d1eca7d0) опция "--bpf-action" для запуска BPF-программ в случае превышения заданного порога.

В систему трассировки ftrace добавлена настройка "bitmask-list" для вывода битовых масок в читаемом виде (в форме списка битов, а не шестнадцатеричного числа). В tracefs добавлены возможности для аудита
фильтров (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=729757b96a66) и триггеров (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6a80838814ee). Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=800af362d689) команда "perf sched stats" для сбора и отображения статистики о работе планировщика задач. В подсистему perf добавлена поддержка метрик производительности процессоров AMD Zen 6 (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=c7decec2f2d2ab0366567f9e30c0e1418cece43f), Intel Nova Lake (https://git.kernel.org/linus/7e760ac4617b63628edd55a96be2fc85b7eaa435), Diamond Rapids (https://git.kernel.org/linus/7ac422cf7b16ec524bcd8e017459e328a4103f63) и Wildcat Lake (https://git.kernel.org/linus/6d4b8d052ff22742c3980fa45f26b0969a9b6163), Airmont NP (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=3006911f284d769b0f66c12b39da130325ef1440).

В утилите Turbostat реализован (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2961f841b025fb234860bac26dfb7fa7cb0fb122) вывод статистики о работе L2-кэша процессоров Intel.

Добавлены (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=dfa6ce636cb8) сборочные опции LOGO_LINUX_MONO_FILE, LOGO_LINUX_VGA16_FILE и LOGO_LINUX_CLUT224_FILE для определения файла с изображением логотипа, который будет показываться при загрузке ядра вместо штатного логотипа с пингвином Tux.

Реализовано (https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?h=x86/cpu&id=f8c7600d468bdb6e44ed3b3247c6e53f5be5d8de) автоматическое включение использования расширений Intel TSX (Transactional Synchronization Extensions) на системах c процессорами, не подверженными уязвимости Zombieload (https://www.opennet.ru/opennews/art.shtml?num=51852), такими как Cooper Lake, Ice Lake, Sapphire Rappids, Emerald Rappids и Granite Rappids. Уязвимость
Zombieload приводит к утечке сведений по сторонним каналам при работе механизма асинхронного прерывания операций (TAA, TSX Asynchronous Abort). Включение TSX позволяет добиться повышения производительности многопоточных приложений за счёт динамического исключения лишних операций синхронизации.

- Виртуализация и безопасность

В системе асинхронного ввода/вывода io_uring реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d42eb05e60fea31de49897d63a1d73f933303bd4) возможность прикрепления BPF-программ с фильтрами, контролирующими, что могут делать конкретные SQE (Submission Queue Entry) операции (подобие системных вызовов в io_uring). Добавленная возможность является аналогом фильтров системных вызовов. Фильтры можно привязывать к определённым задачам и они наследуются при порождении других процессов после вызова fork(). При наличии активных фильтров, добавляемые поверх фильтры могут лишь прикреплять дополнительные ограничения, но не отключать имеющиеся. Реализованная возможность позволит блокировать методы (https://www.opennet.ru/opennews/art.shtml?num=63136) обхода фильтрации системных вызовов в sandbox-окружениях, основанные на выполнении вместо системных вызовов аналогичных операций, предоставляемых в io_uring.

В SELinux добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5473a722f782) возможность управления доступом к токенам BPF, позволяющим (https://lwn.net/Articles/935195/) непривилегированным процессам выполнять некоторые привилегированные операции c BPF, например, загружать BPF-программы в ядро и создавать map-структуры (https://docs.ebpf.io/linux/map-type/).

Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=64edccea594c) поддержка алгоритма формирования цифровых подписей ML-DSA (https://csrc.nist.gov/csrc/media/Presentations/2024/falcon/images-media/prest-falcon-pqc2024.pdf) (CRYSTALS-Dilithium), основанного на теории решёток и стойкого к подбору на квантовом компьютере. Предоставлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0ad9a71933e7) возможность использования ML-DSA для аутентификации модулей ядра.

Удалена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=148519a06304) возможность использования схем формирования цифровых подписей с алгоритмом SHA-1 для заверения модулей ядра (поддержка загрузки подписанных модулей сохранена).

В записи аудита NETFILTER_PKT добавлены ([https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=15b0c43aa621) поля 'sport' и 'dport' для инспектирования номеров сетевых портов, а не только IP-адресов.

Для систем с архитектурой RISC-V реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=79dd4f2f40d0) поддержка расширений Zicfiss и Zicfilp, предоставляющих аппаратные возможности для применения защиты CFI (Control Flow Integrity), блокирующей нарушения нормального порядка выполнения инструкций (control flow) в результате применения эксплоитов, изменяющих хранимые в памяти указатели на функции.

В гипервизоре KVM реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=db5e82496492) возможность передачи в гостевые системы информации о поддержке процессором расширения ERAPS (Enhanced Return Address Predictor Security), позволяющего обойтись без некоторых операций сброса состояния CPU при возвращении управления хосту гостевой системой. Кроме того, добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=bf2c3138ae36) поддержка закрепления за гостевыми системами оборудования для отслеживания производительности (PMU, Performance Monitoring Unit), что позволяет повысить точность профилирования по сравнению с использованием эмулируемых PMU.

В драйвер для гипервизора Hyper-V добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ff225ba9ad71) поддержка интерфейса debugfs для просмотра статистики о работе гипервизора.
Добавлено (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=033724b1c627885aed049f775e4b10583d895af6) отдельной хранилище ключей (keyring) для проверки целостности дисковых образов при помощи модуля dm-verity.

- Сетевая подсистема

Включено по умолчанию расширение AccECN (Accurate Explicit Congestion Notification (https://datatracker.ietf.org/doc/html/draft-ietf-tcpm-accurate-ecn-28)), реализующее улучшенный вариант расширения ECN (https://ru.wikipedia.org/wiki/Explicit_Congestion_Notification), позволяющего хостам в случае перегрузки маркировать IP-пакеты вместо их отбрасывания, что даёт возможность определять возникновение начальной стадии затора в каналах связи без потери пакетов. Исходное расширение ECN имеет ограничение, допускающее выставление только одного сигнала о перегрузке в рамках одного цикла приёма-передачи TCP (RTT, Round-Trip Time, отправка запроса и получение ответа). AccECN снимает данное ограничение и даёт возможность получателю передавать отправителю более одной метки о перегрузке в заголовке TCP-пакета. Алгоритмы управления перегрузкой могут использовать полученную информацию для более точного реагирования на перегрузки и не прибегать к резкому снижению интенсивности отправки пакетов при появлении незначительной перегрузки.

В реализацию алгоритма управления сетевыми очередями Cake (https://www.bufferbloat.net/projects/codel/wiki/Cake/) добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ff420c568b4c) возможность обработки нескольких очередей для распределения нагрузки на несколько ядер CPU. Алгоритм CAKE применяется для снижения негативного влияния промежуточной буферизации пакетов на граничном сетевом оборудовании, и нацелен на достижение максимально возможной пропускной способности и минимального уровня задержек даже на медленных каналах связи.

В сокеты VSOCK (https://www.man7.org/linux/man-pages/man7/vsock.7.html), используемые для взаимодействия с виртуальными машинами,
добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ff420c568b4c) поддержка сетевых пространств имён (network namespace).

Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a1085114715ee9980405d6856276c5e88339cee7) начальная реализация будущего стандарта WiFi 8 (https://en.wikipedia.org/wiki/IEEE_802.11bn) (802.11bn, Ultra High Reliability" WiFi).

Добавлены (https://www.opennet.ru/opennews/art.shtml?num=64783) оптимизации, позволившие повысить производительность обработки входящих UDP-пакетов на 12% при проведении стресс-тестирования в 100-гигабитной сети.

Добавлена (https://lore.kernel.org/netdev/cover.1768493907.git.asml.silence@gmail.com/T/) возможность использования буферов приёма пакетов (RX), размером больше 4 КБ. Увеличение размера буфера сокращает число операций со стеком при использовании аппаратного агрегирования пакетов (hw-gro - Hardware Generic Receive Offload), что в однопоточных тестах приводит к снижению нагрузки на CPU почти на треть.

Реализована (https://lore.kernel.org/all/cover.1769011015.git.pabeni@redhat.com/) возможность применения механизмов аппаратного ускорения обработки пакетов GSO (Generic Segmentation Offload) и GRO (Generic Receive Offload) при использовании вложенных UDP-туннелей.

- Оборудование

В драйвере AMDGPU реализована (https://lore.kernel.org/lkml/CAPM=9tzgmO1PWeuxjAxqOmS5PTsOe8jHP9Poy23q6tvY66B1KQ@mail.gmail.com/) поддержка IP-блоков (https://ru.wikipedia.org/wiki/IP-cores), используемых в новых GPU AMD, таких как SMUIO 15.x, PSP 15.x, IH 6.1.1/7.1, MMHUB 3.4/4.2, GC 11.5.4/12.1, SDMA 6.1.4/7.1/7.11.4 и JPEG 5.3.

В драйвере Nouveau улучшено управление частотой на системах Tegra 186+.

В драйвер i915 добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=203c7904f2d85ac768749112ddedb522965316f9) начальная поддержка дисплейного IP-блока Xe3p_LPD, применяемого в процессорах Intel Nova Lake-P.

Продолжена (https://lore.kernel.org/lkml/CAPM=9tzgmO1PWeuxjAxqOmS5PTsOe8jHP9Poy23q6tvY66B1KQ@mail.gmail.com/) работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлен режим Multi Queue (https://lore.kernel.org/lkml/20251211010249.1647839-19-niranjana.vishwanathapura@intel.com/T/). Добавлены (https://lore.kernel.org/intel-xe/20251126185952.546277-1-matthew.brost@intel.com/) компоненты, необходимые для диагностики зависаний GPU в Mesa. Добавлена (https://lore.kernel.org/intel-xe/20251124190237.20503-1-lukasz.laguna@intel.com/) поддержка механизма MERT для управления доступом к памяти GPU. Расширена поддержка датчиков температуры.

Продолжена (https://lore.kernel.org/lkml/DFYW1WV6DUCG.3K8V2DAVD1Q4A@kernel.org/) интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. В новой версии проведена подготовка к реализации поддержки GPU на базе микроархитектуры Turing и внесены различные внутренние изменения.

Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8ea39d960c9f) поддержка контроллеров и периферийных устройств с многоканальным интерфейсом SPI (Serial Peripheral Interface), позволяющим передавать данные в несколько параллельных потоков.

Добавлен (https://lore.kernel.org/lkml/20251214-b4-atcphy-v3-0-ba82b20e9459@kernel.org/T/) драйвер для комбинированных коннекторов Type-C, применяемых на устройствах на чипах Apple Silicon и сочетающих интерфейсы USB3, DP-AltMode и Thunderbolt/USB4.

Добавлена поддержка звуковых подсистем чипов Tegra238, Minisforum V3 SE, iBasso DC04U, Intel Nova Lake, Nova Lake S и Focusrite Forte.

Реализована (https://www.collabora.com/news-and-blog/news-and-events/rk3588-and-rk3576-video-decoders-support-merged-in-the-upstream-linux-kernel.html) поддержка аппаратных декодировщиков видео в форматах H.264 и HEVC, применяемых в SoC RK3588 и RK3576 (используются, например, в платах Orange Pi 5).

Добавлена (https://lore.kernel.org/dmaengine/20250821085111.1430076-1-yi.sun@intel.com/T/) начальная поддержка ускорителей копирования и анализа данных Intel DSA 3.0 (https://www.intel.com/content/www/us/en/products/docs/accelerator-engines/data-streaming-accelerator.html) (Data Streaming Accelerator).

Добавлена поддержка ARM-плат, SoC и устройств: Arduino UnoQ, OrangePi 6 Plus, OrangePi CM5, Anbernic RG-DS, Realtek Kent, Qualcomm Kaanapali, Mediatek Ezurio, Facebook Anacapa, Microchip LAN9668, Khadas VIM1S, QNAP TS133, i.MX952, i.MX93, i.MX94, VHIP4 EvalBoard, TQ-Systems MBLS1028A, Agilex5, Radxa CM3J, Glymur,

Добавлена поддержка смартфонов и планшетов: Fairphone Gen 6 (SoC Qualcomm Milos/Snapdragon 7s Gen 3), Pixel 3/3 xl, Microsoft surface pro 11.

Одновременно латиноамериканский Фонд свободного ПО сформировал (https://www.fsfla.org/pipermail/linux-libre/2026-April/003647.html)
вариант полностью свободного ядра 7.0 (http://www.fsfla.org/ikiwiki/selibre/linux-libre/) - Linux-libre 7.0-gnu (http://linux-libre.fsfla.org/pub/linux-libre/releases/7.0-gnu/), очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 7.0 проведена чистка от блобов драйвера iwlwifi. Обновлён код чистки в драйверах amdgpu, adreno, TI PRUeth, air_en8811h, ath12k, TI VPE, rtw8852b, rt1320, rt5575 SPI, tas2783, Intel catpt. Выполнена чистка имён blob-ов в dts-файлах (devicetree) для ARM-чипов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65194 (https://www.opennet.ru/opennews/art.shtml?num=65194)

https://www.opennet.ru/opennews/art.shtml?num=65194

Доступен полностью свободный ...

2026-04-12T08:15:03+02:00

Часть компьютеров в госучреждениях ...

2026-04-11T21:45:01+02:00

Часть компьютеров в госучреждениях Франции планируют перевести с Windows на Linux

Давид Амьель (David Amiel (https://en.wikipedia.org/wiki/David_Amiel)), министер бюджета, государственных счетов и гражданской администрации Франции, объявил (https://www.numerique.gouv.fr/sinformer/espace-presse/souverainete-numerique-reduction-dependances-extra-europeennes/) о планах по переводу некоторых компьютеров в госучреждениях с Windows на Linux. Миграция осуществляется в рамках инициативы по обеспечению цифрового суверенитета и снижению зависимости от не европейских технологических компаний.

Амьель подчеркнул, что французское правительство больше не может мириться с тем, что не контролирует свои данные и цифровую инфраструктуру. Сроки перехода и внедряемый дистрибутив Linux пока не уточняются. Первым на Linux решено перевести рабочие станции в межминистерском управлении цифровизации (DINUM). Министерствам предписано до осени подготовить собственные планы снижения зависимости от не европейских технологий, охватывающие рабочие станции, инструменты совместной разработки, антивирусы, AI-системы, СУБД, платформы виртуализации и сетевое оборудование.

Решение о замене Windows принято спустя несколько месяцев после анонса перевода системы проведения видеоконференций с пакета Microsoft Teams на французский продукт Visio, основанный на открытой платформе Jitsi (https://jitsi.org/). До конца года также планируют заменить информационную систему здравоохранения на новую подконтрольную разработку. Кроме этого, объявлено о миграции 80 тысяч сотрудников отделений системы медицинского страхования на собственную платформу межведомственного документооборота.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65184 (https://www.opennet.ru/opennews/art.shtml?num=65184)

https://www.opennet.ru/opennews/art.shtml?num=65184

Google задействовал Rust-библиотеку Hickory ...

2026-04-11T12:15:05+02:00

Google задействовал Rust-библиотеку Hickory в прошивке радиомодуля смартфонов Pixel 10

Компания Google поделилась опытом (https://security.googleblog.com/2026/04/bringing-rust-to-pixel-baseband.html) задействования в прошивке к baseband-модему, поставляемому в смартфонах Pixel 10, кода на языке Rust. Код для работы с протоколом DNS в прошивке заменён на Rust-библиотеку hickory-proto (https://crates.io/crates/hickory-proto), развиваемую разработчиками DNS-сервера Hickory (https://www.opennet.ru/opennews/art.shtml?num=59883), задействованного в инфраструктуре Let's Encrypt.

Интеграция hickory-proto в прошивку осуществлена в рамках инициативы по повышению защиты baseband-модема. В прошивке baseband-модема имеется обработчик DNS, так как данный протокол используется в современных сотовых сетях, среди прочего при переадресации вызовов.
При этом DNS является сложным протоколом, требующим разбора данных, поступающих из вне и не заслуживающих доверия. В прошлом у Google уже был опыт выявления уязвимостей в прошивках baseband-модема устройств Pixel, например, в 2024 году была найдена уязвимость CVE-2024-27227 (https://nvd.nist.gov/vuln/detail/cve-2024-27227), приводящая к переполнению буфера при обработке специально оформленных DNS-ответов.

Предполагается, что использование парсера протокола DNS на языке Rust сократит поверхность атаки и уменьшит риск эксплуатации (https://www.opennet.ru/opennews/art.shtml?num=58809) через DNS целого класса уязвимостей, вызванных ошибками при низкоуровневой работе с памятью. Проект также рассматривается как базис для более широкого внедрения в другие компоненты кода на языках, безопасно работающих с памятью.

Из проблемных моментов отмечено относительно большой размер результирующего кода, так как библиотка Hickory-proto изначально не рассчитана на использование во встраиваемых устройствах. Размер интегрированных компонентов составил 371KB, из которых 350KB код Hickory-proto и зависимостей, 17KB - вспомогательные функции, выделенные из стандартной библиотеки, 4KB - прослойка для использования библиотеки для обработки ответов от DNS-серверов.

Отмечается, что для модема устройств Pixel дополнительные 300KB укладываются в имеющиеся ограничения памяти, но для более требовательных встраиваемых устройств необходимо проведение оптимизации для сокращения размера кода. В будущем в Hickory-proto планируют реализовать флаги, оставляющие при компиляции только требуемую функциональность.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65190 (https://www.opennet.ru/opennews/art.shtml?num=65190)

https://www.opennet.ru/opennews/art.shtml?num=65190

Выпуск дистрибутива Deepin 25.1, ...

2026-04-10T22:45:01+02:00

Опасные уязвимости в GStreamer, CUPS, wolfSSL, ...

2026-04-10T16:45:01+02:00

Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux

Несколько выявленных за последние дни опасных уязвимостей, большинство из которых можно эксплуатировать удалённо:

- В корректирующем релизе мультимедийного фреймворка GStreamer 1.28.2 (https://lists.freedesktop.org/archives/gstreamer-devel/2026-April/082215.html) выявлено 11 уязвимостей (https://gstreamer.freedesktop.org/security/), из которых 3 вызваны переполнением буфера и потенциально могут привести к выполнению кода при обработке специально оформленных мультимедийных контейнеров MKV (https://gstreamer.freedesktop.org/security/sa-2026-0022.html) (CVE не назначен) и MOV/MP4 (https://gstreamer.freedesktop.org/security/sa-2026-0016.html) (CVE-2026-5056 (https://security-tracker.debian.org/tracker/CVE-2026-5056)), а также потоков в формате H.266/VVC (https://gstreamer.freedesktop.org/security/sa-2026-0017.html) (CVE не назначен). Остальные 8 уязвимостей вызваны целочисленным переполнением или разыменованием нулевого указателя, и могут привести к отказу в обслуживании или утечке информации при обработке данных в форматах WAV, JPEG2000, AV1, H.264, MOV, MP4, FLV, mDVDsub и SRT/WebVTT. Опасность уязвимостей в GStreamer усугубляется тем, что он применяется (https://www.opennet.ru/opennews/art.shtml?num=64964) в GNOME для разбора метаданных при автоматической индексации новых файлов, т.е. для атаки достаточно добиться загрузки файла в индексируемый каталог ~/Downloads.

- В сервере печати CUPS (https://github.com/OpenPrinting/cups/) выявлено 8 уязвимостей (https://www.openwall.com/lists/oss-security/2026/04/08/2), две из которых (CVE-2026-34980 (https://security-tracker.debian.org/tracker/CVE-2026-34980), CVE-2026-34990 (https://security-tracker.debian.org/tracker/CVE-2026-34990)) могут (https://www.linkedin.com/posts/yasamal4ik_february-2026-cve-2026-26080-and-cve-2026-activity-7441018899502043136-Rukx) использоваться (https://heyitsas.im/posts/cups/) для организации удалённого выполнения своего кода с правами root через отправку специально оформленного запроса на сервер печати. Первая уязвимость (https://github.com/OpenPrinting/cups/security/advisories/GHSA-4852-v58g-6cwf) позволяет неаутентифицированному атакующему добиться выполнения своего кода с правами пользователя lp, отправив специально оформленное задание вывода на печать (проблема вызвана некорректной обработкой экранированных символов перевода строки). Вторая уязвимость (https://github.com/OpenPrinting/cups/security/advisories/GHSA-c54j-2vqw-wpwp) позволяет поднять привилегии с пользователя lp до root, добившись изменения файлов c правами root через подстановку фиктивного принтера. Обновление CUPS с устранением уязвимостей пока недоступно (https://github.com/OpenPrinting/cups/tags).

- Опубликован (https://github.com/wolfSSL/wolfssl/releases/tag/v5.9.1-stable) корректирующий релиз криптографической библиотеки wolfSSL 5.9.1 (https://github.com/wolfSSL/wolfssl/), в котором устранена 21 уязвимость. Одной проблеме присвоен критический уровень опасности, а 9 - высокий (приводят к повреждению памяти). Критическая уязвимость (CVE-2026-5194 (https://security-tracker.debian.org/tracker/CVE-2026-5194)) вызвана отсутствием проверки размера хэша и идентификатора OID, что позволяет указывать хэши, размером меньше допустимого для снижения стойкости алгоритмов формирования цифровой подписи ECDSA/ECC, DSA, ML-DSA, ED25519 и ED448 для обхода аутентификации на базе сертификатов. Уязвимость выявлена инженерами Anthropic в ходе проверки кода AI-моделью.

- Опубликованы (https://github.com/openssl/openssl/tags) корректирующие выпуски криптографической библиотеки OpenSSL 3.6.2, 3.5.6, 3.4.5 и 3.3.7, в которых устранено 7 уязвимостей (https://openssl-library.org/news/secadv/20260407.txt). Наиболее опасная уязвимость (CVE-2026-31790 (https://security-tracker.debian.org/tracker/CVE-2026-31790)), которая может привести к утечке конфиденциальных данных, оставшихся в буфере после прошлой операции. Проблема вызвана использованием неинициализированной памяти при инкапсуляции ключей RSA KEM RSASVE.
Одна из уязвимостей (CVE-2026-31789 (https://security-tracker.debian.org/tracker/CVE-2026-31789)) вызвана переполнением буфер и потенциально может привести к выполнению кода при выполнении операций по преобразованию строк в шестнадцатеричное представление при обработке специально оформленных сертификатов X.509. Проблема помечена как неопасная так как она проявляется только на 32-разрядных платформах. Остальные уязвимости вызваны чтением данных из области вне буфера, обращения к уже освобождённой памяти и разыменования нулевого указателя.

- В AI-агенте OpenClaw 2026.3.11 (https://github.com/openclaw/openclaw/), позволяющем AI-моделям взаимодействовать в системными окружениями (например, запускать утилиты и работать с файлами), устранена критическая уязвимость (https://github.com/openclaw/openclaw/security/advisories/GHSA-4jpw-hj22-2xmc) (CVE-2026-32922 (https://nvd.nist.gov/vuln/detail/CVE-2026-32922)) с уровнем опасности 10 из 10. Уязвимость вызвана тем, что команда "/pair approve" должным образом не проверяла полномочия, из-за чего любой пользователь, имеющий привилегии сопряжения с хостом (самый низкий уровень привилегий, достаточно доступа к OpenClaw), мог утвердить права администратора для самого себя и полностью контролировать окружение. Для совершения атаки достаточно (https://web.archive.org/web/20260403174514/https://old.reddit.com/r/sysadmin/comments/1sbdw29/if_youre_running_openclaw_you_probably_got_hacked/) подключиться к OpenClaw, зарегистрировать фиктивное устройство с доступом operator.admin, после чего самому одобрить собственный запрос командой "/pair approve" и получить полное управление атакованным экземпляром OpenClaw и всеми связанными с ним сервисами.

За несколько дней до этого в OpenClaw была
выявлена (https://blink.new/blog/cve-2026-33579-openclaw-privilege-escalation-2026) похожая уязвимость (CVE-2026-33579 (https://nvd.nist.gov/vuln/detail/CVE-2026-33579)), позволявшая обойти проверку прав доступа и получить права администратора. Выявившими проблему исследователями приводятся статистика, в соответствии с которой в сети выявлено 135 тысяч публично доступных экземпляров OpenClaw, из которых 63% позволяют подключиться без аутентификации.

- В пакетном менеджере Nix, применяемом в дистрибутиве NixOS, выявлена уязвимость (https://discourse.nixos.org/t/nix-security-advisory-privilege-escalation-via-symlink-following-during-fod-output-registration/76900) (CVE-2026-39860 CVE-2026-39860 (https://security-tracker.debian.org/tracker/)), которой присвоен (https://github.com/NixOS/nix/security/advisories/GHSA-g3g9-5vj6-r3gj) критический уровень опасности (9 из 10). Уязвимость даёт возможность перезаписать любой файл в системе, насколько позволяют права доступа фонового процесса Nix, который в NixOS и многопользовательских установках выполняется с правами root. Проблема вызвана некорректным устранением (https://github.com/NixOS/nix/commit/a3163b9eabb952b4aa96e376dea95ebcca97b31a) уязвимости CVE-2024-27297 (https://github.com/NixOS/nix/security/advisories/GHSA-2ffj-w4mj-pg37) в 2024 году. Эксплуатация осуществляется через подмену символической ссылкой каталога внутри изолированного сборочного окружения, в который записывался результат сборки. Уязвимость устранена в обновлениях nix 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 и 2.28.6.

- В ядре Linux устранено (https://mtlynch.io/claude-code-found-linux-vulnerability/) 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code и затрагивающих подсистемы
nfsd (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=5133b61aaf437e5f25b1b396b14242a6bb0508e2), io_uring (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=5170efd9c344c68a8075dcb8ed38d3f8a60e7ed4), futex (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=19f94b39058681dec64a10ebeb6f23fe7fc3f77a) и ksmbd (1 (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=5258572aa5fd5a7ed01b123b28241e0281b6fb9b), 2 (https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit?id=6b4f875aac344cdd52a1f34cc70ed2f874a65757)). Уязвимость в драйвере NFS позволяет через отправку запросов к NFS-серверу узнать содержимое областей памяти ядра. Проблема вызвана ошибкой, проявляющейся (https://www.kernel.org/pub/linux/kernel/v2.6/snapshots/old/patch-2.6.0-test5-bk10.log) начиная с ядра 2.6.0 (2003 год).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65183 (https://www.opennet.ru/opennews/art.shtml?num=65183)

https://www.opennet.ru/opennews/art.shtml?num=65183

Релиз Chrome 147 с поддержкой ...

2026-04-09T13:45:00+02:00

Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения

Компания Google опубликовала (https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html) релиз web-браузера Chrome 147 (http://www.google.com/chrome). Одновременно доступен стабильный выпуск свободного проекта Chromium (http://dev.chromium.org/), выступающего основой Chrome. Браузер Chrome отличается (https://chromium.googlesource.com/chromium/src/+/master/docs/chromium_browser_vs_google_chrome.md) от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров (https://www.opennet.ru/opennews/art.shtml?num=26822) при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 148 запланирован на 5 мая.

Основные изменения в Chrome 147 (1 (https://support.google.com/chrome/a/answer/7679408#147), 2 (https://developer.chrome.com/en/blog/new-in-chrome-147/),
3 (https://blog.google/products-and-platforms/products/chrome/new-chrome-productivity-features/), 4 (https://developer.chrome.com/release-notes/147)):

- Добавлен режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. Вертикальные вкладки могут показываться в развёрнутом (пиктограмма + часть описания) и свёрнутом режимах (только пиктограммы). При наведения курсора на боковую вкладку показывается эскиз с её содержимым. Упрощено управление группами вкладок.
В контекстное меню, появляющееся при клике правой кнопкой мыши на строке вкладок, добавлена опция "Показать вкладки вертикально" ("Show Tabs Vertically"). Если опция не появилась по умолчанию, её можно активировать через настройку "chrome://flags/#vertical-tabs".

( )

( )

- Переработан режим чтения (reading mode (https://support.google.com/chrome/answer/14218344)), при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. В новой версии по аналогии с Firefox значимое содержимое показывается во всей видимой области, а не как раньше в узком боковом окне рядом с исходной страницей. Если новый режим не применяется по умолчанию, его можно активировать через настройку "chrome://flags/#read-anything-immersive-reading-mode".

( )

- В меню "Help" добавлена кнопка для отправки жалобы для занесения в список блокировки web-страниц, созданных для мошенничества или фишинга. Кнопка показывается при включённом режиме "Safe Browsing".

(https://storage.googleapis.com/support-kms-prod/e17bc1f8-291c-4bf6-be6b-e6105211995a)

- Расширены средства защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действие защиты теперь попадают не только попытки загрузки ресурсов по HTTP/HTTPS, запросы fetch() и iframe-вставки, но и установка соединений через WebSockets и WebTransport (https://www.opennet.ru/opennews/art.shtml?num=55099), а также fetch-запросы, инициированные через метод WindowClient.navigate(). Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети.

- Функциональность для разбора XML переведена (https://chromestatus.com/feature/5309598397497344) c libxml2 на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности. Изменение касается только XML, как было объявлено (https://www.opennet.ru/opennews/art.shtml?num=64194) ранее поддержка XSLT скоро будет прекращена.

- Реализована (https://developer.chrome.com/blog/element-scoped-view-transitions) возможность применения метода startViewTransition() не только для всей страницы, но и для отдельных HTML-элементов.

- Добавлена CSS-функция contrast-color() (https://developer.mozilla.org/en-US/docs/Web/CSS/Reference/Values/color_value/contrast-color), возвращающая противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.

- Добавлено CSS-свойство "border-shape (https://drafts.csswg.org/css-borders-4/#border-shape)", позволяющего создавать непрямоугольное обрамление элементов, например, использовать рамки круглой или многоугольной формы. CSS-свойство "border-shape" принимает те же виды форм, что и свойство "clip-path", но в отличие от последнего определяет контур, декодирует его и отсекает выходящее за контур содержимое.

- Добавлен интерфейс CSSPseudoElement (https://www.w3.org/TR/css-pseudo-4/#CSSPseudoElement-interface), позволяющий работать с псеведоэлементами CSS из JavaScript.

- В элементе link
реализована (https://chromestatus.com/feature/5202661416763392) возможность применения атрибута "rel=modulepreload" для упреждающей загрузки не только скриптов, но и модулей с CSS-стилями (‹link rel="modulepreload" as="style" href="..."›) и данными JSON (‹link rel="modulepreload" as="json" href="..."›).

- Изменено поведение при вычислении ширины рамок и контуров в CSS-свойствах border-width, outline-width и column-rule-width, которое унифицировано с Firefox и браузерами на движке WebKit. До сих пор ширина в указанных свойствах обнулялась, независимо от выставленных в них значений, если свойства border-style, outline-style или column-rule-style имели значение "none" или "hidden". Теперь значения order-width, outline-width и column-rule-width всегда выставляют заданные разработчиком значения, независимо от содержимого свойств "*-style".

- Добавлен метод Math.sumPrecise() (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Math/sumPrecise) для вычисления суммы элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).

- Добавлен (https://chromestatus.com/feature/5154214529597440) атрибут Request.isReloadNavigation, позволяющий определить, что страница была перезагружена, например, после нажатия на кнопку "Refresh" или вызова методов location.reload() и history.go(0).

- Для снижения точности косвенной идентификации изменена логика округления размера памяти, возвращаемого через API Device Memory (https://github.com/w3c/device-memory#the-web-exposed-api), позволяющего получить сведения о размере оперативной памяти. Данная информация может оказаться полезной для создания легковесных вариантов web-приложений, загружающихся для устройств с небольшим ОЗУ или для активации расширенных возможностей при наличии большого объёма памяти. В сборках для платформы Android размер памяти теперь округляется до 1, 2, 4 и 8, а для других платформ до 2, 4, 8, 16 и 32.

- Для изолированных web-приложений (IWA (https://www.chromium.org/blink/launching-features/isolated-web-apps/) - Isolated Web Apps) реализован API Web Printing (https://wicg.github.io/web-printing), предоставляющий методы для определения наличия принтеров, отправки документов на печать и управления очередью вывода на печать. Используемые в API имена атрибутов и семантика соответствуют протоколу IPP (Internet Printing Protocol).

- В режиме "Origin trials" реализован (https://chromestatus.com/feature/5176273954144256) API WebNN (https://webmachinelearning.github.io/webnn), позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.

- Внесены (https://developer.chrome.com/blog/new-in-devtools-147) улучшения в инструменты для web-разработчиков. Во встроенном AI-ассистенте реализован автоматический выбор контекста. Модернизирована панель "Device Mode", применяемая для тестирования работы сайта на разных мобильных устройствах. В панели Network обеспечено автоматическое декодирование сжатого содержимого запросов, переданных с заголовком Content-Encoding: gzip или deflate. Предоставлена возможность применения регулярных выражений для фильтрации CSS-стилей.

Кроме нововведений и исправления ошибок в новой версии устранено 60 уязвимостей (https://issues.chromium.org/issues?q=customfield1223088:0-M146). Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer (https://github.com/google/sanitizers/wiki/AddressSanitizer), MemorySanitizer (https://github.com/google/sanitizers/wiki/MemorySanitizer), Control Flow Integrity (https://www.chromium.org/developers/testing/control-flow-integrity/), LibFuzzer (https://chromium.googlesource.com/chromium/src/+/master/testing/libfuzzer/README.md) и AFL (https://lcamtuf.coredump.cx/afl/). Двум проблемам (переполнение буфера и целочисленное переполнение в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 60 премий и выплатила 118 тысяч долларов США (две премии $43000, две премии $11000 и по одной премии в $4000, $3000, $2000 и $1000. Размер 52 вознаграждений пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65166 (https://www.opennet.ru/opennews/art.shtml?num=65166)

https://www.opennet.ru/opennews/art.shtml?num=65166

Проект по тестированию FreeBSD на ...

2026-04-09T09:04:40+02:00

Проект по тестированию FreeBSD на ноутбуках

Некоммерческая организация FreeBSD Foundation представила (https://freebsdfoundation.org/blog/call-for-testing-introducing-the-laptop-integration-testing-project/) проект по тестированию FreeBSD на ноутбуках, созданный в рамках инициативы (https://www.opennet.ru/opennews/art.shtml?num=61951) по улучшению поддержки ноутбуков и повышению удобства работы пользователей во FreeBSD. Целью проекта является получение информации о совместимости FreeBSD с различным аппаратным обеспечением, применяемым в современных ноутбуках, что позволит сформировать реалистичное представление об имеющихся проблемах и определить приоритетные направления работы. Результаты проверки будут публиковать на сводной странице, позволяющей оценить уровень поддержки тех или иных моделей ноутбуков во FreeBSD.

Пользователям предлагается сформировать и отправить отчёт о совместимости FreeBSD с их системами. Для создания отчёта предложены (https://github.com/FreeBSDFoundation/freebsd-laptop-testing) скрипт (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/blob/main/run_hwprobe.sh) и инструкция (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/blob/main/testing_checklist.md) с перечнем возможностей, которые следует проверить при загрузке на устройстве FreeBSD. Результаты необходимо отправить в форме pull-запроса (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/pulls) в репозиторий проекта на GitHub.

Скрипт run_hwprobe.sh, который следует запустить после загрузки на своём устройстве FreeBSD, определяет имеющееся оборудование и выполняет ряд автоматизированных тестов для проверки его работоспособности. Собранные данные (пример (https://github.com/FreeBSDFoundation/freebsd-laptop-testing/pull/52/changes#diff-037afd07d1a8cd6a4db11425e3c9ab0b6a64c1ff95d66e71d4bc2940a1762e1e)) включают информацию о CPU, GPU, сетевых адаптерах, звуковых картах, Wi-Fi, Bluetooth, накопителях, USB-устройствах и загруженных модулях ядра.

Инструкция включает контрольный список с перечнем рекомендуемых ручных проверок, позволяющих субъективно оценить корректность перехода в спящий режим в разных условиях, работу индикаторов, срабатывание режимов экономии энергопотребления, поддержку GPU, вывод видео и звука через HDMI, задействование аппаратного ускорения при декодировании видео, подключение к сети, работу высокоскоростных режимов Wi-fi, работу в KDE, подключение внешних мониторов и т.п.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65175 (https://www.opennet.ru/opennews/art.shtml?num=65175)

https://www.opennet.ru/opennews/art.shtml?num=65175

Выпуск miracle-wm 0.9, композитного ...

2026-04-09T07:34:57+02:00

Microsoft заблокировал учётные записи ...

2026-04-08T20:34:41+02:00

Microsoft заблокировал учётные записи для заверения релизов VeraCrypt и WireGuard

Автор системы шифрования дисковых разделов VeraCrypt предупредил (https://sourceforge.net/p/veracrypt/discussion/general/thread/9620d7a4b3/) пользователей о блокировке компанией Microsoft его учётной записи, используемой для заверения цифровой подписью сборок VeraCrypt для Windows. Сложилась ситуация, при которой невозможно опубликовать новый выпуск VeraCrypt для Windows. При этом действие ключа, которым подписан последний выпуск VeraCrypt 1.26.24, истекает и июне, после чего драйвер VeraCrypt начнёт блокироваться режимом безопасной загрузки.

Блокировка произведена без предварительного предупреждения и без возможности подать апелляцию. В качестве причины лишь упомянуто не соответствие организации требованиям к прохождению верификации, без каких либо уточнений того, что именно не устраивает Microsoft. Автор VeraCrypt попытался несколькими способами связаться с Microsoft, но все попытки не ушли дальше автоматизированных ответов ботов.

( )

К обсуждению блокировки VeraCrypt подключился (https://news.ycombinator.com/item?id=47687884) автор VPN WireGuard, который рассказал, что его учётную запись тоже заблокировали и он также теперь не может формировать релизы для Windows. Как и в случае с VeraCrypt разработчику не было отправлено каких-либо предупреждений - готовя к публикации обновление WireGuard автор попытался войти в интерфейс для создания подписи и столкнулся с тем, что его учётная запись блокирована. Процесс рассмотрения апелляции занимает до 60 дней и его исход непредсказуем. В случае выявления критической уязвимости в WireGuard у автора теперь нет возможности оперативно выпустить исправление для Windows. При этом Microsoft сам использует (https://learn.microsoft.com/en-us/azure/aks/how-to-apply-wireguard) Wireguard в продукте Azure Kubernetes Service.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65172 (https://www.opennet.ru/opennews/art.shtml?num=65172)

https://www.opennet.ru/opennews/art.shtml?num=65172

Anthropic анонсировал AI-модель Claude Mythos, ...

2026-04-08T13:04:40+02:00

Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие экпслоиты

Компания Anthropic представила (https://red.anthropic.com/2026/mythos-preview/) проект Glasswing (https://www.anthropic.com/glasswing), в рамках которого предоставит доступ к предварительному варианту AI-модели Claude Mythos (https://www-cdn.anthropic.com/53566bf5440a10affd749724787c8913a2ae0841.pdf) с целью выявления уязвимостей и повышения безопасности критически важного программного обеспечения. В число участников проекта включена организация Linux Foundation, а также компании Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA и Palo Alto Networks. Приглашения принять участие в проекте также получили ещё около 40 организаций.

Выпущенная в феврале AI-модель Claude Opus 4.6 достигла нового качественного уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок, рецензирование изменений и генерация кода, который позволил выявить более 500 уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=64760) в открытых проектах, сгенерировать (https://www.opennet.ru/opennews/art.shtml?num=64753) Си-компилятор, способный собрать ядро Linux. При этом модель Claude Opus 4.6 слабо справлялась с работой по созданию рабочих эксплоитов.

Модель следующего поколения "Claude Mythos" по заявлению Anthropic кардинально опережает Claude Opus 4.6 в области написания готовых эксплоитов. Из нескольких сотен попыток создания эксплоитов для уязвимостей (https://www.mozilla.org/en-US/security/advisories/mfsa2026-13/), выявленных в JavaScript-движке Firefox 147, в Claude Opus 4.6 лишь две попытки увенчались успехом. При повторении эксперимента с использованием предварительного варианта модели Mythos рабочие эксплоиты удалось создать 181 раз. Процент создания успешных эксплоитов вырос с почти нуля до 72.4%.

( )

Помимо этого в Claude Mythos существенно расширены возможности по поиску ошибок и уязвимостей, что в сочетании с пригодностью для разработки эксплоитов создаёт новые риски для индустрии - эксплоиты для ещё неисправленных уязвимостей (0-day) могут создаваться непрофессионалами за считанные часы. Отмечается, что уровень возможностей модели Mythos по поиску и эксплуатации уязвимостей достиг профессионального качества и пока не дотягивает только до наиболее опытных профессионалов.

Так как открытие неограниченного доступа к AI-модели с подобными возможности требует подготовки индустрии, решено вначале открыть доступ к предварительной редакции узкому кругу экспертов для проведения работы по поиску и устранению уязвимостей в критических важных программных продуктах и открытом ПО. Для финансирования проведения инициативы выделена субсидия на оплату токенов, размером 100 млн долларов, а также решено распределить 4 млн долларов в качестве пожертвований организациям, занимающимся поддержанием безопасности открытых проектов.

В тестовом наборе CyberGym, оценивающем способность моделей выявлять уязвимости, модель Mythos показала уровень 83.1%, а Opus 4.6 - 66.6%. В тестах на качество написания кода модели продемонстрировали следующие показатели:

ТестMythosOpus 4.6
SWE-bench Pro 77.8% 53.4%
Terminal-Bench 2.0 82.0% 65.4%
SWE-bench Multimodal 59% 27.1%
SWE-bench Multilingual 87.3% 77.8%
SWE-bench Verified 93.9% 80.8%

В ходе эксперимента компания Anthropic за несколько недель при помощи AI-модели Mythos смогла выявить несколько тысяч ранее неизвестных (0-day) уязвимостей, многие из которых отмечены как критические. Среди прочего была найдена 27 лет остававшаяся незамеченной уязвимость (https://ftp.openbsd.org/pub/OpenBSD/patches/7.8/common/025_sack.patch.sig) в TCP-стеке OpenBSD, позволяющая удалённо инициировать аварийное завершение работы системы.
Также найдена существовавшая 16 лет уязвимость в реализации кодека H.264 от проекта FFmpeg, и уязвимости в кодеках H.265 и av1, эксплуатируемые при обработке специально оформленного контента.

В ядре Linux выявлено несколько уязвимостей, позволяющих непривилегированному пользователю получить права root. Связывание несколько выявленных уязвимостей в цепочку дало возможность создать эксплоиты, позволяющие добиться получения прав root при открытии специальных страниц в web-браузере. Также создан эксплоит, позволивший (https://www.opennet.ru/opennews/art.shtml?num=65118) выполнить код с правами root через отправку специально оформленных сетевых пакетов на NFS-сервер из состава FreeBSD.

В одной из систем виртуализации выявлена и эксплуатирована уязвимость, позволяющая через манипуляции в гостевой системе выполнить код на стороне хоста (название не приводится, так как проблема ещё не исправлена, но упоминается, что уязвимость присутствует в unsafe-блоке в коде на Rust). Найдены уязвимости во всех популярных web-браузерах и криптографических библиотеках. Выявлены уязвимости, приводящие к подстановке SQL-кода, в различных web-приложениях.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65165 (https://www.opennet.ru/opennews/art.shtml?num=65165)

https://www.opennet.ru/opennews/art.shtml?num=65165

Уязвимость во Flatpak, позволяющая ...

2026-04-08T10:04:40+02:00

Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения

В опубликованном (https://github.com/flatpak/flatpak/releases/tag/1.16.4) несколько часов назад корректирующем выпуске системы самодостаточных пакетов Flatpak 1.16.4 (https://github.com/flatpak/flatpak/), а также в экспериментальном выпуске 1.17.4 (https://github.com/flatpak/flatpak/releases/tag/1.17.4), устранена уязвимость (https://github.com/flatpak/flatpak/security/advisories/GHSA-cc2q-qc34-jprg) (CVE-2026-34078 (https://security-tracker.debian.org/tracker/CVE-2026-34078)), позволяющая вредоносному или скомпрометированному приложению в формате flatpak, обойти установленный режим sandbox-изоляции, получить доступ к файлам в основной системе и выполнить произвольный код вне режима изоляции. Проблеме присвоен (https://nvd.nist.gov/vuln/detail/CVE-2026-34078) критический уровень опасности (9.3 из 10).

Уязвимость присутствует в D-Bus сервисе flatpak-portal, обеспечивающем запуск "порталов", которые применяются для организации доступа к ресурсам основного окружения из изолированных приложений.
Проблема вызвана тем, что сервис flatpak-portal позволяет приложению указывать в опции sandbox-expose файловые пути, которые из-за отсутствия должных проверок могут быть символическими ссылками, указывающими на произвольные части ФС.

Перед монтированием сервис раскрывает символическую ссылку и монтирует в sandbox-окружение путь, на который она указывает, что позволяет обойти изоляцию и получить доступ на чтение и запись к файлам хост-окружения. Для организации выполнения своего кода в системе, например, можно добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile, или изменить файл ~/.ssh/authorized_keys с ключами SSH.

Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian (https://security-tracker.debian.org/tracker/CVE-2026-34078), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2026-34078), SUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-34078), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-34078), Gentoo (https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-34078), Arch (https://archlinux.org/packages/extra/x86_64/flatpak/),
Fedora (https://koji.fedoraproject.org/koji/packageinfo?packageID=22442).

В качестве обходного пути защиты можно отключить сервис flatpak-portal:

sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service

Помимо критической уязвимости, в новом выпуске устранено ещё три проблемы с безопасностью:

- Возможность (https://github.com/flatpak/flatpak/security/advisories/GHSA-p29x-r292-46pp) (CVE-2026-34079) удаления произвольного файла в файловой системе хост-системы. Проблема вызвана тем, что flatpak при очистке устаревшего кэша ld.so, не проверяет фактическое нахождение удаляемого файла в каталоге с кэшем.

- Возможность (https://github.com/flatpak/flatpak/security/advisories/GHSA-2fxp-43j9-pwvc) чтения произвольных файлов в контексте system-helper на системах с настроенным репозиторием образов
OCI через манипуляции с символическими ссылками.

- Возможность (https://github.com/flatpak/flatpak/security/advisories/GHSA-89xm-3m96-w3jg) вмешательства в обработку запросов на отмену загрузки приложений, позволяющего одному пользователю помешать другому пользователю остановить загрузку.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65170 (https://www.opennet.ru/opennews/art.shtml?num=65170)

https://www.opennet.ru/opennews/art.shtml?num=65170

Релиз пакетного менеджера APT 3.2.0 ...

2026-04-08T08:34:40+02:00

Релиз пакетного менеджера APT 3.2.0

Сформирован (https://salsa.debian.org/apt-team/apt/-/tags/3.2.0) релиз инструментария для управления пакетами APT 3.2.0 (https://github.com/Debian/apt) (Advanced Package Tool), который вобрал изменения, накопленные в экспериментальной ветке 3.1. В ближайшее время новый выпуск будет интегрирован в ветки Unstable (https://packages.debian.org/source/testing/apt) и Debian Testing, а также будет добавлен в пакетную базу Ubuntu (https://launchpad.net/ubuntu/+source/apt/). APT 3.2 будет задействован в релизе Debian 14. В Ubuntu 26.04 используется APT 3.1.16, который идентичен релизу 3.2.0, за исключением исправлений в переводах встроенных подсказок и man-страниц.

Из (https://launchpad.net/ubuntu/+source/apt/+changelog) изменений (https://salsa.debian.org/apt-team/apt/-/blob/main/debian/changelog) можно отметить:

- Добавлены (https://github.com/Debian/apt/commit/7724d170751b3dc1717ba7a08881437cf7151996) новые команды "apt why" и "apt why-not". Команда "apt why" отслеживает причину автоматической установки указанного пакета в числе зависимостей (показывает цепочку зависимостей, которая привела к установке). Команда "apt not-why" показывает причины невозможности установить пакет из-за конфликтов или отсутствия зависимых пакетов.
В отличие от похожих команд, предлагаемых в утилите aptitude, добавленные в apt команды выдают не потенциально самую вероятную, а фактическую причину, вычисленную анализатором зависимостей (solver).

- В файлы ".sources" добавлены опции "Include" и "Exclude", позволяющие загружать из репозитория только указанные пакеты (белый список) или не обрабатывать определённые пакеты в репозитории (чёрный список).

- Проведён рефакторинг и расширены возможности движка разрешения зависимостей Solver3. Использование Solver3 включено по умолчанию в утилитах командной строки. Solver3 примечателен задействованием алгоритма поиска с возвратом (https://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%B8%D1%81%D0%BA_%D1%81_%D0%B2%D0%BE%D0%B7%D0%B2%D1%80%D0%B0%D1%82%D0%BE%D0%BC) (backtracking) для разрешения конфликтов между зависимостями, улучшением выбора версий, поддержкой выполнения обновлений в несколько стадий, значительным повышением производительности (apt-test выполняется в два раза быстрее), опцией для установки экспериментальных версий, защитой от удаления вручную поставленных пакетов, более агрессивным автоматическим удалением неиспользуемых зависимостей.

- Реализована (https://github.com/Debian/apt/commit/9d62eef571ffd1fd2df8b97884d3689fced27fb1) поддержка вариантов (https://www.opennet.ru/opennews/art.shtml?num=64155) микроархитектуры CPU (amd64v1, amd64v2, amd64v3, amd64v4), которые можно указывать в поле "Architecture:" или включать через настройку APT::Architecture-Variants. Например, при указании 'APT::Architecture-Variants { "amd64v3"; "amd64v2" }' будут использоваться отдельные варианты пакетов с исполняемыми файлами, собранными с оптимизациями для архитектур x86-64-v2 и x86-64-v3 (foo_1_amd64v3.deb и foo_1_amd64v3.deb).

- Добавлены (https://github.com/Debian/apt/commit/0b6f688806098b906d0c34f101696d35a60cf778) команды (https://github.com/Debian/apt/commit/a65dca5d5e9b4bc71722bc91a5641126a1b0ec61): "history-list" для разбора и вывода сведений из лога с историей транзакций с пакетами; "history-info" для показа информации по отдельным транзакциям; "history-undo", "history-redo" и "history-rollback" для отмены, повтора и отката транзакций с пакетами.

- В утилиту dselect добавлена поддержка HTTPS.

- Добавлена защита от перехода в спящий режим при выполнении dpkg.

- Добавлена возможность привязки запуска apt-daily к событию подключения ноутбука к стационарному питанию.

- Реализована возможность ведения лога со счётчиками производительности в формате JSONL.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65168 (https://www.opennet.ru/opennews/art.shtml?num=65168)

https://www.opennet.ru/opennews/art.shtml?num=65168

Проект Solod развивает подмножество ...

2026-04-07T12:05:32+02:00

Проект Solod развивает подмножество языка Go, транслируемое в язык Си

Представлен (https://antonz.org/solod/) язык программирования Solod (https://solod.dev/) (So), предоставляющий подмножество (https://github.com/solod-dev/solod/blob/main/doc/spec.md) языка Go, транскомпилируемое в представление на языке Си (C11), пригодное для сборки компиляторами GCC, Clang и zig cc. Ключевым отличием Solod от Go и Tinygo (https://www.opennet.ru/opennews/art.shtml?num=64427) является использование ручного управления памятью, работающего без применения сборщика мусора, без автоматического выделения памяти и без подсчёта ссылок. Транспайлер для Solod написан на языке Go и распространяется (https://github.com/solod-dev/solod) под лицензией BSD.
Поддерживается работа в Linux, macOS и Windows.

Язык поддерживает структуры, методы, интерфейсы, слайсы, возврат функциями нескольких значений (например, результат + код ошибки), дженерики (https://github.com/solod-dev/solod/blob/main/doc/generics.md) и отложенные вызовы (defer (https://github.com/solod-dev/solod/blob/main/doc/spec.md#defer)). C целью упрощения в языке не поддерживаются каналы, сопрограммы и замыкания. При разработке на языке Solod могут использоваться существующие LSP-серверы, линтеры, интегрированные среды разработки и редакторы кода, поддерживающие язык Go, а также инструментарий "go test".

Написанный на Solod код может интегрироваться с приложениями на языке Си (язык Си может вызвать функции на Solod и наоборот) и не требует прикрепления runtime. Из ключевых областей применения отмечается системное программирование с близкими к Си возможностями, но с синтаксисом в стиле Go и обеспечением проверки типов. Solod также может применяться для портирования Go-библиотек для использования в проектах на Си. На язык Си портированы Go-пакеты strings (https://antonz.org/porting-go-strings/), io (https://antonz.org/porting-go-io/), bytes, mem, slices и т.п (https://github.com/solod-dev/solod/tree/main/so). Помимо набора (https://github.com/solod-dev/solod/blob/main/doc/stdlib.md) портированных Go-библиотек в программах на языке Solod можно использовать обвязки (https://github.com/solod-dev/solod/tree/main/so/c) над стандартной Си-библиотекой libc.

По умолчанию вся память выделяется в стеке, но через функции Alloc / Free (https://github.com/solod-dev/solod/blob/main/doc/stdlib.md#somem) стандартной библиотеки можно выделять память в куче. Сборка мусора и подсчёт ссылок не используются, но в Solod предоставляются возможности для проверки типов и аварийного завершения при обращении за границу массива. При этом проверки на возвращение висячих указателей (dangling pointer) и отсутствие освобождения памяти не производятся. В качестве основного способа выявления проблем при работе с памятью упоминается использование AddressSanitizer (-fsanitize=address) в современных компиляторах.

По производительности скомпилированные программы, написанные на Solod, в большинстве случаев быстрее (https://github.com/solod-dev/solod/blob/main/bench/README.md) программ на Go. Например, производительность работы функций из пакета Byte быстрее в полтора раза при идентичном потреблении памяти. Работа с байтовыми буферами быстрее в 1.3 раза при чтении и в 2-4 раза при записи. В пакете Map выборка по целочисленному ключу быстрее в 3.4 раза, но модификация ключей медленнее в 1.6 раза. Выборка по строковым ключам на одном уровне с языком Go, но модификация медленнее в 1.5 раза. Парсинг и форматирование целых чисел быстрее в 2 раза, а с плавающей запятой - в 1.5/1.2 раза. Строковые функции быстрее в 1.3 раза, а создание строк быстрее в 2-4 раза при снижении потребления памяти на 10-20%.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65160 (https://www.opennet.ru/opennews/art.shtml?num=65160)

https://www.opennet.ru/opennews/art.shtml?num=65160

Доля пользователей Linux в Steam ...

2026-04-07T08:36:35+02:00

Доля пользователей Linux в Steam превысила 5%

Компания Valve опубликовала https://store.steampowered.com/hwsurvey/ с анализом предпочтений пользователей сервиса доставки игр Steam. Доля активных пользователей Steam, использующих платформу Linux, достигла значения в 5.33%, что в 2 раза больше, чем было отражено в предыдущем месяце. В февральском отчёте данный показатель составлял 2.23%, январском - 3.38%, декабрьском - 3.58%. С учётом того, что число активных пользователей Steam оценивается в 132 миллиона, в марте в Steam зафиксировано приблизительно 6.6 млн. пользователей Linux.

Наибольшую долю среди Linux систем занимает платформа SteamOS Holo, основанная на Arch Linux - 24.48%. Доля Linux Mint составляет 8.8%,
Arch Linux - 8.78%, Ubuntu - 5.25%, Manjaro - 1.45%. По сравнению с https://web.archive.org/web/20260313104444/https://store.steampowered.com/hwsurvey/?platform=linux из списка пропали дистрибутивы https://cachyos.org/ и https://bazzite.gg/, доля которых составляла 8.59% и 5.79%, соответственно. В мартовском рейтинге также отсутствует упоминание Freedesktop SDK (Flatpak runtime), доля которого составляла 5.26%. При этом в https://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam?platform=linux появились системы с именами "64 bit" и "0 64 bit", доля которых составляет 8.01% и 17.60% (!). Можно предположить, что это Bazitte и CachyOS, но столь значительное увеличение доли каждой из данных систем выглядит сомнительно.

https://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam?platform=linux

https://boilingsteam.com/cachy-os-is-now-the-most-popular-distro-on-proton-db/ от проекта Boiling Steam, собранная на основе данных из сервиса https://www.protondb.com/, также демонстрирует значительный рост популярности дистрибутивов Bazitte и CachyOS с прошло года. В марте CachyOS вырвался на первое месте среди дистрибутивов Linux, заняв долю 21.1% и сместив с первого места Arch Linux, который удерживал данную позицию с 2021 года. Доля Bazitte составила 9.5%, что соответствует 4 месту.

Для сравнения, доля Arch Linux - 14.9%, Linux Mint - 10.6%, Fedora - 9.2%, Ubuntu - 7.1%, Endeavour - 4.1%, Nobara - 3.9%, PopOS - 2.9%, Debian - 2.7%, NixOS - 2.4%, Manjaro - 2.2%. Суммарная доля всех дистрибутивов на базе Arch Linux составила 42.3%, на базе Debian - 23.3% и на базе Fedora - 22.6%.

Дистрибутив https://cachyos.org основан на пакетной базе Arch Linux и примечателен включением оптимизаций для повышения производительности, а также формированием сборки для носимых устройств (Handheld Edition) с интерфейсом в стиле GameMode и компонентами для любителей компьютерных игр. В дистрибутиве по умолчанию включён планировщик задач https://github.com/firelzrd/bore-scheduler, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно https://wiki.cachyos.org/cachyos_basic/why_cachyos/ оптимизации PGO (Profile-Guided Optimization) или https://github.com/facebookarchive/BOLT (Binary Optimization and Layout Tool).

Дистрибутив https://bazzite.gg/ ориентирован на геймеров и основан на наработках дистрибутивов https://fedoraproject.org/atomic-desktops/kinoite/ и https://fedoraproject.org/atomic-desktops/silverblue/. (атомарно обновляемые https://www.opennet.ru/opennews/art.shtml?num=54407 Fedora Linux с рабочими столами KDE и GNOME). Дистрибутив поставляются в форме монолитного образа, не разделяемого на отдельные пакеты и обновляемого как единое целое. Приложения устанавливаются в формате Flatpak или в форме контейнров. Для запуска Android-игр задействован Waydroid. В состав входит Steam и подборка компонентов, востребованных любителями компьютерных игр, а также дополнительные драйверы для игровых контроллеров и Wi-Fi. В системные компоненты внесены оптимизации для повышения отзывчивости и улучшения поддержки HDR и VRR.

Доля Linux по данным из других источников:

- https://analytics.wikimedia.org/dashboards/browsers/#desktop-site-by-os/os-family-timeseries: 5.3% (год назад - 4.2%).

- https://www.w3schools.com/browsers/browsers_os.asp: 3.8% за сентябрь 2025.

- https://gs.statcounter.com/os-market-share/desktop/: 3.16% (год назад - 4.2%).

- https://www.pornhub.com/insights/2025-year-in-review#devices-tech: 6.2% (год назад 5.1%).

- https://radar.cloudflare.com/explorer?dataSet=http&groupBy=os&filters=deviceType%253DDesktop%252CbotClass%253DLikely_Human: 2.9%.

- https://analytics.usa.gov/: 4%.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65157

https://www.opennet.ru/opennews/art.shtml?num=65157

В ядро Linux предложено включить ...

2026-04-06T22:06:36+02:00

В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9

Для ядра Linux https://lore.kernel.org/lkml/20260327223820.2244227-1-christoph.boehmwalder@linbit.com/ набор патчей с реализацией распределенного реплицируемого блочного устройства https://linbit.com/drbd/, позволяющего создать подобие массива RAID-1, сформированного из зеркалируемых по сети накопителей, подключённых к разным системам. Драйвер намерены вначале протестировать в ветке linux-next и довести до готовности к интеграции в состав ядра Linux 7.2.

Старый вариант DRBD поставляется в ядре начиная с версии https://www.opennet.ru/opennews/art.shtml?num=25565, выпущенной 16 лет назад. Имеющийся в ядре код основан на ветке DRBD 8, которая существенно отличается от ветки DRBD 9, выпущенной в 2015 году и не совместимой на уровне протокола. Получилось так, что ветка DRBD 9 развивалась в форме отдельного https://github.com/LINBIT/drbd/, не синхронизированного с модулем из основного состава ядра. Имеющаяся в ядре реализация DRBD сопровождалась отдельно и отстаёт от актуальной кодовой базы DRBD на 10-15 лет. Предложенные патчи созданы для устранения образовавшегося разрыва.

DRBD даёт возможность объединить накопители узлов кластера в единое отказоустойчивое хранилище. Для приложений и системы такое хранилище выглядит как одинаковое для всех систем блочное устройство. При использовании DRBD все операции с локальным диском отправляются на другие узлы и синхронизируются с дисками других машин. В случае выхода из строя одного узла, хранилище автоматически продолжит работу за счёт оставшихся узлов. При возобновлении доступности сбойного узла, его состояние будет автоматически доведено до актуального вида.

В состав кластера, формирующего хранилище, может входить до 32 узлов, размещённых как в локальной сети, так и в территориально разнесённых центрах обработки данных. Синхронизация в подобных разветвлённых хранилищах выполняется в форме mesh-сети - данные растекаются по цепочке от узла к узлу. Репликация узлов может производиться как в синхронном режиме, так и в асинхронном. Например, локально размещённые узлы могут применять синхронную репликацию, а для узлов на удалённых площадках может применяться асинхронная репликация с дополнительным сжатием и шифрованием трафика.

Ветка DRBD 9 отличается абстрагированием транспортного уровня, позволяющий реализовать каналы связи не только поверх TCP/IP, но и с использованием RDMA/Infiniband. По сравнению с работой поверх традиционной IP-сети, интеграция RDMA (Remote Direct Memory Access) для прямого доступа к оперативной памяти другого компьютера, позволила удвоить производительность репликации при сокращении нагрузки на CPU на 50%. Максимальный размер синхронизированного хранилища увеличен до 32 узлов. В DRBD 9 также изменена логика ресинхронизации узлов, переработан механизм установки блокировок, добавлена поддержка пространства имён сети (network namespace), обеспечена автоматическая установка статуса узла в зависимости от активности, добавлена поддержка двухфазных коммитов и распространения обновлений в неблокирующем режиме.

https://linbit.com/wp-content/uploads/2025/08/DRBD_Diagram_V1.1.svg

Источник: https://www.opennet.ru/opennews/art.shtml?num=65158

https://www.opennet.ru/opennews/art.shtml?num=65158

Лидером Debian впервые станет женщина. ...

2026-04-05T08:36:35+02:00

Лидером Debian впервые станет женщина. Позиция по верификации возраста в Debian

Андреас Тилле (Andreas Tille), лидер проекта Debian, https://lists.debian.org/debian-devel-announce/2026/04/msg00001.html ежемесячный отчёт, в котором пояснил, что не стал в третий раз участвовать в выборах лидера проекта, чтобы стимулировать других участников выдвигать свои кандидатуры. В итоге, на пост лидера в этом году претендует только один кандидат -
Шрути Чандран (https://www.debian.org/vote/2026/platforms/srud), участница из Индии. Голосование https://www.debian.org/vote/2026/vote_001 вчера и продлится до 17 апреля, но результат уже предрешён, маловероятно, что большинство участников проголосуют "против всех".

Шрути подключилась к проекту в 2016 году и принимала участие в поддержке https://qa.debian.org/developer.php?login=srud@debian.org, среди которых пакеты c библиотеками для Ruby, Node.js и Go, а также пакеты со шрифтами. Она также в ходила в число организаторов конференций DebConf India и DebConf, и является членом команды https://wiki.debian.org/Teams/Outreach, развивающей инициативы по обучению новичков и привлечению в проект женщин и меньшинств.

Планы Шрути на посту лидера https://www.debian.org/vote/2026/platforms/srud поддержки разнообразия в сообществе, делегирования части решаемых лидером задач на 1-2 помощников для повышения эффективности работы, создания для студентов структурированного курса по Debian, организации предустановки Debian на ноутбуки, работы над более доброжелательной манерой общения в сообществе и содействия участникам, предлагающим новые идеи и процессы по усовершенствованию Debian. В планах также упоминается создание более простого, чем общее голосование разработчиков (GR, General Resolution) процесса принятия решений для утверждения мелких повседневных вопросов, для которых общее голосование избыточно.

Во второй части отчёта Андреас Тилле поделился мнением о реализации требований законов по интеграции в операционные системы API для проверки возраста, принятых в https://www.opennet.ru/opennews/art.shtml?num=64890 и в https://www.opennet.ru/opennews/art.shtml?num=65010. Отмечается, что ситуация с применимостью данных законов к некоммерческому проекту, развиваемому добровольцами и распространяемому бесплатно, пока остаётся неясной - реализация мер для соответствия дистрибутива данным законам находится на стадии https://lists.debian.org/debian-legal/2026/03/msg00000.html разработчиками и юридической оценки организацией https://www.spi-inc.org/ (Software in the Public Interest).

Предполагается, что обязательства по выполнению законов в первую очередь затрагивают дистрибьюторов и коммерческие компании, создающие продукты на основе Debian. Проект Debian готов интегрировать возможности, необходимые для выполнения требований законов в производных дистрибутивах, но данная функциональность будет опциональной и не будет навязываться пользователям из стран без подобных законов.

Добавление API для запроса приложениями информации о возрасте пользователя также обсуждается разработчиками дистрибутивов https://discourse.ubuntu.com/t/ubuntus-response-to-californias-digital-age-assurance-act-ab-1043/77948, https://discussion.fedoraproject.org/t/california-age-verification/181968, https://forums.linuxmint.com/viewtopic.php?t=464675 и https://discourse.nixos.org/t/compliance-with-u-s-age-verification-laws/75791. Конкретные решения ещё не приняты, но https://lists.ubuntu.com/archives/ubuntu-devel/2026-March/043510.html возможность реализации необходимого API. В systemd уже принято https://github.com/systemd/systemd/pull/40954, добавляющее в userdb поле birthDate с датой рождения пользователя, а в утилиту homectl опцию "--birth-date' для установки возраста. Добавленное поле сможет использоваться в развиваемом для дистрибутивов портале xdg-desktop-portal и сервисе https://www.freedesktop.org/wiki/Software/AccountsService/ для выдачи приложениям https://gitlab.freedesktop.org/accountsservice/accountsservice/-/merge_requests/176 о возрастной категории пользователя через D-Bus интерфейс "org.freedesktop.AgeVerification1" или "org.freedesktop.ParentalControls".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65146

https://www.opennet.ru/opennews/art.shtml?num=65146

В ядре Linux 7.0 выявили регрессию, в ...

2026-04-04T18:06:36+02:00

В ядре Linux 7.0 выявили регрессию, в два раза снижающую производительность PostgreSQL

Инженер из компании Amazon https://lore.kernel.org/lkml/20260403191942.21410-1-dipiets@amazon.it/ регрессию, специфичную для ядра Linux 7.0, релиз которого ожидается 13 апреля. https://web.git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7dadeaa6e851 настроек планировщика задач привело к существенному снижению пропускной способности и отзывчивости при работе СУБД PostgreSQL на системах с архитектурой ARM64. При использовании ядра 7.0 показатели производительности при прохождении теста pgbench "simple-update" снизились почти в два раза - с 98565 до 50751.

Замедление вызвано изменением режима вытеснения (preemption) в планировщике по умолчанию с PREEMPT_NONE на PREEMPT_LAZY на архитектурах, поддерживающих такой режим, из-за чего в пользовательском пространстве PostgreSQL стал тратить 55% времени CPU на вызов s_lock(). Для решения проблемы https://lore.kernel.org/lkml/20260403191942.21410-2-dipiets@amazon.it/ вернуть по умолчанию режим PREEMPT_NONE и убрать его привязку к настройке ARCH_NO_PREEMPT.

Питер Зейлстра (Peter Zijlstra), автор изменений, из-за которых возникла регрессия, и мэйнтейнер планировщика задач и связанных с блокировками подсистем ядра, https://lore.kernel.org/lkml/20260403213207.GF2872@noisy.programming.kicks-ass.net/, что исправление нужно вносить в код PostgreSQL. Для устранения падения производительности он посоветовал задействовать в PostgreSQL недавно https://lore.kernel.org/all/20251215155615.870031952@linutronix.de/T/#u в ядро расширение "rseq slice" (Restartable Sequences) для ограничения вероятности вытеснения держателя блокировки.

Пока не ясно какое решение примет Линус Торвальдс, который придерживается правила, что ядро не должно ухудшать работу и ломать совместимость с пространством пользователя. С одной стороны ядро 7.0 находится на финальной стадии тестирования перед релизом и откат настроек планировщика может привести к другим регрессиям, а с другой стороны пользователи могут столкнуться с двухкратным снижением производительности одной из самых популярных СУБД.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65143

https://www.opennet.ru/opennews/art.shtml?num=65143

Атаки GDDRHammer и GeForge, искажающие ...

2026-04-04T12:36:35+02:00

Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU

Исследователи из нескольких университетов США и Австралии https://gddr.fail/ две атаки класса https://www.opennet.ru/opennews/art.shtml?num=41340 - https://gddr.fail/files/gddrhammer.pdf и https://gddr.fail/files/GeForge.pdf, позволяющие при выполнении непривилегированного ядра CUDA на GPU NVIDIA добиться искажения отдельных битов в чипах видеопамяти GDDR. В отличие от представленного в прошлом году метода https://www.opennet.ru/opennews/art.shtml?num=63575, новые атаки не ограничиваются воздействием на данные, обрабатываемые в памяти GPU, а позволяют получить полный доступ ко всей основной памяти, относящейся к адресному пространству CPU. Исследователями продемонстрированы эксплоиты, предоставляющие root-доступ к основной системе при выполнении непривилегированного CUDA-ядра на GPU.

Обе атаки добиваются преждевременной потери заряда в определённых ячейках видеопамяти, к которым у атакующих нет прямого доступа, что приводит к изменению хранящихся в этих ячейках битов. Возможность чтения и записи в память, относящуюся к адресному пространству CPU, реализована путём вмешательства в работу аллокатора памяти GPU (cudaMalloc) для нарушения изоляции памяти GPU и отображения виртуальных адресов GPU в произвольные адреса физической памяти GPU или CPU.

Вмешательство осуществляется через искажение значений битов в видеопамяти, в которой хранятся таблицы страниц памяти GPU, отвечающие за трансляцию виртуальных адресов в физические. Отличия между атаками GDDRHammer и GeForge сводятся к тому, что метод GDDRHammer модифицирует таблицу страниц последнего уровня (PT - Last Level Page Table), а метод GeForge - каталог страниц последнего уровня (PD0 - Last Level Page Directory).

Среди прочего указанные таблицы трансляции адресов используются для организации прямого доступа GPU к памяти CPU, поэтому изменение адреса в таблице страниц GPU на физический адрес в основной оперативной памяти и выставление флага APERTURE, включающего режим маппинга памяти CPU, дают возможность читать и записывать данные c обращением к основной памяти через шину PCIe при отключённом IOMMU (по умолчанию отключён).

Успешные атаки продемонстрированы для высокопроизводительных профессиональных видеокарт NVIDIA RTX A6000 на базе микроархитектуры Ampere (стоимость новых карт начинается с $6850, а подержанных - с $4000) и бытовых моделей NVIDIA RTX 3060 ($250-300). Разработанная техника обхода защиты от Rowhammer в сочетании с задействованием предоставляемых в GPU средств распараллеливания операций позволила в 64 раза увеличить частоту возникновения искажения ячеек по сравнению с прошлыми атаками. В качестве временной меры для блокирования атак командой "nvidia-smi -e 1" может быть включён режим коррекции ошибок ECC (Error Correcting Codes), но он приводит к дополнительным накладным расходам и потенциально может быть обойдён, используя такие методы атак, как https://www.opennet.ru/opennews/art.shtml?num=49652 и https://ecc.fail/.

Атака RowHammer позволяет исказить содержимое отдельных битов памяти DRAM путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. Если интенсивность чтения большая, то соседняя ячейка может потерять достаточно большой объём заряда и очередной цикл регенерации не успеет восстановить её первоначальное состояние, что приведёт к изменению значения сохранённых в ячейке данных.

Метод атаки Rowhammer был https://www.opennet.ru/opennews/art.shtml?num=41340 в 2014 году, после чего между исследователями безопасности и производителями оборудования началась игра в "кошки-мышки" - производители чипов памяти пытались блокировать уязвимость, а исследователи находили новые способы её обхода. Например, для защиты от RowHammer производители чипов добавили механизм TRR (Target Row Refresh), но оказалось, что он блокирует искажение ячеек лишь в частных случаях, но не защищает от всех https://www.opennet.ru/opennews/art.shtml?num=56169 https://www.opennet.ru/opennews/art.shtml?num=55211 https://www.opennet.ru/opennews/art.shtml?num=52543. Методы атаки были разработаны для чипов DDR3, https://www.opennet.ru/opennews/art.shtml?num=56169 и https://www.opennet.ru/opennews/art.shtml?num=60850 на системах с процессорами Intel, https://www.opennet.ru/opennews/art.shtml?num=60850 и https://github.com/0x5ec1ab/rowhammer_armv8, а также для https://www.opennet.ru/opennews/art.shtml?num=63575 GPU NVIDIA. Помимо этого были найдены способы обхода https://www.opennet.ru/opennews/art.shtml?num=49652 и предложены варианты https://www.opennet.ru/opennews/art.shtml?num=48591 https://www.opennet.ru/opennews/art.shtml?num=56179 и через https://www.opennet.ru/opennews/art.shtml?num=42730 в браузере.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65141

https://www.opennet.ru/opennews/art.shtml?num=65141

Выпуск платформы обмена файлами ...

2026-04-03T22:06:35+02:00

Выпуск платформы обмена файлами OpenCloud 6.0

https://github.com/opencloud-eu/opencloud/releases/tag/v6.0.0 релиз платформы https://opencloud.eu/en/, позволяющей развернуть на своём сервере систему для обмена файлами и совместной работы над контентом. Проект преподносится как открытая альтернатива проприетарным системам Microsoft SharePoint, Google Drive и Dropbox, соответствующая требованиям действующего в Европейском союзе постановления https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%89%D0%B8%D0%B9_%D1%80%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%BF%D0%BE_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85.

Проект основан как форк платформы https://github.com/owncloud/ocis (ownCloud Infinite Scale). В отличие от исходной кодовой базы ownCloud и https://www.opennet.ru/opennews/art.shtml?num=44537 от неё проекта NextCloud серверная часть OpenCloud была переписана с языка PHP на Go. Создатели OpenCloud попытались избавить кодовую базу от лишней функциональности и сосредоточиться на максимально качественной реализации основной задачи - совместной работы с файлами.

Написанная на языке Go серверная часть https://github.com/opencloud-eu/opencloud/ под лицензией Apache 2.0 и поддерживает программные интерфейсы WebDAV, gRPC, Microsofts RESTful Web API Graph, OCS, OCM 1.1 и OpenID Connect. Сервер реализован с использованием концепции микросервисов и может масштабироваться от установки на платы Raspberry Pi до больших многосерверных внедрений.

Десктоп-клиент написан на С++ с использованием Qt, https://github.com/opencloud-eu/desktop под лицензией GPLv3 и поддерживает сборку для Windows, macOS и Linux. В клиент также встроена функция синхронизации файлов и монтирования совместного хранилища в виде виртуальной файловой системы. Web-интерфейс написан на TypeScript с использованием фреймворка Vue.js и https://github.com/opencloud-eu/web под лицензией AGPLv3. Имеются мобильные приложения для https://github.com/opencloud-eu/android и https://github.com/opencloud-eu/ios.

Помимо функций для хранения и обмена файлами, а также синхронизированного доступа к коллекции файлов с разных устройств, OpenCloud включает возможности для совместного редактирования документов в режиме реального времени, интеграции с офисным пакетом https://www.opennet.ru/opennews/art.shtml?num=43533 и редактором Markdown Editor (ToastUI), извлечения текста из изображений и отсканированных документов, использования протокола ICAP для проверки загружаемых файлов в антивирусных пакетах.

Для публикуемых файлов можно ограничивать время жизни, предоставлять доступ по ссылке и защищать содержимое паролем. Для упрощения навигации по файлам поддерживаются теги, фильтры и полнотекстовый поиск. В системе отслеживается вся история работы с файлами и предоставляется поддержка отката изменений на определённую версию в прошлом. Возможна организация командной работы с закреплением подкаталогов ("рабочих пространств") за отдельными командами.

Для администратора предоставляется интерфейс детализированного управления правами доступа и пользователями (например, можно разрешить пользователю только просмотр или только загрузку в хранилище). Поддерживается управление доступом на основе ролей (RBAC - Role-Based Access Control). В платформе применяется архитектура Privacy-First, подразумевающая, что пользователь OpenCloud с правами администратора не может получить доступ к контенту пользователей.

В новой версии:

- В web-интерфейсе реализована функция "Избранное", позволяющая пользователям помечать важные и часто используемые файлы для последующего быстрого доступа. Информация о помещении в избранное хранится на сервере и не привязана к конкретному клиенту. Избранные файлы помечаются звёздочкой и выделяются в персональных пространствах, в контексте проектов, в подкаталогах и в результатах поиска. Все помеченные элементы можно разом посмотреть на отдельной странице "Избранное".

- Добавлено расширение "Калькулятор", позволяющее вычислять математические выражения в строке поиска.

- Добавлено расширение "Pastebin" для упрощения обмена текстовым содержимым. Предоставленные для совместного доступа элементы автоматически сохраняются в скрытом каталоге ".space" в персональной области.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65137

https://www.opennet.ru/opennews/art.shtml?num=65137

Выпуск мобильной платформы /e/OS 3.6 ...

2026-04-03T21:06:36+02:00

Выпуск мобильной платформы /e/OS 3.6

https://e.foundation/leaving-apple-google-hiroh-phone-at-mwc-discover-murena-find-e-os-3-6-is-released/ выпуск мобильной платформы https://e.foundation/e-os/, сфокусированной на конфиденциальности пользовательских данных. Платформа основана Гаэлем Дювалем (https://en.wikipedia.org/wiki/Ga%C3%ABl_Duval), создателем дистрибутива Mandrake Linux. Проект https://doc.e.foundation/devices 287 моделей смартфонов и https://e.foundation/get-e-os/ сборки прошивок для наиболее популярных из них. На базе смартфонов OnePlus, Fairphone, Teracube, HIROH и Pixel https://murena.com/shop/ собственные редакции устройств, распространяемые с предустановленной прошивкой /e/OS под брендами Murena One, Murena 2, Murena Fairphone 4/5/6, Murena Teracube 2e, Murena Pixel 5/7 и Murena SHIFTphone 8.

Прошивка /e/OS https://doc.e.foundation/what-s-e как ответвление от платформы https://www.opennet.ru/opennews/art.shtml?num=60609 (на базе Android), избавленное от привязки к сервисам и инфраструктуре Google для исключения передачи телеметрии на серверы Google и повышения уровня конфиденциальности. Среди прочего, блокируется и неявная отправка информации, например, обращения к серверам Google при проверке доступности сети, резолвинге DNS и определении точного времени.

В поставку входит пакет https://www.opennet.ru/opennews/art.shtml?num=47505, предлагающий независимые аналоги сервисов Google, что позволяет обойтись без установки проприетарных компонентов. Для определения местоположения по Wi-Fi и базовым станциям (без GPS) прослойка https://github.com/microg/UnifiedNlp, способная работать через BeaconDB, OpenWlanMap, openBmap, OpenCellID, lacells.db и другие альтернативные сервисы. Вместо поисковой системы Google предлагается метапоисковый сервис https://murena.qwant.com/ на основе поискового движка https://www.qwant.com/.

Для синхронизации точного времени вместо обращения к NTP-серверу Google запросы отправляются на серверы из коллекции https://www.ntppool.org/en/, а вместо DNS-серверов Google (8.8.8.8) используются DNS-серверы текущего провайдера. В web-браузере по умолчанию включён блокировщик рекламы и скриптов для отслеживания перемещений. Для синхронизации файлов и данных приложений разработан собственный сервис, совместимый с https://gitlab.e.foundation/e/infra/ecloud-selfhosting на основе Nextcloud. Серверные компоненты основаны на открытом ПО и https://gitlab.e.foundation/e для установки на подконтрольных пользователю системах.

Интерфейс пользователя включает собственное окружение для запуска приложений https://gitlab.e.foundation/e/os/BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован разработанный для /e/OS набор автоматически масштабируемых пиктограмм и отдельная подборка виджетов (например, виджет для показа прогноза погоды).

Проектом также развивается собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись (user@murena.io), регистрируемую в процессе первой установки. Учётную запись можно использовать для получения доступа к своему окружению с других устройств или через Web. В облаке Murena Cloud бесплатно предоставляется 1ГБ для хранения своих данных, синхронизации приложений и резервных копий.

Среди входящих в состав приложений: почтовый клиент https://gitlab.e.foundation/e/os/mail (форк K9-Mail), web-браузер https://github.com/uazo/cromite (на базе Chromium), программа для работы с камерой https://sourceforge.net/p/opencamera/code/ci/master/tree/, программа для отправки мгновенных сообщений https://github.com/moezbhatti/qksms, система для ведения заметок https://github.com/stefan-niedermann/nextcloud-notes, PDF-просмотрщик https://github.com/mudlej/mj_pdf, планировщик https://github.com/dmfs/opentasks, программа для работы с картами https://www.magicearth.com/, галерея фотографий https://gitlab.e.foundation/e/os/android_packages_apps_Gallery2, https://gitlab.e.foundation/e/os/android_packages_apps_DocumentsUI, каталог приложений https://gitlab.e.foundation/e/os/apps.

Основные https://gitlab.e.foundation/e/os/releases/-/releases/ в /e/OS 3.6:

- Осуществлён переход на Android 16 (AOSP 16 в состоянии на март). Перенесены обновления и исправления из платформы https://www.opennet.ru/opennews/art.shtml?num=6404.

- Добавлена поддержка устройств:

Google Pixel 9a
Motorola edge 2024
OnePlus 13, 13R, Ace 3 Pro, Ace 3V, Ace 5, Nord 4, Nord 5, Pad 2, Pad Pro
Razer Edge 5G, Edge WiFi
Samsung Galaxy S20, S20 FE, S20 Ultra, S20+
Sony Xperia 1 IV, 5 IV
Xiaomi 13, POCO F6 Pro, Redmi K70, POCO X6 5G, Redmi Note 13 Pro.

- В менеджере приложений App Lounge реализована возможность входа с учётной записью microG без необходимости её отдельной настройки, что поможет обеспечить совместимость сторонних приложений с приложениями, использующими Play Integrity. Изменено оформление экрана поиска, добавлены раздельные вкладки для типовых приложений, открытых приложений и web-приложений. Секция с типовыми приложениями "Common apps" переименована в "Apps" и охватывает все приложения.

- В программе для работы с камерой проведена чистка экрана с настройками, упрощена навигация и удалены лишние настройки.

- Предоставлена возможность конфигурирования устройств напрямую из запускаемого при первом запуске мастера настройки.

- В web-браузере движок обновлён до Chromium 145.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65139

https://www.opennet.ru/opennews/art.shtml?num=65139

Альфа-выпуск мессенджера Pidgin 3 и ...

2026-04-03T15:36:35+02:00

Альфа-выпуск мессенджера Pidgin 3 и анонс мессенджера Gaim 3

https://discourse.imfreedom.org/t/pidgin-3-0-alpha-1-2-95-0-has-been-released/378 первый альфа-выпуск клиента для мгновенного обмена сообщениями https://pidgin.im/ (2.95). Выпуск отмечен как ещё не готовый для повседневного применения. Сборки подготовлены в формате https://flathub.org/en/apps/im.pidgin.Pidgin и размещены в https://docs.flathub.org/docs/for-users/installation на Flathub.

Ветка Pidgin 3 https://developer.pidgin.im/wiki/Roadmap3.0.0 с 2011 года, а до этого ещё три года обсуждалась на уровне концепций и идей. В Pidgin 3 выполнен переход на систему типов GObject, библиотеки GTK4 и Adwaita, сборочную систему Meson, GPlugin для обработки плагинов, SQLite для хранения истории чатов и GSettings для работы с настройками. Полностью переработан API. Для определения элементов интерфейса задействован GTK Builder XML, а для отображения истории чатов создана собственная библиотека виджетов https://keep.imfreedom.org/talkatu/talkatu.

В интерфейсе Pidgin 3 объединены в одном окне список контактов и чат. Прекращена поставка консольного клиента Finch (не исключено, что его могут вернуть в будущем). Из протоколов пока развиваются реализации протоколов IRCv3, XMPP, SIP, Demo и Bonjour. Ветка Pidgin 3 несовместима с Pidgin 2 и ранее созданными плагинами, но может быть установлена параллельно с имеющимися сборками Pidgin 2.

Среди изменений в представленном тестовом выпуске:

- API для протоколов объявлен достаточно стабильным для начала работы над реализациями дополнительных протоколов для Pidgin 3, без опасений внесения значительных изменений в API.

- Предложен новый API AccountSettings для управления настройками учётных записей, который поддерживает использование в обвязках, позволяющих создавать плагины с реализациями протоколов на скриптовых языках, таких как Python и Lua. API AccountSettings также не требует обязательного использования имени пользователя для каждой учётной записи, что, например, позволяет запрашивать ник вместо имени для таких протоколов, как IRC.

- Реализован отдельный интерфейс для редактирования параметров учётной записи, в котором одним списком выводятся все соответствующие настройки.

- Добавлен плагин с начальной поддержкой протокола для
платформы обмена сообщениями https://www.opennet.ru/opennews/art.shtml?num=63739.

- Добавлена опция для включения режима разработчика, в котором становятся доступны незавершённые экспериментальные возможности, такие как недоделанные плагины для протоколов.

- Из числа зависимостей исключена библиотка libxml2, вместо хранения конфигурации в формате XML теперь используется SQLite.

Одновременно разработчики Pidgin 3 https://discourse.imfreedom.org/t/gaim-3-announcement/379 мессенджер https://gaim.imfreedom.org/. В 2007 году Gaim был https://www.opennet.ru/opennews/art.shtml?num=10399 в Pidgin из-за претензий компании AOL, развивавшей мессенджер AIM. В 2017 году AIM перестал существовать, а время действия товарного знака теперь истекло, поэтому разработчики решили воспользоваться старым именем для воплощения идеи
создания чат-клиента с классическим интерфейсом в стиле Pidgin 2/Gaim, построенным на базе GTK4, и функциональностью мессендежра на основе библиотеки libpurple 3, развиваемой для Pidgin 3.

Gaim 3 позволит подключаться ко всем сетям, поддерживаемым в libpurple 3, но использовать интерфейс, сфокусированный на прямом обмене сообщениями, вместо развиваемого в Pidgin 3 интерфейса на основе чат-комнат. Разработка Gaim 3 находится на начальной стадии. Сборки планируют https://sourceforge.net/projects/pidgin/files/Gaim3/ для Linux, Windows и macOS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65136

https://www.opennet.ru/opennews/art.shtml?num=65136

Неофициальный Telegram-клиент Nekogram ...

2026-04-03T10:06:35+02:00

Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика

В неофициальном Telegram-клиенте https://github.com/Nekogram/Nekogram/ выявлен обфусцированный код, скрыто https://thebadinteger.github.io/nekogram-phone-exfiltration/ боту "@nekonotificationbot" номера телефонов пользователей, вошедших в приложение, в привязке к индентификатору пользователя. Изменение для сбора номеров телефонов присутствует только в готовых APK-пакетах, распространяемых через Google Play, GitHub и Telegram-канал проекта. В исходном коде на GitHub и в APK-пакенте из каталога F Droid собирающее телефоны изменение отсутствует.

Бэкдор присутствовал в файле Extra.java. Предположительно, отправка осуществлялась начиная с версии Nekogram 11.2.3, первое время только для пользователей с китайскими номерами, а затем для всех. В программе также использовались osint-боты "@tgdb_search_bot" и "@usinfobot" для определения пользователей по их ID, но номера телефонов им не отправлялись.

https://github.com/Nekogram/Nekogram/issues/336

Исследователями https://github.com/RomashkaTea/nekogram-proof-of-logging java-хук и бот, позволяющие любому пользователю убедиться в отправке номеров телефонов его экземпляром приложения.

По мнению выявивших проблему исследователей, авторы программы могли использовать получаемую информации для формирования базы данных для последующей продажи создателям OSINT-ботов. О намеренном скрытии подобной активности свидетельствует обфускация изменения и применение inline-запросов для отправки данных. После https://github.com/Nekogram/Nekogram/issues/336 в системе отслеживания ошибок проекта автор Nekogram https://t.me/NekoUpdates/531 отправку номеров телефонов своему боту, не пояснив причины такой активности, но упомянув, что присылаемые телефоны не сохранялись и не передавались кому-либо.

Дополнительно можно отметить https://x.com/thezdi/status/2037292596339613982 уязвимости в официальном приложении Telegram. Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, https://www.zerodayinitiative.com/advisories/upcoming/ предварительные данные об уязвимости ZDI-CAN-30207 в Telegram, которой присвоен критический уровень опасности (9.8 из 10) и выставлен признак удалённой атаки, не требующей действий от пользователя. Детали намерены раскрыть 24 июля, дав время разработчикам Telegram довести исправление до пользователей.

Отдельно https://x.com/Team_D4rkn3ttz/status/2038264323794153850 https://www.acn.gov.it/portale/w/telegram-rilevata-vulnerabilita-0-click, что уязвимость проявляется при открытии в Telеgram специально оформленных анимированных стикеров и может привести к выполнению кода злоумышленника без каких-либо действий со стороны пользователя. Судя по всему, уязвимость вызвана ошибкой в коде библиотеки https://github.com/TelegramMessenger/rlottie, обеспечивающем работу предпросмотра.

Представители Telegram https://x.com/thezdi/status/2037292596339613982, что не считают выявленную проблему опасной уязвимостью, так как все загружаемые стикеры предварительно проверяются на серверах Telegram-а и подобная проверка не допустила бы показ пользователям вредоносного стикера. После заявления Telegram уровень опасности уязвимости был снижен с 9.8 до 7.0.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65130

https://www.opennet.ru/opennews/art.shtml?num=65130

Google выпустил открытую AI-модель Gemma 4, ...

2026-04-02T23:13:32+02:00

Google выпустил открытую AI-модель Gemma 4, построенную на технологиях Gemini 3

Компания Google https://blog.google/innovation-and-ai/technology/developers-tools/gemma-4/ новое семейство больших языковых моделей https://deepmind.google/models/gemma/gemma-4/, основанных на технологиях модели https://en.wikipedia.org/wiki/Gemini_3. Gemma 4 https://huggingface.co/collections/google/gemma-4 под лицензией Apache в вариантах с 2.3, 4.5, 25.2 и 30.7 миллиардами параметров (E2B, E4B, 31B и 26B A4B). Варианты E2B и E4B подходят для использования на мобильных устройствах, системах интернета вещей (IoT) и платах типа Raspberry Pi, а остальные варианты пригодны для применения на рабочих станциях и системах с потребительскими GPU. Размер учитываемого моделью контекста составляет 128 тысяч токенов для моделей E2B и E4B, и 256 тысяч токенов для моделей 31B и 26B A4B.

Модели многоязыковые и мультимодальные: из коробки поддерживается 35 языков (при обучении использовано более 140 языков), а на входе может обрабатываться текст и изображения (модели E2B и E4B дополнительно поддерживают обработку звука). Модель 26B A4B основана на архитектуре https://en.wikipedia.org/wiki/Mixture_of_experts (Mixture-of-Experts), при которой модель разделена не серию экспертных сетей (при генерации ответа могут использоваться только 3.8 млрд параметров, но скорость существенно выше классических больших моделей), а остальные варианты используют классическую монолитную архитектуру.

Модели поддерживают https://ru.wikipedia.org/wiki/%D0%AF%D0%B7%D1%8B%D0%BA%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C_%D1%80%D0%B0%D1%81%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B9 и настраиваемые режимы обдумывания, поддерживают системную роль (System Role) для обработки инструкций (правил, ограничений) отдельно от данных. Модели могут использоваться для написания кода, распознавания объектов на изображениях, покадрового анализа видео, разбора документов и PDF, оптического распознания печатного и рукописного текста (OCR), распознания речи и перевода между языками. Возможно использование в качестве автономных агентов, взаимодействующих с различными инструментами и API.

В https://huggingface.co/google/gemma-4-31B#benchmark-results модели серии Gemma 4 существенно превзошли модель Gemma 3 c 27 мдрд параметров. Поддерживается использование Gemma 4 с инструментами и библиотеками LiteRT-LM, vLLM, llama.cpp, MLX, Ollama, NVIDIA NIM and NeMo, LM Studio, Unsloth, SGLang, Cactus, Basetan, MaxText, Tunix и Keras.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65127

https://www.opennet.ru/opennews/art.shtml?num=65127

Релиз OpenSSH 10.3 После полугода ...

2026-04-02T19:14:32+02:00

Релиз OpenSSH 10.3

После полугода разработки https://lists.mindrot.org/pipermail/openssh-unix-dev/2026-April/042418.html
выпуск https://www.openssh.com/, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные https://www.openssh.com/txt/release-10.3:

- Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку "%u" в некоторых директивах файла конфигурации, таких как "Match exec". Проблем вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config.

- Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals="" со списком имён (principal) в сертификате в ситуации, когда в именах указан символ ",". Для эксплуатации уязвимости необходимо, чтобы в опции authorized_keys principals="" было указано несколько имён и чтобы удостоверяющий центр выписал сертификат с несколькими именами, разделёнными запятой (обычно такое недопускается). Изменено поведение в отношении сертификатов с пустым именем - ранее пустое имя подпадало под все опции authorized_keys principals="", а теперь не подпадает.

- В scp устранена проблема, из-за которой после загрузки файла с правами root с указанием опции "-O" и без опции "-p" не очищались флаги setuid/setgid.

- В sshd исправлена проблема с обработкой ключей ECDSA в директивах
PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms, из-за которой в случае указания любого алгоритма ECDSA (например, "ecdsa-sha2-nistp384") начинали приниматься и все остальные алгоритмы на базе ECDSA, даже если они явно не перечислены в списке допустимых.

- В ssh и sshd при взаимодействии c SSH-агентами добавлена поддержка идентификаторов (codepoint), определённых IANA в спецификации https://datatracker.ietf.org/doc/html/draft-ietf-sshm-ssh-agent. Поддержка ранее используемых идентификаторов вида "@openssh.com" сохранена.

- В ssh-agent реализовано расширение "query", определённое в спецификации draft-ietf-sshm-ssh-agent и позволяющее определить поддерживаемые агентом функции. Для запроса списка поддерживаемых расширений протокола через запрос "query" в утилиту ssh-add добавлена опция "-Q".

- В sshd_config разрешено указание нескольких файлов в директиве RevokedKeys, а в ssh_config - в директиве RevokedHostKeys.

- В ssh добавлена escape-команда "~I" и опция "-O conninfo" для показа информации о текущем соединении, а также опция "-O channels" для показа информация об открытых каналах.

- В sshd в директиве PerSourcePenalties реализована опция 'invaliduser' для добавления задержки в случае попытки входа под несуществующим пользователем (по умолчанию 5-секунд). Добавлена возможность указания нецелых значений задержки.

- В sshd добавлена опция GSSAPIDelegateCredentials для управления приёмом делегированных учётных данных, предоставленных клиентом.

- В ssh-keygen добавлена поддержка записи ключей ED25519 в формате PKCS8.

- Добавлена поддержка схемы цифровых подписей ed25519, реализованная через libcrypto.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65126

https://www.opennet.ru/opennews/art.shtml?num=65126

Мобильная платформа ALT Mobile 11.0, ...

2026-04-02T13:12:23+02:00

Мобильная платформа ALT Mobile 11.0, построенная на технологиях GNOME

Компания Базальт СПО https://www.basealt.ru/about/news/archive/view/vyshel-alt-mobilnyi-11-otkrytaja-operacionnaja-sistema-ne-zavisjashchaja-ot-android-i-aosp мобильную платформу https://www.basealt.ru/alt-mobile ("Альт Мобильный"), предназначенную для смартфонов, планшетов и встраиваемых устройств с сенсорным экраном, таких как считыватели штрихкодов, контрольно-кассовые аппараты и терминалы сбора данных. Платформа https://www.altlinux.org/%D0%90%D0%BB%D1%8C%D1%82_%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_11 на пакетной базе репозитория https://packages.altlinux.org/ru/sisyphus/ (p11) и укомплектована графической оболочной https://www.opennet.ru/opennews/art.shtml?num=64805, основанной на технологиях GNOME и использующей композитный сервер https://gitlab.gnome.org/World/Phosh/phoc.

Для загрузки https://mirror.yandex.ru/altlinux/p11/images/mobile/ образы для архитектур x86_64 и ARM64, которые можно использовать для установки на устройства PinePhone, PinePhone Pro, PineTab 2 и планшеты "https://m-infogroup.ru/oborudovanie/planshety/"; (на архитектуре x86-64), а также для https://altmobile.org/installations/virtual-machine/ в QEMU. Платформа также https://altmobile.org/installations/portable-game-consoles/ для работы на игровых приставках Anbernic, PowKiddy, Retroid на базе SoC Rockchip, Allwinner и Qualcomm.

Свободно использовать загруженную версию https://mirror.yandex.ru/altlinux/p11/images/mobile/license.ru.html только физические лица, в том числе - индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать платформу, но для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме. При этом разработка ALT Mobile ведётся в соответствии с принципами свободного программного обеспечения и кодовая база полностью открыта.

Платформа предоставляет возможность работы с системой нескольких пользователей, для переключения между которыми задействован менеджер входа https://github.com/samcday/phrog/. При необходимости можно использовать https://waydro.id/ и https://www.winehq.org/ для запуска приложений, собранных для Android и Windows, а также открывать эмулятор терминала для работы в командной строке. Поддерживается полнодисковое шифрование на базе LUKS.

При подключении мобильного устройства с монитору, клавиатуре и мыши платформа позволяет использовать систему в качестве полноценной рабочей станции с GNOME-подобным окружением. Возможна установка приложений, имеющихся в репозиториях для десктоп-редакций ALT Linux, а также пакетов в формате flatpak.

Среди задействованных в платформе приложений:

- Типовые приложения GNOME: конфигуратор GNOME Control Center 48.4,
центр приложений GNOME Software 49.2, эмулятор терминала GNOME Console 48.0.1, ведение списка дел Errands 46.2.9, переводчик Dialect 2.5.0, генератор кодов двухфакторной аутентификации GNOME Authenticator, Калькулятор, Календарь, Часы, Текстовый редактор, Погода, Камера, Файловый менеджер.

- Мобильные приложения: конфигуратор Phosh Mobile Settings 0.49.0, блокировщик спамерских звонков Phosh Anti-Spam 3.5, чтение электронных книг Foliate 3.3.0, ведение заметок Iotas 0.11.0, передача файлов по локальной сети Warp 0.8.1, Matrix-клиент Fractal 10.1, видеопроигрыватель Livi 0.3.1, диктофон Vocalis 43, Звонки, Контакты, Сообщения, Telegram.

- Программы, созданные командой ALT Linux Team: менеджер ярлыков в меню приложений Folder Manager 5.1, подсчёт хеш-сумм файлов Hashsum 4.0.9, дополнительные настройки ALT Tweaks 0.2.1, аутентификация в домене Mobile Auth 1.1.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65104

https://www.opennet.ru/opennews/art.shtml?num=65104

Утверждён стандарт C++26 Комитет ISO по ...

2026-04-02T13:12:23+02:00

Утверждён стандарт C++26

Комитет ISO по стандартизации языка C++ https://herbsutter.com/2026/03/29/c26-is-done-trip-report-march-2026-iso-c-standards-meeting-london-croydon-uk/ финальный вариант спецификации, образующей международный стандарт "https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2026/";. Представленные в спецификации возможности частично уже http://en.cppreference.com/w/cpp/compiler_support в компиляторах https://gcc.gnu.org/projects/cxx-status.html, http://clang.llvm.org/cxx_status.html и https://docs.microsoft.com/en-us/cpp/overview/visual-cpp-language-conformance. Поддерживающие C++26 стандартные библиотеки реализованы в рамках проекта https://www.boost.org/.

В следующие два месяца утверждённая спецификация будет находиться на стадии подготовки документа к публикации, на которой будет проведена работа по редакторской правке орфографических ошибок и опечаток. В начале ноября результирующий вариант документа будет направлен в ISO для публикации под формальным именем ISO/IEC 14882:2026.

http://en.cppreference.com/w/cpp/compiler_support https://mpusz.github.io/mp-units/HEAD/blog/2026/03/28/report-from-the-croydon-2026-iso-c-committee-meeting/ C++26:

- Реализованы элементы https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BD%D1%82%D1%80%D0%B0%D0%BA%D1%82%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5 (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2900r14.pdf), позволяющие определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений. Возможность появится в GCC 16.

int f(const int x)
pre (x != 1) // требования ко входным данным
post (r : r == x && r != 2) // требования к результату; r - значение с результатом
{
contract_assert (x != 3);
return x;
}

- Добавлена поддержка https://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%84%D0%BB%D0%B5%D0%BA%D1%81%D0%B8%D1%8F_(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5) (https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html), позволяющей отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html#the-reflection-operator"; для получения метаинформации о грамматической конструкции и "https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2996r13.html#splicers"; для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами. Поддержка рефлексии будет добавлена в GCC 16.

constexpr int i = 42, j = 42;

constexpr std::meta::info r = ^^i, s = ^^i;
static_assert(r == r && r == s);

static_assert(^^i != ^^j); // 'i' и 'j' имеют различные значения.
static_assert(constant_of(^^i) == constant_of(^^j)); // 'i' и 'j' одинаковы
static_assert(^^i != std::meta::reflect_constant(42)); // отличается от значения 42

- Добавлен оператор "https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p1306r5.html"; для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений. Возможность появится в GCC 16.

void f() {
template for (constexpr int I : std::array{1, 2, 3}) {
static_assert(I ‹ 4);
}
}

будет раскрыто в:

void f() {
{
constexpr auto&& __range = std::array{1, 2, 3};
constexpr auto __begin = __range.begin();
constexpr auto __expansion-size = __range.end() - __begin; // 3

{
constexpr int I = *(__begin + 0);
static_assert(I ‹ 4);
}

{
constexpr int I = *(__begin + 1);
static_assert(I ‹ 4);
}

{
constexpr int I = *(__begin + 2);
static_assert(I ‹ 4);
}
}
}

- Добавлен фреймворк https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p2300r10.html для асинхронного и параллельного выполнения кода. Предоставляются объекты scheduler, определяющий планировщик выполнения работ (поток, пул потоков, GPU, event loop), sender, определяющий выполняемую работу, и receiver - обработчик результата.

using namespace std::execution;
scheduler auto sch = thread_pool.scheduler();
sender auto begin = schedule(sch);
sender auto hi = then(begin, []{
std::cout ‹ "Hello world! Have an int.";
return 13;
});

sender auto add_42 = then(hi, [](int arg) { return arg + 42; });

auto [i] = this_thread::sync_wait(add_42).value();

- Добавлена библиотека https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p1928r15.pdf для распараллеливания выполнения операций над данными при помощи наборов инструкций https://ru.wikipedia.org/wiki/SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.

std::simd‹float› a = {1.0f, 2.0f, 3.0f, 4.0f};
std::simd‹float› b = {5.0f, 6.0f, 7.0f, 8.0f};

std::simd result = a + b;

- Предложена реализация вектора (массива) переменного размера https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p0843r14.html, размещаемого в стеке, размер которого определяется на этапе компиляции. API близок к std::vector, но элементы массива хранятся не в "куче", а внутри объекта.

inplace_vector a(10);
inplace_vector b(std::move(a));
assert(a.size() == 10);

- Добавлена директива "https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p1967r14.html";, предназначенная для встраивания в код бинарных ресурсов.

const unsigned char icon_display_data[] = {
#embed "art.png"
};

- Добавлена поддержка генерации и обработки https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p3068r6.html на этапе компиляции при ошибках в контексте constexpr.

constexpr std::optional‹unsigned› checked_divide(unsigned n, unsigned d) {
try {
return divide(n, d);
} catch (...) {
return std::nullopt;
}
}

constexpr date parse_date(std::string_view input) {
auto [correct, year, month, day] = ctre::match‹"([0-9]{4})-([0-9]{1,2})-([0-9]{1,2})"›(input);

if (!correct) {
throw incorrect_date{input};
}

return build_date(year, month, day);
}

- Реализована структура данных https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p0447r28.html для неупорядоченного хранения данных и обеспечения повторного использования памяти, освободившейся после удалённых элементов. Структура оптимизирована для нагрузок с высокой интенсивностью добавления и удаления элементов в произвольном порядке. В отличие от массивов, удаление элемента в std::hive не вызывает сдвига других элементов, а приводит к пометке удалённого элемента пустым с последующим заполнением освободившейся позиции при добавлении нового элемента.

- Добавлена библиотека https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p1673r13.html c API для линейной алгебры, основанный на https://ru.wikipedia.org/wiki/Basic_Linear_Algebra_Subprograms.

- Добавлена поддержка механизма синхронизации https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2530r3.pdf, https://en.wikipedia.org/wiki/Hazard_pointer без выставления блокировок предотвратить освобождение памяти объектов, с которыми продолжается работа в других потоках. При удалении объекта, он лишь помечается удалённым, но занимаемая объектом память освобождается только когда все потоки снимут hazard-указатель, выставляемый во время работы с объектом.

- Добавлена поддержка механизма синхронизации https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2545r4.pdf (Read-Copy Update) - при операциях записи создаётся новый экземпляр объекта, а операции чтения не блокируются, а продолжают работать со старым экземпляром. После завершения изменения новый экземпляр становится активным и новые операции чтения уже производятся с ним, а старый экземпляр удаляется после завершения читающих его потоков.

- https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p3471r4.html изменения для усиления безопасности стандартной библиотеки, такие как проверки допустимых значений и выхода за границы буфера. Например, при доступе к элементу "constexpr reference operator[](size_type idx) const;" добавляется проверка условия "idx < size()".

- Предоставлена возможность https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p2747r2.html ключевого слова "constexpr" с разновидностью оператора "new" (placement new) для размещения объекта в заранее выделенной памяти во время компиляции.

- Добавлена поддержка структурированных привязок (structured binding) в контексте "constexpr", т.е. ссылки на константные выражения теперь сами могут быть константными выражениями. Поддержка реализована для массивов и простых структур.

constexpr int arr[] = {1, 2};
constexpr auto [x, y] = arr;

- В структурированные привязки https://wg21.link/P1061R10 возможность использования синтаксиса "..." для указания пакетов (https://en.cppreference.com/w/cpp/language/parameter_pack.html), захватывающих оставшееся число элементов из присваиваемой последовательности.

auto [x,y,z] = f(); // в переменные x, y, z будут записаны три элемента, возвращённые f().
auto [...xs] = f(); // в пакет xs будут записаны все элементы, возвращённые f().
auto [x, ...rest] = f(); // В x будет записан первый элемент, а в rest - остальные.
auto [x, y, ...rest] = f(); // В x будет записан первый элемент, в y - второй, а в rest - третий.
auto [x, ...rest, z] = f(); // в x - первый, в rest - второй, в z - третий.

- Добавлена поддержка "https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p2786r13.html"; типов (Trivial Relocatability), позволяющей оптимизировать перемещения объектов заданного типа через их клонирование в памяти без вызова конструкторов или деструкторов. Для классов реализованы свойства memberwise_trivially_relocatable и memberwise_replaceable, а для низкоуровневого перемещения одного или нескольких объектов добавлены функции trivially_relocate_at и trivially_relocate.

- https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p3618r0.html поддержка прикрепления функции main() к глобальному модулю и определения функции main() в именованных модулях.

- Добавлен https://wg21.link/P2893 оператор "friend" ("friend Ts...").

- Реализованы https://wg21.link/P0609R3 для структурированных привязок;

- Добавлен синтаксис https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p2573r2.html.

- В базовый набор символов https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2558r2.html "@", "$" и "`".

- Предоставлена https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p0963r3.html применения структурированного связывания (structured binding) в качестве условия в операторах if и switch.

- Добавлена https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2169r4.pdf использования сразу нескольких переменных-заполнителей с именем "_" в одной области видимости, например, теперь являются корректными конструкции:

struct S {
int _, _;
};
void func() {
int _, _;
}
void other() {
int _; // ранее выводилось предупреждение в режиме -Wunused
}

- https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2361r6.pdf возможность использования строковых литералов в контексте, в котором они не используются для инициализации массива символов и не попадают в результирующий код, а применяются только во время компиляции для диагностических сообщений и препроцессинга, например, в качестве параметров директив и атрибутов _Pragma, asm, extern, static_assert, [[deprecated]] и [[nodiscard]].

- Добавлены встроенные функции: "__builtin_is_within_lifetime" для https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2641r4.html активности альтернативы в объединениях (union) и "https://wg21.link/p2985r0"; для проверки является ли базовый класс виртуальным.

- Реализованы тривиальные бесконечные циклы без https://wg21.link/P2809R3.

- Обеспечен https://wg21.link/P3144R2 ошибки при удалении указателя на неполный тип.

- https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2025/p3176r1.html устаревшим синтаксис определения вариативных параметров с многоточием без предшествующей запятой (например, когда указывается "void e(int...)" вместо "void e(int, ...)").

- https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2024/p3034r1.html использование макросов для объявления модулей.

- https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2023/p2864r2.pdf в разряд устаревших выполнение неявных преобразований перечисляемых значений в арифметических вычислениях.

int main() {
enum E1 { e };
enum E2 { f };
bool b = e ‹= 3.7; // устарело
int k = f - e; // устарело
int x = +f - e; // OK
}

- Прекращена поддержка прямого сравнения массивов.

int arr1[5];
int arr2[5];
bool same = arr1 == arr2;

- https://wg21.link/P3247R2 устаревшим шаблонный класс https://en.cppreference.com/w/cpp/types/is_trivial.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65102

https://www.opennet.ru/opennews/art.shtml?num=65102

Создан Euro-Office, форк ONLYOFFICE. Проект ...

2026-04-02T13:12:22+02:00

Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии

Несколько европейских компаний и организаций, среди которых Nextcloud, IONOS, Eurostack, XWiki, OpenProject, Soverin, Abilian и BTactic, https://nextcloud.com/blog/press_releases/industry-initiative-launches-euro-office-as-true-sovereign-office-suite/ открытую платформу совместного редактирования документов https://github.com/Euro-Office/, основанную на кодовой базе офисного пакета https://github.com/ONLYOFFICE/. В форке проведён ребрендинг, а в текст лицензии AGPLv3 внесены https://github.com/Euro-Office/core/commit/e452acebeb343389520348733041056af0cd4c23, удаляющие дополнительные условия в отношении логотипа и товарных знаков. Подобные изменения https://www.onlyoffice.com/blog/2026/03/onlyoffice-flags-license-violations-in-euro-office-project-by-nextcloud-and-ionos разработчиками ONLYOFFICE как нарушение лицензии, которое призвали немедленно устранить.

C 2021 года в тексте лицензии AGPLv3, под которой распространяется код ONLYOFFICE, https://github.com/ONLYOFFICE/DocumentServer/blob/master/LICENSE.txt#L655 дополнительные условия, уточняющие требования AGPL в отношении упоминания автора и отсутствия обязательств по товарным знакам. Дополнительные условия требуют сохранения в производных продуктах оригинального логотипа ONLYOFFICE для сохранения узнаваемости бренда. В дополнении к лицензии также упоминается отсутствие обязательств по предоставлению прав на товарные знаки ONLYOFFICE.

Создатели форка Euro-Office https://github.com/Euro-Office/core/commit/e452acebeb343389520348733041056af0cd4c23 из текста лицензии дополнительные требования и контактные данные компании Ascensio System, оставив только примечание в отношении лицензии на ресурсы, применяемые в графическом интерфейсе, и упоминание о снятии с себя ответственности. Изменение обосновано упоминанием в разделе 7 лицензии AGPLv3 права удалять дополнительные ограничения, внесённые сверх условий, определённых в разделах 7(a)-7(f).

В частности, дополнение о сохранении логотипа удалено, так как раздел 7(b) AGPL допускает требование об указании авторства, но логотип является элементом товарного знака и бренда, напрямую не связанным с упоминанием автора. Упоминание отказа от предоставления прав на товарные знаки удалено, как не влияющее на права или обязанности лицензиата (в пункте 7(e) уже указано, что AGPLv3 не предоставляет прав на товарные знаки). Контактный адрес удалён, как несущий только информационный характер (AGPLv3 не требует сохранение в тексте контактных данных).

Юристы, консультирующие проект ONLYOFFICE, https://www.onlyoffice.com/blog/2026/03/onlyoffice-flags-license-violations-in-euro-office-project-by-nextcloud-and-ionos юридически необоснованным утверждение, что производный продукт может распространяться под "чистой" лицензией AGPLv3 без дополнительных условий, введённых в соответствии с разделом 7. По их мнению, в соответствии со сложившимися юридическими нормами в области интеллектуальной собственности право на создание и распространение производных работ образуется исключительно из предоставляемых лицензией прав, и такие права передаются неделимо.

Создание производного продукта не позволяет использовать независимый режим лицензирования, свободный от условий, на которых был получен оригинальный код, т.е. форк ONLYOFFICE должен распространяться только в соответствии со всеми условиями лицензии, включая дополнительные пункты. Спорным в сложившейся ситуации является трактовка пункта 7(b) AGPL в контексте распространения формулировки "упоминание автора" на логотип. Фонд СПО https://www.fsf.org/blogs/community/gpl-compliant-legal-notices-author-attributions, что, за исключением специфичных случаев, логотип не подпадает под допускаемые пунктом 7(b) упоминание автора и правовые уведомления.

Euro-Office преподносится как открытая, прозрачно развиваемая и независимая платформа для совместной работы с документами, электронными таблицами и презентациями. Проект рассчитан на использование через Web и интеграцию со сторонними продуктами, такими как системы обмена файлами, wiki и инструментами управления проектами. https://github.com/Euro-Office#euro-office-liberates-the-onlyoffice-code-base, что форк создан как вынужденная мера из-за невозможности подключиться к разработке ONLYOFFICE по следующим причинам:

- Проблематичность передачи изменений в кодовую базу платформы ONLYOFFICE, разработчики которой не рецензируют присылаемые изменения, не принимают pull-запросы и не заботятся о корректности и актуальности инструкций по сборке.

- Развивающая ONLYOFFICE компания периодически принимает спорные решения, такие как отключение редактирования в мобильном приложении и удаление панели администратора.

- Отсутствие прозрачности - тексты в коммитах часто ссылаются на внутренние системы отслеживания ошибок, в поставку входят бинарные блобы и обфусцированный код. Часть комментариев в коде на русском языке, что затрудняет работу с кодом международными командами.

- Мобильное приложение не полностью открыто и завязано на проприетарные компоненты.

- Значительная часть разработчиков ONLYOFFICE находится в РФ, что усложняет совместную работу и подрывает доверие из-за политической ситуации, особенно когда процессы разработки непрозрачны и отгорожены.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65108

https://www.opennet.ru/opennews/art.shtml?num=65108

Выпуск дистрибутива Apertis 2026, ...

2026-04-02T13:12:21+02:00

Выпуск дистрибутива Apertis 2026, позволяющего не использовать код под лицензией GPLv3

Компания Collabora https://www.collabora.com/news-and-blog/news-and-events/apertis-v2026-modern-foundation-industrial-embedded-development.html Linux-дистрибутив https://www.apertis.org/, изначально созданный для оснащения автомобильных систем, но затем переориентированный для более широкого спектра электронных устройств, встраиваемой техники и промышленного оборудования. Из устройств, на которых применяется Apertis, упомянуты игровая консоль https://atari.com/pages/atari-vcs, плата Raspberry Pi 4, автомобильные SoC R-car и сканер для обнаружения объектов в стенах https://www.bosch-professional.com/gb/en/products/wallscanner-d-tect-200-c-0601081600.

Эталонные системные образы https://www.apertis.org/download/ для архитектур https://www.apertis.org/release/v2026/v2026.0/releasenotes/#release-downloads. Дистрибутив модульный и позволяет производителям устройств самостоятельно формировать необходимую начинку системного окружения. Поддерживается как формирование сборок на базе традиционных deb-пакетов, так и монолитных атомарно обновляемых образов на основе https://www.opennet.ru/opennews/art.shtml?num=37750.
Время сопровождения каждого выпуска Apertis составляет 1 год и 9 месяцев, каждые три месяца формируется корректирующий релиз с исправлением ошибок.

В качестве основы для построения дистрибутива использованы пакеты из Debian GNU/Linux. При этом системная начинка существенно переработана с учётом рисков, которые могут возникнуть у производителей оборудования при использовании некоторых свободных лицензий, таких как GPLv3, запрещающих https://ru.wikipedia.org/wiki/%D0%A2%D0%B8%D0%B2%D0%BE%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F, т.е. привязку программного обеспечения к оборудованию, например, через разрешение загрузки только прошивок, заверенных цифровой подписью производителя.

Apertis позволяет сформировать сборки, не включающие код под лицензиями семейства GPLv3. Вместо использования устаревших версий утилит GNU, сформированных до перехода на лицензию GPLv3, в Apertis задействованы более современные альтернативы под пермиссивными лицензиями. Например, вместо пакетов GNU coreutils и findutils в Apertis предложены https://github.com/uutils/coreutils/ от проекта https://github.com/uutils/, написанные на языке Rust и распространяемые под лицензией MIT, а вместо GnuPG поставляется https://www.opennet.ru/opennews/art.shtml?num=54272 под лицензиями GPL-2+ и LGPL-2+. Для тех, кого не заботят юридические вопросы, связанные с GPLv3, оставлена возможность использования традиционных наборов утилит.

Пакет с ядром базируется на свежей LTS-ветке ядра Linux. Например, в выпуске Apertis 2026 задействовано ядро 6.18, а не ядро 6.12 из пакетов Debian 13. Все пакеты, образы, утилиты и настройки развиваются в публичном https://gitlab.apertis.org/public, в котором доступно https://infrastructure.pages.apertis.org/dashboard/tsv/v2026.tsv (в прошлом выпуске было 5905). Для совместной работы используется GitLab, а для тестирования с использованием непрерывной интеграции - GitLab CI. Сборка бинарных пакетов из исходного кода производится при помощи инструментарий https://openbuildservice.org/ (Open Build Service). Собранные пакеты распространяются через APT-репозитории, управляемые при помощи инструментария https://www.aptly.info/.

Проект Apertis придерживается https://wiki.debian.org/DebianFreeSoftwareGuidelines разработки Debian и включает в состав только приложения, поставляемые под открытыми лицензиями или допускающие свободное распространение. Для того чтобы компании, создающие свои продукты на базе Apertis, могли быть уверены в лицензионной чистоте производных работ для каждой сборки формируется https://www.apertis.org/architecture/platform/software_bill_of_materials/ (Software Bill of Materials) в котором указана информация о лицензиях всех использованных файлов с кодом, а также данные о версиях программ, что также удобно для проверки наличия уязвимых версий.

Все компоненты Apertis регулярно проходят расширенное автоматизированное и ручное тестирование на https://www.apertis.org/reference_hardware/ аппаратных платформах, таких как платы Raspberry Pi 4, UP Squared 6000, i.MX8MN, TI SK-AM62, MYIR Remi Pi, i.MX6 Sabrelite, а также автомобильные SoC Renesas R-car. Результаты такого тестирования публикуются в https://qa.apertis.org/. Автоматизированное тестирование системных сборок на эталонном оборудовании организовано на базе системы https://www.lavasoftware.org/ (Linaro Automated Validation Architecture).

Основные https://www.apertis.org/release/v2026/v2026.0/releasenotes/:

- Осуществлён переход на пакетную базу https://www.opennet.ru/opennews/art.shtml?num=63702 и ядро Linux 6.18.

- По умолчанию задействовано графическое окружение на базе композитного сервера https://www.opennet.ru/opennews/art.shtml?num=64839, использующего Wayland.

- Переработан SDK для сборки, тестирования и интеграции собственных систем на базе Apertis. Новый вариант отличается улучшением кросс-компиляции, повышением удобства сопровождения пакетов и кастомизации системных образов, разделением инструментария для хост-окружения, в котором выполняется сборка, и целевых систем.

- Улучшен процесс сборки пакетов с использованием инструментария ci-package-builder и поддержания импортированных из Debian пакетов между релизами дистрибутива. Обеспечено автоматическое отслеживание изменений из Debian и определение появления релевантных обновлений. Автоматизировано бэкпортирование отдельных изменений в старые выпуски
Apertis. Обеспечено более явное разделение между функциональностью, не зависящей от релизов, такой как обработка обновлений, от специфичных для релизов задач, таких как сканирование лицензий и сборка пакетов.

- Добавлены инструменты для пересборки Apertis на базе находящейся в разработке пакетной базы Debian GNU/Linux 14.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65113

https://www.opennet.ru/opennews/art.shtml?num=65113

Скомпрометирован NPM-пакет axios, ...

2026-04-02T13:12:21+02:00

Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю

Злоумышленники https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета https://www.npmjs.com/package/axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов - с 03:21 по 6:15 (MSK).

Вредоносные версии были размещены в NPM напрямую с использованием учётных данных главного сопровождающего проекта axios ("https://github.com/jasonsaayman";) в обход штатного механизма публикации новых релизов на базе GitHub Actions. https://github.com/axios/axios/issues/10604, атакующие смогли перехватить у сопровождающего токен доступа к NPM, после чего вошли в учётную запись и поменяли привязку к email. Как именно был перехвачен токен доступа не уточняется.

Запускаемый вредоносный код размещался в пакете plain-crypto-js в файле setup.js, активировался после завершения установки NPM-пакета через обработчик postinstall ('postinstall: "node setup.js"') и использовался для загрузки и установки трояна, поражающего системы с Windows, macOS и Linux. Для скрытия своего присутствия после запуска вредоносный компонент удалял файл setup.js и заменял package.json на вариант без postinstall-хука.

https://socket.dev/blog/axios-npm-package-compromised

В macOS вредоносный исполняемый файл загружался как "/Library/Caches/com.apple.act.mond", в Windows - "%PROGRAMDATA%\wt.exe", в Linux - "/tmp/ld.py,". После активации в Linux и macOS каждые 60 секунд на внешний сервер атакующих отправлялся запрос команд для исполнения на поражённой системе, которые могли использоваться для загрузки дополнительных вредоносных компонентов, выполнения произвольных shell-команд и поиска/отправки определённых файлов.

Вредоносная активность в Linux и macOS не предусматривала сохранение присутствия после перезагрузки и была рассчитана на быстрый сбор конфиденциальных данных, паролей, токенов и ключей доступа. В Windows создавался файл "%PROGRAMDATA%\system.bat", который извлекал вредоносный компонент с сервера атакующих при каждом входе в систему.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65109

https://www.opennet.ru/opennews/art.shtml?num=65109

Утечка кода инструментария Claude Code ...

2026-04-02T13:12:20+02:00

Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

Компания Anthropic по недосмотру https://x.com/Fried_rice/status/2038894956459290963 в составе выпуска NPM-пакета https://www.npmjs.com/package/@anthropic-ai/claude-code полный необфусцированный и не очищенный от внутренних компонентов исходный код инструментария https://claude.com/product/claude-code на языке TypeScript. Код попал в релиз в составе https://tc39.es/ecma426/2024/ cli.js.map, применявшегося в ходе отладки. Для предотвращения подобных утечек разработчикам рекомендуется не забывать добавлять маску "*.map" в файл ".npmignore".

https://web.archive.org/web/20260331135338/https://pub-aea8527898604c1bbb12468b1581d95e.r2.dev/src.zip имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic https://github.com/github/dmca/blob/master/2026/03/2026-03-31-anthropic.md рассылку DMCA-уведомлений для блокирования репозиториев с утекшим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху (DMCA).

В ходе анализа попавшей в открытый доступ информации было https://www.ccleaks.com/ 8 ещё не анонсированных новых возможностей, 26 скрытых команд, 32 сборочных флага, 22 приватных репозитория и более 120 конфиденциальных переменных окружения. Среди скрытых возможностей:

- Режим "Undercover", удаляющий следы участия AI при внесения изменений в публичные репозитории (не выставляет Co-Authored-By и не упоминает название модели и использование AI).

- "Пасхальное яйцо", предоставляющее пользователю своего виртуального питомца, который показывается рядом с командной строкой. Внешний вид и поведение питомца уникальны и формируются на основе идентификатора учётной записи.

- Флаг CLAUDE_CODE_COORDINATOR_MODE=1, включающая работу Claude Code в режиме координатора, который сам разбивает задачи на части, распределяет их выполнение между отдельными AI-агентами и сводит воедино результат.

- Межсессионный IPC-интерфейс, позволяющий отправлять сообщения в другие сеансы, запущенные на том же компьютере (подобие чата между AI-агентами).

- Проактивный режим работы (Proactive mode), включающий не привязанную к сеансам круглосуточную работу над кодом. Постоянно активный ассистент KAIROS, запоминающий состояние между сеансами.

- Фоновый режим (Daemon Mode), позволяющий использовать команду "claude --bg" для запуска сеансов и обработки промптов в фоновом режиме, с возможностью просматривать лог работы и переводить сеанс в активный режим.

- Режим ULTRAPLAN, создающий отдельный экземпляр в облаке для формирования плана работ по решению сложных задач.

- Режим Auto-Dream (/dream), в неактивное время между сеансами структурирует полученную в ходе сеансов информацию и генерирует идеи по решению задач и вырабатывает план действий.

- Для обхода внутреннего детектора утечек кодовое имя внутренней модели "capybara" закодировано как String.fromCharCode(99,97,112,121,98,97,114,97).

- Телеметрия Tengu, отслеживающая и передающая на серверы Anthropic более 1000 типов событий.

- Флаг ABLATION_BASELINE и переменная окружения CLAUDE_CODE_ABLATION_BASELINE для отключения всех мер обеспечения безопасности.

- Скрытые команды, не упоминаемые в справке "--help":

/ctx-viz - визуализатор контекста
/btw - дополнительные вопросы
/good-claude - "пасхальное яйцо"
/teleport - перенос сеансов
/share - совместный доступ к сеансам
/summary - сводка
/ultraplan - планирование работы
/subscribe-pr - PR webhook
/autofix-pr автоисправление PR
/ant-trace - трассировка
/perf-issue - отчёт о производительности
/debug-tool-call - отладочные вызовы
/bughunter - отладка ошибок
/break-cache - сброс кэша
/onboarding - настройка
/oauth-refresh - обновление токена
/env - инспектирование окружения
/reset-limits - сброс состояния лимитов
/version - внутренний номер версии
/init-verifiers - настройка верификатора
/force-snip
/mock-limits
/bridge-kick
/backfill-sessions
/agents-platform
/dream

- Недокументированные опции командной строки:

--bare - запуск без хуков и плагинов
--dump-system-prompt - вывод системного приглашения и выход
--daemon-worker=‹k› - задаёт число фоновых процессов
--computer-use-mcp - активирует MCP-сервер
--claude-in-chrome-mcp - Chrome MCP
--chrome-native-host
--bg - запуск фонового сеанса
--spawn
--capacity ‹n› - ограничение числа параллельно выполняемых обработчиков
--worktree / -w - изоляция рабочего дерева Git

Сборочные флаги:

KAIROS
PROACTIVE
COORDINATOR_MODE
RIDGE_MODE
DAEMON
BG_SESSIONS
ULTRAPLAN
BUDDY
TORCH
WORKFLOW_SCRIPTS
VOICE_MODE
TEMPLATES
CHICAGO_MCP
UDS_INBOX
REACTIVE_COMPACT
CONTEXT_COLLAPSE
HISTORY_SNIP
CACHED_MICROCOMPACT
TOKEN_BUDGET
EXTRACT_MEMORIES
OVERFLOW_TEST
TERMINAL_PANEL
WEB_BROWSER
FORK_SUBAGENT
DUMP_SYS_PROMPT
ABLATION_BASE
BYOC_RUNNER
SELF_HOSTED
MONITOR_TOOL
CCR_AUTO
MEM_SHAPE_TEL
SKILL_SEARCH

- Более 120 недокументированных переменных окружения, среди которых
DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (отключает все механизмы безопасности), DISABLE_INTERLEAVED_THINKING,

- Упоминание внутренних репозиториев, таких как anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests и anthropics/feldspar-testing.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65114

https://www.opennet.ru/opennews/art.shtml?num=65114

Удалённо эксплуатируемые ...

2026-04-02T13:12:20+02:00

Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs

Во FreeBSD https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc уязвимость (CVE-2026-4747), позволяющая через отправку сетевых пакетов к NFS-серверу добиться выполнения кода на уровне ядра. Проблема проявляется при использовании модуля kgssapi.ko, реализующего API RPCSEC_GSS на стороне ядра. Помимо ядра, уязвимость затрагивает приложения в пользовательском пространстве, использующие библиотеку librpcgss_sec и выполняющие функции RPC-сервера. Подобные приложения, которые не входят в состав базовой системы FreeBSD, также могут быть атакованы через отправку сетевых пакетов.

Проблема присутствует в реализации API GSS (Generic Security Services), позволяющего устанавливать защищённые аутентифицированные каналы связи с сервером. RPCSEC_GSS применяется в NFS-серверах для защиты доступа к Sun RPC с использованием аутентификации на базе Kerberos и шифрования трафика между сервером и клиентом. Проблема вызвана тем, что при проверке подписи данные из пакета копируются в фиксированный буфер без должной проверки соответствия размера. Ошибка проявляется на стадии до прохождения аутентификации, но требует возможности отправки сетевых пакетов NFS-серверу. Доступен https://github.com/califio/publications/blob/main/MADBugs/CVE-2026-4747/exploit.py, позволяющий удалённо запустить /bin/sh с правами root.

Уязвимость была выявлена сотрудником компании Anthropic при помощи AI-ассистента Claude. Примечательно, что сторонние исследователи из команды Calif https://blog.calif.io/p/mad-bugs-claude-wrote-a-full-freebsd Claude для написания рабочего эксплоита, передав в качестве информации лишь опубликованный проектом FreeBSD общий отчёт об уязвимости. Помимо непосредственной эксплуатации уязвимости AI-модель развернула виртуальную машину с уязвимой конфигурацией, настроила удалённую отладку и чтение crash-дампов ядра, а также организовала в эксплоите запуск /bin/sh, после того как добилась выполнения кода на уровне ядра. На создание эксплоита было потрачено 4 часа времени работы модели Claude.

Создавшие эксплоит исследователи не ограничились этим и продолжили эксперименты, https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude Claude для выявления уязвимостей в Vim и Emacs, позволяющих добиться выполнения своего кода при открытии в редакторах специально оформленных файлов. Примечательно, что https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim-claude-prompts.txt к модели сводились к примитивной постановке задачи, такой как "найди 0-day уязвимость в Vim, возникающую при открытии файла". В итоге модель Claude успешно нашла ранее не известные уязвимости.

https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh в Vim (CVE-2026-34714) вызвана ошибкой при обработке опции tabpanel во включённом по умолчанию режиме modeline (":set modeline"), предоставляющем возможности для определения опций редактирования в обрабатываемом файле. По задумке разработчиков Vim, через modeline допускается установка только ограниченного числа опций, выражения в которых выполняются в режиме sandbox, допускающем применение только простейших безопасных операций.

У опции tabpanel не был выставлен флаг P_MLE, что https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim.md использовать в ней выражение %{expr}, выполняемое без активации режима modelineexpr. Для обхода sandbox-изоляции использовалась недоработка в функции autocmd_add(), в которой отсутствовали должные проверки безопасности при привязке действия к событию SafeStateAgain, что позволяло организовать запуск команды после выхода из sandbox-изоляции. Уязвимость устранена в выпуске https://github.com/vim/vim/releases/tag/v9.2.0272. Пример строки, приводящей к запуску утилиты "id" и направления вывода в файл "/tmp/calif-vim-rce-poc":

/* vim: set showtabpanel=2 tabpanel=%{%autocmd_add([{'event'\:'SafeStateAgain','pattern'\:'*','cmd'\:'!id›/tmp/calif-vim-rce-poc','once'\:1}])%}: */

https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/Emacs.md в Emacs вызвана автоматической обработкой содержимого каталога .git/, когда он размещён в одном каталоге с открываемым файлом. В этом случае Emacs при открытии файла запускает команды "git ls-files" и "git status", выполняемые в контексте содержимого ".git/". Для организации выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации "config", включающим опцию "core.fsmonitor" с указанной атакующим командой для запуска. Сопровождающие GNU Emacs отказались устранять уязвимость, указав на то, что проблема в Git.

Дополнительно можно отметить ещё две уязвимости:

- https://github.com/libfuse/libfuse/security/advisories/GHSA-qxv7-xrc2-qmfx - обращение к памяти после её освобождения в io_uring-обработчике из библиотеки https://github.com/libfuse/libfuse/, потенциально позволяющее добиться выполнения кода при исчерпании доступных ресурсов во время работы с реализованными через FUSE (Filesystem in Userspace) файловыми системами.

- https://tukaani.org/xz/index-append-overflow.html - переполнение буфера в реализации функции lzma_index_append() из библиотеки liblzma. Проблема проявляется при использовании функции lzma_index_decoder() для декодирования индекса, не содержащего записей, и приводит к выделению буфера, размером меньше, чем необходимо. Отмечается, что низкоуровневый API lzma_index* используется в приложениях крайне редко и маловероятно, что найдутся приложения, в которых выполняются необходимые для эксплуатации условия работы с индексом. Уязвимость устранена в обновлении https://tukaani.org/xz/.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65118

https://www.opennet.ru/opennews/art.shtml?num=65118

Компания Cloudflare представила EmDash, ...

2026-04-02T13:12:19+02:00

Компания Cloudflare представила EmDash, альтернативу WordPress с изоляцией плагинов

Компания Cloudflare https://blog.cloudflare.com/emdash-wordpress/ систему управления контентом https://github.com/emdash-cms/emdash/. Как и WordPress, новая система поддерживает расширение через плагины, позволяет использовать шаблоны для построения различных видов сайтов и предоставляет интерфейс для администрирования, но при этом может работать на платформах https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D1%81%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BD%D1%8B%D0%B5_%D0%B2%D1%8B%D1%87%D0%B8%D1%81%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F и повышает безопасность за счёт применения языка TypeScript со статическими типами и изоляции плагинов в отдельных sandbox-окружениях.

Код проекта написан на языке TypeScript c использованием web-фреймворка https://github.com/withastro/astro и https://github.com/emdash-cms/emdash/ под лицензией MIT. В анонсе упоминается, что благодаря привлечению к разработке AI-агентов продукт был создан за два месяца.

EmDash может функционировать как в инфраструктуре Cloudflare, так и запускаться на собственных серверах при помощи Node.js. В качестве СУБД может использоваться SQLite, Turso/libSQL и PostgreSQL, а в качестве хранилища - AWS S3, S3-совместимые системы или обычная локальная файловая система. Для хранения информации о сеансах предлагается использовать Redis или файловую систему.

Новая система разработана как попытка пересоздать проект WordPress с использованием современного инструментария и решив имеющиеся проблемы. Из проблем WordPress отмечается необходимость раздельного управления кодом на двух языках (PHP и JavaScript), применение многоуровневых кэшей для достижения приемлемой производительности и небезопасная архитектура плагинов, которая становится причиной 96% всех уязвимостей в платформе.

Каждый плагин WordPress имеет полный доступ к СУБД и интегрируется с PHP-кодом основной платформы, поэтому любая уязвимость в плагине полностью компрометирует весь сайт. В EmDash плагины запускаются в отдельных изолированных Worker-ах, возможности которых декларативно ограничиваются манифестом. Например, если плагин запрашивает полномочия read:content и email:send то ему будет открыт только доступ на чтение и возможность отправки электронной почты, не более. Так как плагины не встраиваются в код системы управления контентом, их авторы вольны выбирать любую лицензию и распространять плагины через любые репозитории и каталоги приложений.

WordPress хранит контент в формате HTML с метаданными, встраиваемыми в форме внутренних комментариев. В EmDash используется основанный на JSON структурированный формат https://www.portabletext.org/, отделяющий содержимое от оформления. Подобный подход позволяет отрисовывать содержимое в любых представлениях - в форме web-страницы, мобильного приложения, email или ответа API. Имеется встроенный MCP-сервер, позволяющий интегрировать платформу с AI-агентами, которые могут управлять контентом, а также использоваться для создания тем оформления и плагинов.

В базовой поставке предлагается три начальных шаблона: блог, маркетинг и портфолио. В первом случае формируются типовой блог c боковой панелью, полонтекстовыми поиском, категориями, тегами, RSS, комментариями и переключением между тёмной и светлой темами. Второй шаблон позволяет создавать сайты компаний с прайсами, контактной информацией и описанием товаров и услуг. Третий шаблон нацелен на презентацию своих достижений и презентации проектов.

Основные возможности EmDash:

- Контент: публикация материалов, разделение на страницы, определение собственных типов содержимого, редактирование текста с разметкой в визуальном режиме при помощи редактора https://tiptap.dev/, управление версиями содержимого, подготовка черновиков, размещение по расписанию, полнотекстовый поиск и редактирование по месту (inline).

- Панель администратора: визуальный построитель схем данных, библиотека мультимедийных данных, навигационные меню, систематизация информации, виджеты, возможность переноса контента из WordPress.

- Аутентификация: по умолчанию Passkey (WebAuthn) c OAuth, возможность входа по ссылке, разделение доступа на основе ролей (администратор, редактор, автор, участник).

- Миграция с WordPress: импорт публикаций, страниц, структуры через WXR, WordPress REST API или WordPress.com. Использование AI для портирования плагинов и тем оформления.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65121

https://www.opennet.ru/opennews/art.shtml?num=65121

Из курирующей LibreOffice организации TDF ...

2026-04-02T13:12:19+02:00

Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Организация The Document Foundation (TDF), курирующая разработку офисного пакета LibreOffice, https://www.collaboraonline.com/blog/tdf-ejects-its-core-developers/ из своих рядов всех сотрудников компании Collabora и партнёров. В последние дни марта из TDF исключено 43 участника (https://git.libreoffice.org/infra/documentfoundationorg/+/186ae7fad35c9b1f61fef1281b9385a09a26d31b%5E%21, https://git.libreoffice.org/infra/documentfoundationorg/+/de9c056d6d5aaa15875b47f71580f0528be0382e%5E%21, https://git.libreoffice.org/infra/documentfoundationorg/+/8f83ec6008a2c0bb86bc3b3c48fa72266a7f73e0%5E%21), среди которых ключевые разработчики и сооснователи LibreOffice. Исключены 7 из 10 https://github.com/LibreOffice/core/graphs/contributors разработчиков LibreOffice. Из оставшихся в TDF четырёх основателей трое не вовлечены в разработку основного кода. В 2025 году сотрудниками Collabora было https://www.collaboraonline.com/blog/collabora-productivity-contributions-in-libreoffice-26-2/ 45% от всех изменений в LibreOffice.

Итало Виньоли (Italo Vignoli), один из основателей организации Document Foundation, https://www.collaboraonline.com/blog/tdf-ejects-its-core-developers/, что участники из компании Collabora исключены в соответствии с недавно одобренным новым уставом, который не допускает наличие в организации сотрудников компаний, с которыми ведутся юридические разбирательства. Подобное требование введено с учётом того, что в прошлом участники принимали решения в интересах своих работодателей, а не в интересах Document Foundation.

Утверждается, что компания Collabora инвестирует ресурсы в собственный продукт, отличающийся от традиционных полнофункциональных офисных пакетов, таких как LibreOffice. В то время, как Document Foundation пытается действовать в интересах сообщества и фокусирует внимание на поддержании интереса к истинным свободным решениям, обеспечивающим цифровой суверенитет и позволяющим полностью контролировать свою инфраструктуру, приложения и документы.

В сложившейся ситуации, серия принятых в прошлом неверных решений привела к проблеме, представляющей значительный риск для проекта. Из-за этой проблемы организация Document Foundation может потерять статус благотворительной организации, что может привести к непредсказуемым последствиям. Рост пожертвований позволяет Document Foundation не зависеть от отдельных компаний и нанять дополнительных разработчиков. При этом исключение сотрудников Collabora из организации Document Foundation не обозначает удаление из сообщества, и данные сотрудники в частном порядке могут продолжать участие в разработке.

Майкл Микс (Michael Meeks), работающий в Collabora, https://www.collaboraonline.com/blog/tdf-ejects-its-core-developers/ неприемлемым удаление участников на основе коллективной ответственности и недоказанных юридических опасений. Майкт сравнил происходящее с погружением в трясину бесцельных политических претензий. Из вызывающих недовольство моментов в деятельности Document Foundation, упоминается заполнение управляющего совета зависимым и не вовлечённым в разработку персоналом, раздувание обвинений в прошлых конфликтах интересов, попытки конкурирования с крупнейшим участником разработки, трату пожертвований на судебные иски против безвинных энтузиастов и бывших членов управляющего совета по надуманным причинам, злоупотребления при проведении тендеров, выборочные претензии по использованию товарного знака LibreOffice при игнорировании явных случаев неправомерного использования.

Из планов Collabora отмечается создание нового упрощённого варианта офисного пакета https://www.opennet.ru/opennews/art.shtml?num=64333, который будет более удобен для обычных пользователей и не так перегружен возможностями, как классический Collabora Office. Упрощение и сокращение кодовой базы за счёт удаления излишних компонентов, таких как поддержка Java и инструменты работы с Web и БД, даст возможность ускорить продвижение инноваций и сократить число сборочных конфигураций.

Также компания Collabora объявила о создании https://gerrit.collaboraoffice.com/ для рецензирования изменений на базе Gerrit, которая позволит не нагружать инфраструктуру
Document Foundation новыми ветками и перейти на собственные инструменты разработки. При этом компания Collabora по мере необходимости продолжит вносить изменения в LibreOffice, но перестанет активно инвестировать в создание продуктов Document Foundation, от участия в управлении которыми была отстранена.

Конфликт между Document Foundation и Collabora https://www.opennet.ru/opennews/art.shtml?num=64868 с разработкой облачной редакции LibreOffice Online. В 2020 году компания Collabora для решения вопросов с брендингом и маркетингом создала форк LibreOffice Online и продолжила разработку в своём репозитории под именем Collabora Online (причиной стало то, что организация Document Foundation продвигала на странице LibreOffice Online продукты других компаний, которые почти ничего не вносили в разработку). В 2022 году совет директоров Document Foundation принял решение о заморозке проекта LibreOffice Online, так как все разработчики из сообщества переключились на новый проект и не нашлось желающих продолжить сопровождение старого репозитория.

В 2026 году новый совет директоров Document Foundation отменил решение о заморозке, посчитав, что прежнее голосование было проведено в условиях конфликта интересов. Воссоздание репозитория LibreOffice Online как форка нынешнего репозитория Collabora Online с ребрендингом всей работы Collabora https://community.documentfoundation.org/t/vote-revoke-votes-related-to-libreoffice-online-atticiziation-and-freezing-of-repository/13495/31 представителем Collabora как вандализм по отношению к проекту и нарушение сложившегося статуса кво, при котором признание заслуг разумно распределялось между двумя проектами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65122

https://www.opennet.ru/opennews/art.shtml?num=65122

Google, Apple и Mozilla опубликовали JetStream 3 ...

2026-04-02T13:12:18+02:00

Google, Apple и Mozilla опубликовали JetStream 3 для оценки производительности браузеров

https://blog.chromium.org/2026/03/jetstream-3-a-modern-benchmark.html https://browserbench.org/announcements/jetstream3/ для оценки производительности web-браузеров https://webkit-jetstream-preview.netlify.app/, нацеленный на тестирование производительности движков JavaScript и WebAssembly при выполнении типовых web-приложений, осуществляющих интенсивные вычисления. Для достижения объективных и независимых результатов проект развивается совместно разработчиками конкурирующих браузерных движков из Google, Apple и Mozilla. Код https://github.com/WebKit/Jetstream под лицензией BSD.

В новой версии учтены современные тенденции и изменения, произошедшие в Web с момента релиза JetStream 2 в 2019 году, а также актуализированы тесты для соответствия шаблонам работы реальных web-приложений и отражения реальной производительности, а не синтетических результатов под которые точечно оптимизированы браузерные движки.

В отличие от тестового набора
https://www.opennet.ru/opennews/art.shtml?num=60773, в JetStream 3 упор делается на измерение вычислительных возможностей, а не скорости отрисовки интерфейса и манипуляций с DOM.
JetStream 3 лучше отражает производительность браузерных игр, симуляторов физических процессов, базовой функциональности фреймворков, криптографических средств и сложных алгоритмов.

Значительно расширены возможности по тестированию WebAssembly (Wasm), реализована оценка таких расширенных возможностей WebAssembly, как обработка исключений, применение векторных SIMD-инструкций и задействование расширения https://github.com/WebAssembly/gc/blob/main/proposals/gc/Overview.md для выполнения проектов на языках со сборщиком мусора. Добавлены тесты для проверки производительности WebAssembly-приложений, собранных с использованием инструментариев J2CL, Dart2wasm, Kotlin/Wasm, Rust и .NET, и сгенерированных из кода на Java, Dart, Kotlin, Rust и C#.

Из используемых при тестировании WebAssembly новых видов нагрузки отмечается вычисление хэшей argon2, выполнение модели машинного обучения с использованием для оптимизации инструкций SIMD, генерация интерфейсов пользователя на языках Dart и Kotlin, выполнение SQLite3, запуск интерпретатора и runtime .NET, собранных в WebAssembly.

Добавлено 15 новых тестов JavaScript, среди которых 3D-движок Babylon.js, операции с эллиптическими кривыми ed25519, библиотека MobX, подсветка синтаксиса при помощи prismjs, несколько реализаций прокси, трассировка лучей, операции с файловой системой, 3D-симулятор поведения частиц Three.js, компиляция Typescript 5.9, проверка строк в validator.js и генерация страниц через React.

Для исключения влияния на результаты снижения частоты CPU между тестами и ввода/вывода в JetStream реализована упреждающая загрузка всех ресурсов до запуска тестов в браузере. Для снижения пикового потребления памяти и обеспечения кэширования ресурсы сохраняются в форме закодированных в URL блобов. Имеется возможность использования
JetStream для тестирования не только браузеров, но и обособленных движков, поставляемых отдельно, таких как https://v8.dev/docs/d8.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65123

https://www.opennet.ru/opennews/art.shtml?num=65123

Компания Apple опубликовала язык ...

2026-04-01T15:21:03+02:00

Компания Apple опубликовала язык программирования Swift 6.3

Компания Apple https://www.swift.org/blog/swift-6.3-released/ релиз языка программирования https://swift.org. Официальные сборки https://swift.org/download/#releases для Linux, Windows и macOS. Исходные тексты https://github.com/apple/swift под лицензией Apache 2.0.

Язык Swift сочетает лучшие элементы языков C и Objective-C, и предоставляет объектную модель, совместимую с Objective-C (Swift-код может смешиваться с кодом на С и Objective-C), но отличается использованием средств автоматического распределения памяти, контроля переполнения переменных и массивов, защитой от использования неинициализированных переменных и блокированием доступа к памяти после её освобождения, что значительно увеличивает надёжность и безопасность кода. Swift также предлагает множество современных методов программирования, таких как замыкания, обобщённое программирование, лямбда-выражения, кортежи и словарные типы, быстрые операции над коллекциями, элементы функционального программирования.

Pеализация Swift построена с задействованием технологий свободного проекта LLVM. Для обеспечения высокой производительности Swift-программы компилируются в машинный код, который https://www.apple.com/in/swift/ Apple до 2.6 раз быстрее Objective-C. Вместо сборщика мусора в Swift используются средства подсчёта ссылок на объекты. В поставку входит пакетный менеджер https://swift.org/package-manager/, предоставляющий инструменты для распространения модулей и пакетов с библиотеками и приложениями на языке Swift, управления зависимостями, автоматизированной загрузки, сборки и связывания компонентов.

Ключевые https://github.com/swiftlang/swift/blob/main/CHANGELOG.md#swift-63 в новой версии:

- Предложен первый официальный релиз Swift SDK для платформы Android, позволяющий использовать язык Swift для разработки приложений для Android, а также встраивать отдельные компоненты на Swift в существующие Android-приложения, написанные на Java и Kotlin.

- Добавлен атрибут "@c", позволяющий экспортировать написанные на Swift функции и перечисления (enum) для использования в коде на языке Си (генерируется заголовочный файл для Си с соответствующими объявлениями функций и определениями перечислений).

- Реализованы селекторы модулей, позволяющие явно указывать, из какого модуля использовать API, если несколько импортированных модулей предоставляют API с одинаковым именем.

import ModuleA
import ModuleB

let x = ModuleA::getValue() // вызов 'getValue' из ModuleA
let y = ModuleB::getValue() // вызов 'getValue' из ModuleB

- Добавлены новые атрибуты для управления оптимизациями, применяемыми компилятором: @specialize - специализация обобщённых (generic) API для часто используемых типов; @inline - inline-развёртывание функции по месту вызова; @export(implementation) - экспорт реализации функции в стабильный ABI библиотеки.

- Предложена предварительная реализация варианта сборочной системы https://github.com/swiftlang/swift-build, интегрированного в пакетный менеджер SwiftPM (Swift Package Manager).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65095

https://www.opennet.ru/opennews/art.shtml?num=65095

Основатель и лидер Ubuntu MATE объявил ...

2026-04-01T15:21:02+02:00

Основатель и лидер Ubuntu MATE объявил об уходе из проекта

Мартин Вимпрес (Martin Wimpress), сооснователь и лидер дистрибутива https://ubuntu-mate.org/, в 2019-2021 годах занимавший пост директора по разработке десктоп-систем в компании Canonical, https://discourse.ubuntu.com/t/ubuntu-mate-seeking-maintainers/79264, что его участие в проекте подходит к концу и он ищет разработчиков, готовых продолжить работу над дистрибутивом Ubuntu MATE и способных сопровождать в репозитории Ubuntu пакеты, связанные со средой рабочего стола MATE.

Отмечается, что Мартин не испытывает былого энтузиазма, у него поменялись интересы и больше нет времени уделять внимание проекту Ubuntu MATE. В связи с этим он хотел бы передать управление проектом разработчикам, у которых есть время и энергия для работы над Ubuntu MATE.

Ubuntu MATE всё ещё остаётся на ветке https://www.opennet.ru/opennews/art.shtml?num=55659, сформированной в 2021 году, https://ubuntu-mate.community/t/the-future-of-ubuntu-mate/30518 нерешённые проблемы и испытывает нехватку разработчиков. Выпуску Ubuntu MATE 26.04 решено не присваивать статус LTS, а публикация релиза находится под вопросом - несмотря на начало бета-тестирования Ubuntu 26.10, сборки бета-версии Ubuntu MATE 26.04 до сих пор http://cdimage.ubuntu.com/ubuntu-mate/releases/26.04/. Разработка среды рабочего стола MATE с весны 2024 года https://github.com/mate-desktop/mate-desktop/commits/master/ в стагнации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65101

https://www.opennet.ru/opennews/art.shtml?num=65101

Компрометация PyPI-пакета Telnyx ...

2026-04-01T15:21:02+02:00

Компрометация PyPI-пакета Telnyx

Разработчики VoIP-платформы Telnyx https://telnyx.com/resources/telnyx-python-sdk-supply-chain-security-notice-march-2026 пользователей о компрометации пакета https://pypistats.org/packages/telnyx в репозитории PyPI, насчитывающего 756 тысяч загрузок в месяц и предоставляющего SDK для обращения к API Telnyx из программ на языке Python. 27 марта атакующие https://github.com/team-telnyx/telnyx-python/issues/235 опубликовать два вредоносных выпуска telnyx 4.87.1 и 4.87.2, получив доступ к PyPI после захвата учётных данных сопровождающего. Вредоносные версии распространялись с 6:51 до 13:13 (MSK), после чего были заблокированы администрацией PyPI. Инфраструктура, API, голосовые сервисы и платформа Telnyx не пострадали.

Компрометация была произведена в ходе более масштабной https://en.wikipedia.org/wiki/Supply_chain атаки https://ramimac.me/teampcp/TeamPCP, в ходе которой на днях были скомпрометированы Python-пакеты https://www.opennet.ru/opennews/art.shtml?num=65065, а также https://checkmarx.com/blog/checkmarx-security-update/ вредоносный код в OpenVSX-дополнение Checkmarx и https://socket.dev/blog/canisterworm-npm-publisher-compromise-deploys-backdoor-across-29-packages вредоносный червь в 68 пакетов в репозитории NPM. Используемый для шифрования отправляемых данных RSA-ключ совпадал с ключами, применявшимися в других атаках группы TeamPCP.

В сформированные атакующими версии был
https://www.aikido.dev/blog/telnyx-pypi-compromised-teampcp-canisterworm вредоносный код, который был интегрирован в файл "_client.py" и активировался при импорте модуля. После активации с серверов атакующих загружался звуковой файл ringtone.wav для Unix-подобных систем и hangup.wav для Windows. Данные файлы успешно воспроизводились как звуковые, но содержали интегрированные при помощи https://ru.wikipedia.org/wiki/%D0%A1%D1%82%D0%B5%D0%B3%D0%B0%D0%BD%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F_%D0%B2_%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D1%8B%D1%85_%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F%D1%85 скрытые вредоносные обработчики.

На платформе Windows вредоносный обработчик сохранялся в систему как "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\msbuild.exe" и запускался при каждом входе.
В macOS и Linux осуществлялись поиск и отправка SSH-ключей, учётных данных, содержимого переменных окружения, токенов доступа к API, параметров подключения к облачным сервисам AWS, GCP, Azure и K8s, ключей от криптокошельков, паролей к СУБД и т.п. Обнаруженные данные шифровались с использованием алгоритмов AES-256-CBC + RSA-4096 и отправлялись HTTP POST-запросом на внешний хост.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65097

https://www.opennet.ru/opennews/art.shtml?num=65097

Утверждён стандарт C++26 Комитет ISO по ...

2026-04-01T15:21:01+02:00

Мобильная платформа ALT Mobile 11.0, ...

2026-04-01T15:21:00+02:00

Создан Euro-Office, форк ONLYOFFICE. Проект ...

2026-04-01T15:21:00+02:00

Скомпрометирован NPM-пакет axios, ...

2026-04-01T15:21:00+02:00

Утечка кода инструментария Claude Code ...

2026-04-01T15:20:59+02:00

Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

Компания Anthropic по недосмотру https://x.com/Fried_rice/status/2038894956459290963 в составе выпуска NPM-пакета https://www.npmjs.com/package/@anthropic-ai/claude-code полный необфусцированный и не очищенный от внутренних компонентов исходный код инструментария https://claude.com/product/claude-code на языке TypeScript. Код попал в релиз в составе https://tc39.es/ecma426/2024/ cli.js.map, применявшегося в ходе отладки. Для предотвращения подобных утечек разработчикам рекомендуется не забывать добавлять маску "*.map" в файл ".npmignore".

https://web.archive.org/web/20260331135338/https://pub-aea8527898604c1bbb12468b1581d95e.r2.dev/src.zip имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic https://github.com/github/dmca/blob/master/2026/03/2026-03-31-anthropic.md рассылку DMCA-уведомлений для блокирования репозиториев с утешим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху (DMCA).

В ходе анализа попавшей в открытый доступ информации было https://www.ccleaks.com/ 8 ещё не анонсированных новых возможностей, 26 скрытых команд, 32 сборочных флага, 22 приватных репозитория и более 120 конфиденциальных переменных окружения. Среди скрытых возможностей:

- Режим "Undercover", удаляющий следы участия AI при внесения изменений в публичные репозитории (не выставляет Co-Authored-By и не упоминает название модели и использование AI).

- "Пасхальное яйцо", предоставляющее пользователю своего виртуального питомца, который показывается рядом с командной строкой. Внешний вид и поведение питомца уникальны и формируются на основе идентификатора учётной записи.

- Флаг CLAUDE_CODE_COORDINATOR_MODE=1, включающая работу Claude Code в режиме координатора, который сам разбивает задачи на части, распределяет их выполнение между отдельными AI-агентами и сводит воедино результат.

- Межсессионный IPC-интерфейс, позволяющий отправлять сообщения в другие сеансы, запущенные на том же компьютере (подобие чата между AI-агентами).

- Проактивный режим работы (Proactive mode), включающий не привязанную к сеансам круглосуточную работу над кодом. Постоянно активный ассистент KAIROS, запоминающий состояние между сеансами.

- Фоновый режим (Daemon Mode), позволяющий использовать команду "claude --bg" для запуска сеансов и обработки промптов в фоновом режиме, с возможностью просматривать лог работы и переводить сеанс в активный режим.

- Режим ULTRAPLAN, создающий отдельный экземпляр в облаке для формирования плана работ по решению сложных задач.

- Режим Auto-Dream (/dream), в неактивное время между сеансами структурирует полученную в ходе сеансов информацию и генерирует идеи по решению задач и вырабатывает план действий.

- Для обхода внутреннего детектора утечек кодовое имя внутренней модели "capybara" закодировано как String.fromCharCode(99,97,112,121,98,97,114,97).

- Телеметрия Tengu, отслеживающая и передающая не серверы Anthropic более 1000 типов событий.

- Флаг ABLATION_BASELINE и переменная окружения CLAUDE_CODE_ABLATION_BASELINE для отключения всех мер обеспечения безопасности.

- Скрытые команды, не упоминаемые в справке "--help":

/ctx-viz - визуализатор контекста
/btw - дополнительные вопросы
/good-claude - "пасхальное яйцо"
/teleport - перенос сеансов
/share - совместный доступ к сеансам
/summary - сводка
/ultraplan - планирование работы
/subscribe-pr - PR webhook
/autofix-pr автоисправление PR
/ant-trace - трассировка
/perf-issue - отчёт о производительности
/debug-tool-call - отладочные вызовы
/bughunter - отладка ошибок
/break-cache - сброс кэша
/onboarding - настройка
/oauth-refresh - обновление токена
/env - инспектирование окружения
/reset-limits - сброс состояния лимитов
/version - внутренний номер версии
/init-verifiers - настройка верификатора
/force-snip
/mock-limits
/bridge-kick
/backfill-sessions
/agents-platform
/dream

- Недокументированные опции командной строки:

--bare - запуск без хуков и плагинов
--dump-system-prompt - вывод системного приглашения и выход
--daemon-worker=‹k› - задаёт число фоновых процессов
--computer-use-mcp - активирует MCP-сервер
--claude-in-chrome-mcp - Chrome MCP
--chrome-native-host
--bg - запуск фонового сеанса
--spawn
--capacity ‹n› - ограничение числа параллельно выполняемых обработчиков
--worktree / -w - изоляция рабочего дерева Git

Сборочные флаги:

KAIROS
PROACTIVE
COORDINATOR_MODE
RIDGE_MODE
DAEMON
BG_SESSIONS
ULTRAPLAN
BUDDY
TORCH
WORKFLOW_SCRIPTS
VOICE_MODE
TEMPLATES
CHICAGO_MCP
UDS_INBOX
REACTIVE_COMPACT
CONTEXT_COLLAPSE
HISTORY_SNIP
CACHED_MICROCOMPACT
TOKEN_BUDGET
EXTRACT_MEMORIES
OVERFLOW_TEST
TERMINAL_PANEL
WEB_BROWSER
FORK_SUBAGENT
DUMP_SYS_PROMPT
ABLATION_BASE
BYOC_RUNNER
SELF_HOSTED
MONITOR_TOOL
CCR_AUTO
MEM_SHAPE_TEL
SKILL_SEARCH

- Более 120 недокументированных переменных окружения, среди которых
DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (отключает все механизмы безопасности), DISABLE_INTERLEAVED_THINKING,

- Упоминание внутренних репозиториев, таких как anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests и anthropics/feldspar-testing.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65114

https://www.opennet.ru/opennews/art.shtml?num=65114

Выпуск дистрибутива Apertis 2026, ...

2026-04-01T15:20:59+02:00

Удалённо эксплуатируемые ...

2026-04-01T15:20:58+02:00

Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs

Во FreeBSD https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc уязвимость
(CVE-2026-4747), позволяющая через отправку сетевых пакетов к NFS-серверу добиться выполнения кода на уровне ядра. Проблема проявляется при использовании модуля kgssapi.ko, реализующего API RPCSEC_GSS на стороне ядра. Помимо ядра, уязвимость затрагивает приложения в пользовательском пространстве, использующие библиотеку librpcgss_sec и выполняющие функции RPC-сервера. Подобные приложения, которые не входят в состав базовой системы FreeBSD, также могут быть атакованы через отправку сетевых пакетов.

Проблема присутствует в реализации API GSS (Generic Security Services), позволяющего устанавливать защищённые аутентифицированные каналы связи с сервером. RPCSEC_GSS применяется в NFS-серверах для защиты доступа к Sun RPC с использованием аутентификации на базе Kerberos и шифрования трафика между сервером и клиентом. Проблема вызвана тем, что при проверке подписи данные из пакета копируются в фиксированный буфер без должной проверки соответствия размера. Ошибка проявляется на стадии до прохождения аутентификации, но требует возможности отправки сетевых пакетов NFS-серверу. Доступен https://github.com/califio/publications/blob/main/MADBugs/CVE-2026-4747/exploit.py, позволяющий удалённо запустить /bin/sh с правами root.

Уязвимость была выявлена сотрудником компании Anthropic при помощи AI-ассистента Claude. Примечательно, что сторонние исследователи из команды Calif https://blog.calif.io/p/mad-bugs-claude-wrote-a-full-freebsd Claude для написания рабочего эксплоита, передав в качестве информации лишь опубликованный проектом FreeBSD общий отчёт об уязвимости. Помимо непосредственной эксплуатации уязвимости AI-модель развернула виртуальную машину с уязвимой конфигурацией, настроила удалённую отладку и чтение crash-дампов ядра, а также организовала в эксплоите запуск /bin/sh, после того как добилась выполнения кода на уровне ядра. На создание эксплоита было потрачено 4 часа времени работы модели Claude.

Создавшие эксплоит исследователи не ограничились этим и продолжили эксперименты, https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude Claude для выявления уязвимостей в Vim и Emacs, позволяющих добиться выполнения своего кода при открытии в редакторах специально оформленных файлов. Примечательно, что https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim-claude-prompts.txt к модели сводились к примитивной постановке задачи, такой как "найди 0-day уязвимость в Vim, возникающую при открытии файла". В итоге модель Claude успешно нашла ранее не известные уязвимости.

https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh в Vim (CVE-2026-34714) вызвана ошибкой при обработке опции tabpanel во включённом по умолчанию режиме modeline (":set modeline"), предоставляющем возможности для определения опций редактирования в обрабатываемом файле. По задумке разработчиков Vim, через modeline допускается установка только ограниченного числа опций, выражения в которых выполняются в режиме sandbox, допускающем применение только простейших безопасных операций.

У опции tabpanel не был выставлен флаг P_MLE, что https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim.md использовать в ней выражение %{expr}, выполняемое без активации режима modelineexpr. Для обхода sandbox-изоляции использовалась недоработка в функции autocmd_add(), в которой отсутствовали должные проверки безопасности при привязке действия к событию SafeStateAgain, что позволяло организовать запуск команды после выхода из sandbox-изоляции. Уязвимость устранена в выпуске https://github.com/vim/vim/releases/tag/v9.2.0272. Пример строки, приводящей к запуску утилиты "id" и направления вывода в файл "/tmp/calif-vim-rce-poc":

/* vim: set showtabpanel=2 tabpanel=%{%autocmd_add([{'event'\:'SafeStateAgain','pattern'\:'*','cmd'\:'!id›/tmp/calif-vim-rce-poc','once'\:1}])%}: */

https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/Emacs.md в Emacs вызвана автоматической обработкой содержимого каталога .git/, когда он размещён в одном каталоге с открываемым файлом. В этом случае Emacs при открытии файла запускает команды "git ls-files" и "git status", выполняемые в контексте содержимого ".git/". Для организации выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации "config", включающим опцию "core.fsmonitor" с указанной атакующим командой для запуска. Сопровождающие GNU Emacs отказались устранять уязвимость, указав на то, что проблема в Git.

Дополнительно можно отметить ещё две уязвимости:

- https://github.com/libfuse/libfuse/security/advisories/GHSA-qxv7-xrc2-qmfx - обращение к памяти после её освобождения в io_uring-обработчике из библиотеки https://github.com/libfuse/libfuse/, потенциально позволяющее добиться выполнения кода при исчерпании доступных ресурсов во время работы с реализованными через FUSE (Filesystem in Userspace) файловыми системами.

- https://tukaani.org/xz/index-append-overflow.html - переполнение буфера в реализации функции lzma_index_append() из библиотеки liblzma. Проблема проявляется при использовании функции lzma_index_decoder() для декодирования индекса, не содержащего записей, и приводит к выделению буфера, размером меньше, чем необходимо. Отмечается, что низкоуровневый API lzma_index* используется в приложениях крайне редко и маловероятно, что найдутся приложения, в которых выполняются необходимые для эксплуатации условия работы с индексом. Уязвимость устранена в обновлении https://tukaani.org/xz/.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65118

https://www.opennet.ru/opennews/art.shtml?num=65118