Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI - системы сотрудников данной компании также были поражены вредоносным ПО в апреле после установки вредоносного релиза NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65484

Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 26

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Задействована новая система сборки на базе инструментария Chisel, позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.
• Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.
• Обеспечено выполнение требований европейского закона CRA (Cyber Resilience Act), который вводит юридическую ответственность за несоблюдение требований безопасности.
• Добавлена возможность применения технологии Livepatch для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.
• Обеспечена интеграция с инструментарием COS (Canonical Observability Stack), основанным на движке оркестровки Juju и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.
• Добавлена поддержка компонентов, позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.
• В Snapd REST API обеспечена совместимость со спецификацией OpenAPI.
• В дисплейный сервер Ubuntu Frame, позволяющий создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.
• Добавлена системная настройка interface.allow-auto-connection для определения правил автоматического подключения интерфейсов.
• Добавлена поддержка механизма Confdb для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.
• Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина.

OpenBSD 7.9 Released

The OpenBSD project has announced OpenBSD 7.9, its 60^th release.

The new release contains a number of significant improvements, including but certainly not limited to:

• MAXCPU value on OpenBSD/amd64 increased to 255 [See earlier report]
• Preparations for supporting 52 disk partitions [See earlier report]
• Introduced selective blocking of cores from the scheduler with sysctl hw.blockcpu [See earlier report]
• Delayed hibernation support on OpenBSD/amd64 laptops [See earlier report]
• On amd64, implemented delayed hiberation [See earlier report]
• Parallel fault handling enabled on amd64 and arm64 platforms
• drm(4) code updated to linux 6.18.16 [See earlier report]
• Added sysctl(8) machdep.vmmode to indicate status as a host or guest [See commit]
• Added vmboot (on amd64), a tiny kernel for booting SEV VMs, which allows sysupgrade(8) to work [See commit]
• Made OpenBSD run as a guest under Apple Hypervisor [See earlier report]
• Converted vmd(8)'s virtio scsi device to a subprocess [See earlier report]
• Added nhi(4), a driver for USB4 controllers, which allows modern laptops with AMD CPUs to reach the appropriate low power idle states during S0ix suspend. [See commit]
• Added basic implementation of the low-level FUSE API
• Improved sysugprade(8) handling of low disk space in /usr [See earlier report]
• fw_update(8) now checks dmesg(8) output in addition to dmesg.boot [See earlier report]
• On amd64, added support for loading kernels from the EFI system partition [See commit]
• The pledge(2) "tmppath" promise has been retired [See earlier reports]
• Enabled IPv6 autoconf [SLAAC] by default in installer [See commit]
• Private VLAN (PVLAN) support added to veb(4) [See commit]
• LACP support removed from trunk(4) [See earlier report]
• Multiple pf(4) enhancements:
  • Source and state limiters introduced [See earlier report]
  • Print both nat-to and rdr-to in pfctl -s rules
• Added httpd.conf(5) "no banner" configuration directive to suppress generation of "Server" header [See commit]
• In relayd(8), added support for PROXY protocol in TCP relays
• In acme-client(1), added support for IP Address certificates
• OpenBGPD 9.1 [See earlier reports on releases of versions 9.0 & 9.1]
• rpki-client 9.8 [See earlier reports on releases of versions 9.7 & 9.8]
• LibreSSL 4.3.1 [See earlier report]
• OpenSSH 10.3 [See earlier report]
  • Several security enhancements were added
  • Added ssh(1) escape ~I showing information about the current SSH connection [See commit]
• chromium (and derivatives) gained VA-API support [See earlier report]
• chromium (and derivatives) gained (Open) Widevine support support [See earlier report]

See the full changelog for more details of the changes made over this latest six month development cycle.

The Installation Guide details how to get the system up and running with a fresh install, while those who already run earlier releases should follow the Upgrade Guide, in most cases using sysupgrade(8).

Readers are encouraged to celebrate the new release by donating to the project to support further development of our favourite OS!

Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux

Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать ветку Azure Linux 3. Готовые сборки пока не предоставляются, но имеется инструкция по сборке. Специфичные для дистрибутива изменения поставляются под лицензией MIT.

При формировании дистрибутива вместо создания форка Fedora в Azure Linux 4 применён декларативный подход, позволяющий пересобирать RPM-пакеты с необходимыми изменениями и настройками из штатных репозиториев Fedora, используя конфигурационные файлы в формате TOML. Дополнительная функциональность определяется в форме оверлеев, позволяющих генерировать специфичные для Azure Linux spec-файлы пакетов на основе штатных SRPM-пакетов из Fedora Linux. Оверлеи определяют изменения, вносимые поверх пакетов Fedora, такие как дополнительные конструкции в spec-файлах, патчи и параметры сборки.

Пакетной единицей в Azure Linux 4 являются "компоненты" (исходный пакет), которые по большей части импортируются из Fedora через dist-git и могут формировать один или несколько RPM-пакетов. Все компоненты собираются из исходного кода, бинарные пакеты из Fedora не переносятся. Для генерации результирующих RPM-пакетов на основе оверлеев применяется инструментарий azldev, написанный на языке Go и поставляемый под лицензией MIT.

Из особенностей Azure Linux 4 отмечается поставка ядра Linux с дополнительными оптимизациями, защита от атак через зависимости (supply chain), предсказуемый цикл поддержки и выпуска обновлений, встроенные возможности для интеграции с облаком Azure, изменения для усиления безопасности. Система сборки Azure Linux позволяет генерировать как установочные окружения с RPM-пакетами, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа.

Из применяемых в Azure Linux мер по повышению безопасности:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
• Поставка минимально необходимых пакетов, без активации лишних сервисов.

Выпуск fheroes2 1.1.16, открытого движка Heroes of Might and Magic 2

Основные изменения:

• Прокладка дорог и рек теперь поддерживает рисование кистью с зажатой левой кнопкой мыши.
• Добавлена возможность передвигать и копировать мышью объекты на карте.
• В настройках объекта "Великий Артефакт" можно выбрать, какие именно артефакты может получить герой при раскопках.
• Неинтерактивные объекты можно размещать частично за пределами границ карты.
• Исправлена анимация разворота героя на карте приключений.
• Закрыто свыше 20 уведомлений об ошибках и предложений по улучшению проекта.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65478

Тридцатиградусная жара, адская вонь набережных, особенно у газпромовских строек, где, кажется, расчленили и оставили разлагаться тушки детёнышей Ктулху или Дагона, целые автобусы приезжих разных рас и континентов рядом с центрами легализации, люди в МАСАЧКАХ, надутые девки из администрации, красующиеся у ненастоящей ратуши с пластиковыми колоннами (напротив такой же ненастоящий сквер и ненастоящий жилой дом с ненастоящими жильцами), какой-то загаженный центр, весь перекрытый мусорными баками, авторитетными мигалками, с ремонтами и перекрытиями через каждые сто метров (не помню, чтобы раньше перекрывали всю улицу для прохода), приезжие из Самарканда, удивляющиеся тому, что до перехода к реке надо идти пару километров по жаре.

#ЛенинградНутряной

PinTheft - шестая уязвимость класса Copy Fail, предоставляющая права root в Linux

Уязвимость присутствует в реализации сетевого протокола RDS (Reliable Datagram Sockets), предназначенного для высокоскоростного обмена сообщениями между узлами в кластере, с минимальной задержкой и гарантированной доставкой. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0) и ядром, собранным с опциями CONFIG_RDS, CONFIG_RDS_TCP и CONFIG_IO_URING. Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root.

Для автоматической загрузки модуля ядра rds_tcp эксплоит запрашивает отправку данных через RDS с использованием транспорта SO_RDS_TRANSPORT=2. Отмечается, что среди протестированных дистрибутивов Linux в конфигурации по умолчанию модуль ядра rds предоставляется только в Arch Linux. Для блокирования уязвимости обходным путём можно заблокировать автозагрузку модулей ядра rds и rds_tcp:

   rmmod rds_tcp rds
   printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции rds_message_zcopy_from_user(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. В случае сбоя не производилась очистка поля rm->data.op_nents, из-за чего выполнялось двойное освобождение буфера (double-free). Появление некорректного значения в счётчике ссылок удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на фиксированный буфер io_uring.

В остальном механизм эксплуатации типичен для всех уязвимостей данного класса - атакующий добивается оседания файла программы с флагом suid root в страничном кэше, после чего подставляет в ELF-заголовок код для запуска /usr/bin/sh. После данной манипуляции запуск программы приводит к загрузке в память не оригинального исполняемого файла с накопителя, а изменённой копии из страничного кэша. В отличие от прошлых эксплоитов, новый вариант адаптирован для только для атаки на утилиту "su", но и может применяться при наличии в системе таких suid-программ, как mount, passwd, chsh, newgrp, umount и pkexec.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65476

IncidentRelay - открытая система для организации дежурств и маршрутизации оповещений

IncidentRelay принимает события из систем мониторинга, сопоставляет их с правилами маршрутизации и доставляет уведомления ответственным дежурным или командам. В системе реализованы расписания дежурств, ротации, переопределения смен, подтверждение получения инцидента, перевод инцидента в resolved, напоминания, эскалации и silences для подавления известных или плановых срабатываний.

Поддерживается приём событий из Prometheus Alertmanager, Zabbix и произвольных webhook-ов. Для отправки уведомлений предусмотрены каналы Mattermost, Telegram, email, webhook и голосовые провайдеры. В Mattermost и Telegram уведомления могут содержать действия для подтверждения и решения проблемы, что позволяет обрабатывать инцидент без перехода в отдельный интерфейс.

В IncidentRelay предусмотрена модель разделения доступа по группам и командам. Это позволяет разграничить видимость расписаний, маршрутов, каналов уведомлений и алертов между различными командами. Для автоматизации доступен HTTP API, а для интеграций используются bearer-токены и route-токены.

Проект может применяться как промежуточный слой между системами мониторинга и каналами уведомлений: Alertmanager или Zabbix отправляет событие в IncidentRelay, после чего система определяет команду, текущего дежурного, применяет правила маршрутизации и отправляет уведомление в нужный канал. Для неподтверждённых инцидентов могут выполняться повторные напоминания и эскалация на следующего участника ротации.

OpenBSD 7.9 Released

The OpenBSD project has announced OpenBSD 7.9, its 60^th release.

The new release contains a number of significant improvements, including but certainly not limited to:

• MAXCPU value on OpenBSD/amd64 increased to 255 [See earlier report]
• Preparations for supporting 52 disk partitions [See earlier report]
• Introduced selective blocking of cores from the scheduler with sysctl hw.blockcpu [See earlier report]
• Delayed hibernation support on OpenBSD/amd64 laptops [See earlier report]
• On amd64, implemented delayed hiberation [See earlier report]
• Parallel fault handling enabled on amd64 and arm64 platforms
• drm(4) code updated to linux 6.18.16 [See earlier report]
• Added sysctl(8) machdep.vmmode to indicate status as a host or guest [See commit]
• Added vmboot (on amd64), a tiny kernel for booting SEV VMs, which allows sysupgrade(8) to work [See commit]
• Made OpenBSD run as a guest under Apple Hypervisor [See earlier report]
• Converted vmd(8)'s virtio scsi device to a subprocess [See earlier report]
• Added nhi(4), a driver for USB4 controllers, which allows modern laptops with AMD CPUs to reach the appropriate low power idle states during S0ix suspend. [See commit]
• Added basic implementation of the low-level FUSE API
• Improved sysugprade(8) handling of low disk space in /usr [See earlier report]
• fw_update(8) now checks dmesg(8) output in addition to dmesg.boot [See earlier report]
• On amd64, added support for loading kernels from the EFI system partition [See commit]
• The pledge(2) "tmppath" promise has been retired [See earlier reports]
• Enabled IPv6 autoconf [SLAAC] by default in installer [See commit]
• Private VLAN (PVLAN) support added to veb(4) [See commit]
• LACP support removed from trunk(4) [See earlier report]
• Multiple pf(4) enhancements:
  • Source and state limiters introduced [See earlier report]
  • Print both nat-to and rdr-to in pfctl -s rules
• Added httpd.conf(5) "no banner" configuration directive to suppress generation of "Server" header [See commit]
• In relayd(8), added support for PROXY protocol in TCP relays
• In acme-client(1), added support for IP Address certificates
• OpenBGPD 9.1 [See earlier reports on releases of versions 9.0 & 9.1]
• rpki-client 9.8 [See earlier reports on releases of versions 9.7 & 9.8]
• LibreSSL 4.3.1 [See earlier report]
• OpenSSH 10.3 [See earlier report]
  • Several security enhancements were added
  • Added ssh(1) escape ~I showing information about the current SSH connection [See commit]
• chromium (and derivatives) gained VA-API support [See earlier report]
• chromium (and derivatives) gained (Open) Widevine support support [See earlier report]

See the full changelog for more details of the changes made over this latest six month development cycle.

The Installation Guide details how to get the system up and running with a fresh install, while those who already run earlier releases should follow the Upgrade Guide, in most cases using sysupgrade(8).

Readers are encouraged to celebrate the new release by donating to the project to support further development of our favourite OS!

Выпуск ForgeZero 1.9.0, инструмента сборки для C и ассемблера

ForgeZero определяет тип файла и автоматически выбирает необходимый бэкенд. Каждый файл с кодом собирается в объектный файл, после чего выполняется проверка дублирующихся глобальных символов во всех объектах и осуществляется компоновка в единых исполняемый файл. Скомпилированные файлы кэшируются и повторно пересобираются только после внесения изменений в связанные с ними файлы с кодом. Возможно опциональное отслеживание изменений в ФС и пересборка после обновления файлов с кодом.

Поддерживаются компиляторы GCC, Clang, G++, Clang++; ассемблеры NASM, GAS, FASM; компоновщики LD, GCC, Clang; архиватор AR. Обязательные предупреждения для C и C++: "-Wall -Wextra -Werror -Wpedantic -Wshadow -Wconversion". По умолчанию включены санитайзеры AddressSanitizer и UndefinedBehaviorSanitizer (отключаются флагом -sanitize=false). Поддерживаются платформы Linux, macOS, Windows (WSL2 и экспериментально нативно).

Основные изменения в версии 1.9.0:

• Добавлен флаг "-target" ‹triple›, позволяющий выполнять кросс-компиляцию для произвольной архитектуры при наличии соответствующего префиксного инструментария. fz самостоятельно определяет имена компилятора, компоновщика и архиватора по указанному идентификатору (например, "arm-linux-gnueabihf-gcc"). Поддерживаются любые стандартные целевые платформы GNU, в том числе arm-linux-gnueabihf, aarch64-linux-gnu и riscv64-linux-gnu.
• Реализована поддержка поддержка протокола LSP (Language Server Protocol). Флаг "-compile-commands" генерирует файл compile_commands.json (Compilation Database) в корне проекта. Файл считывается языковыми серверами clangd и ccls, обеспечивая работу автодополнения, навигации по коду и диагностики в редакторах с поддержкой LSP (Neovim, VSCode, CLion, Emacs и др.).
• Команда fz "-update" перед установкой новой версии теперь сохраняет текущий бинарный файл в /usr/local/bin/fz.old, что позволяет откатиться к предыдущей версии без переустановки.
• Устранена ошибка, при которой в мультидиректорных проектах файлы с одинаковыми базовыми именами из разных подкаталогов перезаписывали объектные файлы друг друга. Имена объектных файлов теперь формируются на основе полного относительного пути к исходному файлу.
• Реализован интерактивный режим "fz -shell" для сборки одиночных файлов.
• Добавлено тестовое покрытие для команд SplitCommand, CmdSet и CmdBuild. Покрытие тестами пакета компоновщика увеличено с 17% до 60%, а покрытие всех пакетов превысило 40%.
• Добавлен механизм подмены CheckTool для тестирования сценариев с отсутствующими компонентами тулчейна.

Изменения предыдущих выпусков:

• В версии 1.8.0 реализована сборка статических библиотек (-type static / -lib), обеспечена уникальность имён объектных файлов в мультидиректорных проектах, исправлены ошибки в подсистеме сборки, связанные с обходом пути "..".
• В версии 1.7.0 добавлена параллельная компиляция (-j N, 0 — автоопределение числа ядер), поддержка линкер-скриптов (-T) и адреса точки входа (-Ttext), интерактивный режим (fz -shell), явный выбор формата вывода (elf32, elf64, bin), компиляция файлов C++ (.cpp, .cc, .cxx) с теми же строгими флагами предупреждений, что и для C.
• В версии 1.6.0 добавлены инициализация проекта (fz -init, создаёт .fz.yaml, .fzignore, README.md), поддержка формата bin (-format bin) для загрузчиков и прошивок, конфигурационные поля libs, flags.cc, flags.asm, flags.ld.
• В версии 1.5.0 реализованы множественные директории источников (source_dirs), явные списки файлов (source_files), шаблоны include/exclude, поле libs для библиотек компоновщика, файл .fzignore, многоуровневое слияние конфигурационных файлов.

DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux

CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию внутри эксплоита, в нём используется уязвимость CVE-2026-31635, исправление для которой было принято в ядро в апреле и вошло в состав ветки 7.0.0 и сформированного 18 апреля выпуска 6.18.23. Проблема проявляется начиная с ядра 6.16.

Как и в случае с серией уязвимостей Dirty Frag новая уязвимость присутствует в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Проблема вызвана ошибкой при проверке размера данных в функции rxgk_verify_response() - вместо проверки "if (auth_len › len)" в коде было указано "if (auth_len ‹ len)", что приводило к передаче в функцию rxgk_decrypt_skb() данных с размером, больше допустимого. При выполнении функции rxgk_decrypt_skb() расшифровка данных осуществлялась с подстановкой изменений напрямую в страничный кэш для исключения лишней буферизации. Из-за неверной проверки размера возникала возможность перезаписи данных в страничном кэше по выбранному смещению.

Эксплуатация уязвимости сводится к чтению файла программы с флагом suid root (для его оседании в страничном кэше) и замене в страничном кэше части кода программы кодом для запуска /usr/bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполнядолжен бытьемый файл с накопителя, а изменённая копия из страничного кэша. В качестве suid-программ в эксплоите предусмотрена возможность использования "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" и "/usr/bin/chsh".

Для эксплуатации уязвимости при сборке ядра должна быть активна опция CONFIG_RXGK, а для автозагрузки доступен модуль ядра rxrpc.ko (в некоторых системах он не собирается). Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модуля ядра rxrpc:

   sh -c "printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"

Дополнительно можно отметить публикацию в списке рассылки разработчиков ядра Linux патчей, полностью отключающих в crypto API (AF_ALG) оптимизации, использующие прямое обращение к страничному кэшу при расшифровке с использованием алгоритмов "skcipher" и "aead". Оптимизации исключают лишнюю буферизацию данных, но создают риски возникновения серьёзных уязвимостей. Предполагается, что их отключение приведёт лишь к незначительному снижению производительности из-за появления дополнительной операции копирования в отдельный буфер. Патчи приняты сопровождающим подсистему crypto API и включены в ветку "cryptodev", в которой развиваются возможности для передачи в основной состав будущих выпусков ядра Linux.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65473

Релиз MyCompany 6.2, открытой платформы для автоматизации малого бизнеса

Основные изменения:

• В производственном модуле появилась система управления рабочими центрами и рабочими заданиями. Рабочие центры описывают производственные участки, а рабочие задания привязываются к производственным заказам и хранят назначенный рабочий центр, плановые дату и время начала и длительность. Добавлен интерактивный дашборд загрузки рабочих центров, на котором планировщик видит загрузку по дням и участкам и может корректировать длительность заданий. Для рабочих заданий реализован цикл статусов «Готово» -> «В работе» -> «Выполнено» с действиями перехода (в том числе массовыми), цветовой подсветкой, фильтрами по статусу, дате, рабочему центру и товару, мультивыбором, историей и комментариями.
• В спецификациях (BoM) появились производственные операции с указанием рабочего центра, времени начала и длительности. Рабочие задания теперь автоматически формируются из операций спецификации при пересчёте строк производственного заказа, включая операции вложенных промежуточных спецификаций, с сохранением связи с исходной спецификацией. Операции и рабочие задания копируются вместе со спецификациями и производственными заказами, а операции можно копировать из других спецификаций прямо на вкладке «Операции». Для компонентов спецификации добавлен поиск по товару и штрихкоду.
• Автозаполнение заказа на закупку теперь учитывает не только потребность отгрузок, но и потребность в материалах для производства. Заказы на закупку можно создавать сразу из выбранных производственных заказов — по ещё не закупленным материалам, с группировкой по поставщику. Служебные затраты из счетов поставщиков можно распределять не только между строками счёта, но и на производственные заказы (по сумме, весу, объёму, количеству и т.п.). В производственном заказе можно вручную указать строку заказа на продажу, а в типе производственного заказа появилась опция увеличения доступного остатка за счёт планового выпуска для заказов в статусах «Ожидание», «Готово» и «В работе». Для типов заказов на продажу и закупку добавлены настраиваемые ограничения на закрытие — пока заказ не полностью отгружён/получен или не оплачен.
• В расчётные листки добавлены типы (например, обычный, премия, аванс) с собственной нумерацией для каждого типа. При формировании пакета расчётных листков выполняется проверка того, что все сотрудники принадлежат компании пакета. Реализована история часовых ставок сотрудников с датами вступления в силу: расчёты за прошлые периоды используют корректные исторические ставки, а ставка для записей времени выбирается по приоритету (назначение на проект -> команда -> историческая ставка сотрудника -> базовая ставка). В карточку сотрудника добавлен блок вложенных файлов (договоры, сканы, сертификаты) и отдельное действие смены пароля вместо встроенного поля.
• В табеле руководителя список сотрудников ограничен активными сотрудниками выбранного проекта; сотрудники с записями времени за период отображаются всегда. В детализации по сотруднику и дате можно скопировать существующую запись времени и создать на её основе новую.
• Реализована поддержка корректировок счетов поставщиков двух типов: «замена» — счёт отражает итоговое исправленное состояние документа, и «разница» — счёт отражает только отклонение от исходного. Добавлен отчёт «Платёжный календарь» с динамикой задолженности по дням, прогнозом остатка денежных средств, разбивкой по типу и партнёру, drill-down к задолженностям и графиком прогноза. Реализован импорт платежей (EnterpriseData). При изменении общей суммы счёта поставщика или счёта на оплату цены строк автоматически пересчитываются. Для заказов и счетов добавлен явный признак включения налога в цену. В тип счёта поставщика добавлен товар по умолчанию, который подставляется в новые строки. Для типа счёта-фактуры добавлена опция, управляющая созданием плановой или фактической отгрузки.
• В CRM добавлен модуль маркетинга для отслеживания источников лидов по измерениям «Кампания», «Канал» и «Источник» — новые поля доступны в карточке и списке лидов, а отчёты по лидам расширены маркетинговыми разрезами; часть значений каналов и источников заполняется по умолчанию. В лид добавлено поле «Товар»: при создании заказа на продажу из такого лида автоматически создаётся строка заказа с указанным товаром и суммой, равной ожидаемой выручке.
• Добавлен отчёт по ценам с возможностью сравнения цен на две даты, цветовой индикацией изменений, фильтром по типам цен и отображением остатков на выбранном складе. В форму автопарка по каждому транспортному средству выведены последние договоры и данные о техобслуживании в разрезе типов. В систему встроен просмотрщик документации в формате Markdown с историей навигации и автоматическим выбором языка. В формы отгрузок, приходов, счетов поставщиков, счетов и заказов добавлены поле и фильтры по коду партнёра, а к счетам партнёров — поле ответственного сотрудника.

Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода

GenCAD - генератор моделей для САПР на основе изображений и эскизов

К обсуждению проекта подключился энтузиаст, который заявил, что создание моделей для САПР может осуществляться без специализированных моделей машинного обучения, используя обычные AI-ассистенты, такие как Aider, OpenClaw и QwenCode, с типовыми AI-сервисами. В качестве примера опубликована коллекция промптов, позволяющих на основе описания, перечня желаемых характеристик и изображений с визуальными примерами генерировать программы для платформы OpenSCAD, формирующие CAD-модели в формате STL или OFF с параметризованной конфигурацией.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65470

Суровые жители города Госрезерва настолько суровы, что даже Озон у них работает в режиме автолавки, и других магазинов нет. Несмотря на то, что госрезерв вряд ли хранит какой-то хлебный резерв на крайний случай, а территория давно окружена новостройками и вссякими псевдомедицинскими и псевдорегилигиозными центрами и явно просится под застройку, аборигены до сих пристально следят за туристами, и шансов пройти незамеченным посетителям городка не оставляют. Необычные двухэтажные сарайчики с двускатными крышами хранят неизвестные артефакты для таинственных фестивале. Вокруг в уничтоженных садоводствах стоят загаженные сараи и теплицы, цветут покинутые сады.
Водопадики Каменки доживают последние дни, уже размеченные под очередную стройку. Карьеры с бесчисленными островами неподалёку служат пристанищем для сотен чаек, чьи крики разносятся далеко над водой при прохождении очередного сап-сёрфера, а ароматные шашлычные дымы застилают горизонт, который можно разглядеть лишь с ближайшего мусорного террикона.

#ленинграднутряной

Выпуск Phosh 0.55.0, GNOME-окружения для смартфонов

Среди изменений:

• Добавлен новый компонент syncbus с реализацией сервера для доступа через D-Bus к функциональности P2P-системы синхронизации файлов Syncthing. На базе библиотеки Adwaita подготовлен начальный прототип мобильного клиента для Syncthing. Код написан на Rust.
• В блок быстрых настроек добавлена кнопка для включения и отключения синхронизации файлов через Syncthing.
• Добавлен интерфейс phosh-first-boot, вызываемый во время первой загрузки для создания пользователя и настройки его окружения. Код написан на Rust.
• На устройствах без датчика освещённости отключена функциональность автоматического изменения яркости и затемнения экрана.
• В композитном сервере Phoc задействованы Wayland-протоколы: "xdg-dialog" для создания модальных диалогов, блокирующих взаимодействие пользователя с остальной частью интерфейса, и ext-data-control-manager-v1 для реализации менеджера буфера обмена. Улучшена реализация модальных диалогов, используя Wayland-протоколы xdg-dialog-v1 и gtk-shell. Добавлен отступ при мозаичной компонентов слева или справа. Улучшена обработка операций сброса GPU.

  Осуществлён переход на выпуск библиотеки wlroots 0.20, в котором реализована поддержка определения цветового представления Wayland-поверхности, управления цветом и использования HDR при помощи протоколов color-representation-v1 и color-management-v1 при использовании бэкенда отрисовки через API Vulkan. Добавлена поддержка Wayland-протоколов cursor-shape-v1 для настройки внешнего вида курсора, ext-workspace-v1 для использования концепции виртуальных рабочих столов и xdg-toplevel-tag-v1 для идентификации окон/поверхностей через привязку тегов.

• В конфигураторе phosh-mobile-settings добавлена новая панель с настройками языка. В настройки экранной клавиатуры добавлена опция для автоматической подстановки пробелов.
• Виджет выбора файлов pfs (Phosh File selector) обновлён до версии 0.1, в которой реализована поддержка закладок. В xdg-desktop-portal-phosh добавлен портал для добавления и использования закладок на файлы и каталоги.
• В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка дисплейных панелей устройств MacBook 14 M1 Pro (2021), MacBook 14 M2 Pro (2023) и Xiaomi Redmi Note 10 Pro.
• Осуществлён переход на компоненты GNOME 50. Обновлены версии зависимостей: ModemManager 1.25.95, wys 0.1.12, callaudiod 0.1.10, Calls 50.0, cellbroadcastd 0.0.3, feedbackd 0.8.9, feedbackd-device-themes 0.8.9, iio-sensor-proxy 3.9, mmsd-tng 2.6.4.

Размер кодовой базы KDE достиг 8 млн строк кода

16.2% от актуального кода приходится на KDE PIM (Personal Information Management), 15.8% на KDE Plasma, 14% - KDE Frameworks, 9.6% - KOffice/Caligra.

Линус Торвальдс раскритиковал приватный разбор отчётов об уязвимостях, созданных через AI

Список рассылки "security@kernel.org" является закрытым и сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать отчёты, отправленные другими участниками, и их обсуждение разработчиками ядра. Приватный разбор созданных через AI-инструменты проблем признан пустой тратой времени, как для сопровождающих, тратящих ресурсы на отсеивание дубликатов, так и для разработчиков, впустую анализирующих проблемы, о которых уже сообщил кто-то другой.

В связи с этим предписано сообщать об уязвимостях, выявленных при помощи AI, только через публичные списки рассылки, за исключением особо критических проблем. Исследователям безопасности рекомендуется не заниматься бездумной переотправкой того, что выдаёт AI-ассистент, а проанализировать проблему, убедиться в её существовании, изучить документацию по отправке отчётов об ошибках, подготовить патч и тщательно проверить, не исправлена ли уже проблема в актуальной кодовой базе ядра, чтобы сопровождающие не отвлекались на написание ответов о том, что проблема уже исправлена неделю или месяц назад.

По мнению Линуса AI-инструменты великолепны, но только когда действительно помогают, а не создают лишнюю головную боль и бессмысленную имитацию работы. Использование AI-инструментов при разработке ядра допустимо, но так, чтобы это приводило к результату и делало работу приятнее.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65467

ModuleJail для блокировки неиспользуемых модулей ядра Linux

В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется под лицензией GPLv3.

Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл /etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобны подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.

При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65466

@vovanium @Revertron @ag причём книга жалоб - это вообще крайний случай. Отрицательная обратная связь, что всё плохо.
А чаевые - положительная обратная связь.

Суровые жители города Госрезерва настолько суровы, что даже Озон у них работает в режиме автолавки, и других магазинов нет. Несмотря на то, что госрезерв вряд ли хранит какой-то хлебный резерв на крайний случай, а территория давно окружена новостройками и вссякими псевдомедицинскими и псевдорегилигиозными центрами и явно просится под застройку, аборигены до сих пристально следят за туристами, и шансов пройти незамеченным посетителям городка не оставляют. Необычные двухэтажные сарайчики с двускатными крышами хранят неизвестные артефакты для таинственных фестивале. Вокруг в уничтоженных садоводствах стоят загаженные сараи и теплицы, цветут покинутые сады.
Водопадики Каменки доживают последние дни, уже размеченные под очередную стройку. Карьеры с бесчисленными островами неподалёку служат пристанищем для сотен чаек, чьи крики разносятся далеко над водой при прохождении очередного сап-сёрфера, а ароматные шашлычные дымы застилают горизонт, который можно разглядеть лишь с ближайшего мусорного террикона.

#ленинграднутряной

@Revertron@zhub.link @fili@mastodon.moscow @ag@zhub.link Зачем такая длинная цепочка обратной связи? Простая схема «ты что-то сделал кому-то хорошо — тебя этот кто-то вознаградил» работает гораздо лучше.

Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine

При запуске Adobe Lightroom CC отображает синхронизированный с облаком каталог и позволяет использовать модуль редактирования с панелью инструментов (освещение, цвета, эффекты, геометрия, оптика, детализация и т.п.). Среди прочего работают инструменты кадрирования/изменения геометрии и удаления/восстановления объектов, что позволяет, например, выровнять горизонт и удалить случайно попавших в кадр людей. Из ещё неработающих возможностей отмечены аварийные завершения при попытке открытия некоторых диалогов, таких как "What's New", и не полное задействование средств для ускорения операций при помощи GPU. В остальном основные функции редактирования работоспособны.

Изменения подготовлены автономно моделью Claude Opus 4.7, используемой через AI-ассистент Claude Code. Модель циклично запускала Adobe Lightroom CC при помощи Wine, анализировала crash-дапмы и логи Wine, изучала исполняемые файлы Adobe при помощи winedump, objdump и разбор сктруктур в формате PE, сравнивала эталонные и предоставляемые в Wine и Proton библиотеки для выявления недостающих функций, модифицировала исполняемые файлы, создавала DLL с заглушками и выполняла проверку работы через анализ скриншотов.

Ну что ж, с первой парной баней в электричке!

Выпуск системы тестирования памяти Memtest86+ 8.10

Основные новшества:

• Добавлен опционально включаемый тёмный режим интерфейса.
• Реализована поддержка новых моделей CPU AMD и Intel.
• Ускорено определение многоядерных CPU.
• Добавлен вывод информации с датчиков температуры памяти DDR5.
• Решены проблемы с проверкой разогнанной памяти DDR5 XMP 3.0 (Extreme Memory Profile).
• Улучшена поддержка шаблонов BadRAM для исключения дефектных областей памяти из адресного пространства.
• Улучшено определение SPD (Serial Presence Detect) на старых чипах ICH (I/O Controller Hub).
• Улучшена поддержка консоли VTxxx.
• Улучшена поддержка архитектуры Loongson.
• Добавлена поддержка сборки с использованием компилятора CLang и компоновщика LLD.
• Обеспечена сборка единого исполняемого файла для UEFI и старых методов загрузки.

На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Windows 11 и AI-агентов

Суммарный размер выплаченных вознаграждений составил более $1.2 миллиона долларов США ($1,298,250). Наиболее успешная команда DEVCORE сумела заработать на соревнованиях 505 тысяч долларов США. Обладатели второго места (STARLabs SG) получили 242 тысяч долларов, а третьего (Out Of Bounds) - 95 тысяч долларов.

Осуществлённые атаки:

• Red Hat Enterprise Linux: 4 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения, состоянием гонки и использованием неинициализированной памяти. Участникам выплачено $20,000, $10,000, $7,000 и $5,000.
• Windows 11: 5 успешные атаки, позволившие получить права администратора. Уязвимости вызваны целочисленным переполнением, переполнением буфера, обращением к памяти после освобождения и некорректным управлением доступом. Участникам выплачено $30,000, две премии по $15,000 и две премии по $7,500.
  
  
  
• VMware ESX: атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено $200,000.
• NV Container Toolkit: 2 успешные атаки, позволившие обойти изоляцию контейнера. Проблемы вызваны обращением к памяти после освобождения. Участникам выплачено $25,000 и $50,000
  
  
  
• Microsoft Edge: Удалённое выполнение кода c обходом sandbox. Участникам выплачено $175,000.
• Microsoft SharePoint: Удалённое выполнение кода. Участникам выплачено $100,000.
• Microsoft Exchange: Удалённое выполнение кода с правами SYSTEM. Участникам выплачено $200,000.
  
  
  
• OpenAI Codex: 4 успешных взлома. Выплачено: $40,000, две премии по $20,000 и $10,000.
• NVIDIA Megatron Bridge: 4 успешных взлома. Выплачено: $20,000, две премии по $10,000, $2,500.
• Anthropic Claude Code: 3 успешных взлома. Выплачены три премии по $20,000.
• LM Studio: 2 успешных взлома. Выплачено: $40,000 и $20,000.
• Cursor: 2 успешных взлома. Выплачено: $30,000 и $15,000.
• LiteLLM: 3 успешных взлома. Выплачено: $17,750, $40,000 и $8,000.
• Chroma: Один взлом, выплачено $20,000.
• Ollama: Один взлом, выплачено $28,000.
• Anthropic Claude Desktop: Один взлом, выплачено $10,000.

Кроме вышеотмеченных успешных атак, 7 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома VMware ESXi, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux, Firefox, OpenAI Codex, Oracle Autonomous AI Database, NV Container Toolkit.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65464

Новые версии Debian 12.14 и 13.5

Для загрузки и установки "с нуля" в ближайшие часы будут подготовлены установочные сборки c Debian 13.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.5, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.

Одновременно доступен новый выпуск предыдущей стабильной ветки Debian 12.14, в который включено 99 обновлений с устранением проблем со стабильностью и 145 обновлений с устранением уязвимостей. Обновлены до свежих стабильных версий пакеты 7zip, apache2, arduino-core-avr, dpkg, openssl, postgresql-15, wireless-regdb. Удалены пакеты suricata (актуальная версия имеется в бэкпортах) и zulucrypt (остался без сопровождения и имеет неустранённые уязвимости).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65462

Правильное краеведение от Алексея Глухова!

#ЛенинградНутряной

Модель угроз и особенности оценки уязвимостей в ядре Linux

Основную массу связанных с безопасностью ошибок предписывается обрабатывать публично, чтобы привлечь максимально широкую аудиторию и найти оптимальное решение. В отдельный приватный список рассылки предлагается отправлять только экстренные сообщения об уязвимостях, легко эксплуатируемых, представляющих угрозу для многих пользователей и позволяющих получить расширенные привилегии или возможности.

Уязвимости, выявленные при помощи AI-ассистентов, всегда предлагается обсуждать публично, так как подобные проблемы часто обнаруживаются одновременно несколькими исследователями. При этом не следует раскрывать в отчёте экплоит - достаточно упомянуть, что он доступен, и передать его в частном порядке в ответ на запрос сопровождающего.

Отдельно описываются правила передачи отчётов, созданных при помощи AI-ассистентов. Подобных отчётов присылают очень много и благодаря им время от времени удаётся выявлять ошибки в плохо отрецензированных частях кода, но сопровождающие часто их игнорируют из-за низкого качества и неточностей. Основные требования к отчётам, созданными при участии AI:

• Краткость, без воды и с указанием сути и важных деталей в самом начале.
• Только голый текст без Markdown-тегов и декорирования.
• Понимание модели угроз и указание проверяемых фактов (например, "ошибка позволяет любому пользователю получить CAP_NET_ADMIN"), а не теоретических измышлений и домыслов о последствиях уязвимости.
• Перед отправкой отчёта обязательно тщательно протестировать работоспособность эксплоита, сформированного через AI, и убедиться в возможности воспроизвести проблему.
• Привлечение AI для разработки и тестирования исправления выявленной проблемы.

По статистике сопровождающих, большинство отчётов об ошибках, присылаемых под видом устранения уязвимостей, таковыми не являются, и должны обрабатываться в общем порядке как обычные ошибки. Для разделения уязвимостей и обычных ошибок описана модель угроз ядра Linux. Среди возможностей и гарантий, нарушение которых может рассматриваться как уязвимость:

• Изоляция на уровне пользователей: доступ к файлам только для владельца, память процесса недоступна другим пользователям, ptrace запрещён для чужих процессов, изоляция IPC и сетевых коммуникаций.
• Защита на основе capabilities: без CAP_SYS_ADMIN нельзя менять конфигурацию ядра, память, состояние системы, без CAP_NET_ADMIN нельзя менять сетевые настройки или перехватывать трафик, без CAP_SYS_PTRACE нельзя отслеживать процессы других пользователей.
• Пространство имён идентификаторов пользователей (CONFIG_USER_NS) позволяет непривилегированным пользователям создавать свои изолированные окружения, из которых нельзя влиять на глобальное пространство имён, например, менять время, загружать модули и монтировать блочные устройства.
• Отладочные интерфейсы (/proc/kmsg, perf, debugfs), через которые можно получить доступ к конфиденциальной информации, доступны только после явного предоставления доступа администратором.

Возможности, которые не рассматриваются как уязвимости:

• Использование устаревших веток ядра.
• Сборка с включением опций для разработчиков или снижающих безопасность (например, CONFIG_NOMMU).
• Выставление небезопасных настроек sysctl, опций командной строки, прав доступа в ФС, capabilities или открытие непривилегированным пользователям доступа к привилегированным интерфейсам (например, доступ на запись в procfs и debugfs).
• Проблемы в функциях, предназначенных только для разработки и отладки ядра, таких как LOCKDEP, KASAN и FAULT_INJECTION, которые не предназначены для включения в рабочих конфигурациях.
• Проблемы в драйверах, модулях и подсистемах, находящихся в секции STAGING или помеченных как экспериментальные, небезопасные или неработоспособные.
• Использование сторонних модулей ядра или неофициальных форков ядра.
• Требование избыточных привилегий, таких как необходимость выполнения действий с правами root или от пользователя, имеющего права CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_SYS_RAWIO и CAP_SYS_MODULE.
• Теоретические атаки, требующие лабораторных условий, миллиардов попыток, эмуляции или модификации оборудования, несоразмерных затрат и нереалистичных конфигураций (например, системы с десятками тысяч ядер CPU).
• Обход механизмов защиты (например, ASLR) без демонстрации эксплоита. Отсутствие проверок аргументов и возвращаемых кодов ошибок, не имеющих явных последствий.
• Случайные утечки информации, неподконтрольные атакующим, такие как остаточные данные в сообщениях об ошибках и утечки адресов/указателей на память ядра без прямой возможности эксплуатации.
• Ошибки при монтировании повреждённых дисковых образов, если драйвер не заявлен как пригодный для использования с не заслуживающими доверия носителями. Проблемы с дисковыми образами, выявляемые и устраняемые через запуск утилиты fsck.
• Атаки требующие физического доступа к оборудованию, модификации оборудования или подключения аппаратных устройств, таких как платы для атаки на DMA и логические анализаторы, если система специально не настроена для защиты от подобных атак (IOMMU).
• Регрессии c функциональностью и производительностью, устраняемые настройкой прав и лимитов.

Релиз Erlang/OTP 29

Основные новшества:

• В SSH-сервере по умолчанию отключены сервисы shell и exec, а также подсистема SFTP. Для выполнения Erlang-кода аутентифицированными пользователями через SSH теперь требуется изменение настроек. В SSH по умолчанию активирован гибридный алгоритм обмена ключами mlkem768x25519-sha256.
• В библиотеке SSL в конфигурации по умолчанию выставлен наиболее приоритетным гибридный алгоритм обмена ключами "x25519mlkem768", стойкий к подбору на квантовом компьютере и представляющий собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber).
• Добавлен атрибут "-unsafe" для пометки функций небезопасными (unsafe). В библиотеке Erlang/OTP подобные функции помечены и для них компилятор теперь выдаёт предупреждение. Добавлена возможность отслеживания через xref вызова unsafe-функций и функций без документации.
• Для корректной работы сторонних сборочных инструментов, таких как Rebar3, фильтрация игнорируемых вызовов (ignore_xref) теперь выполняется непосредственно внутри xref.
• Добавлен модуль ct_doctest для автоматического тестирования примеров кода из документации.
• Добавлен модуль io_ansi для создания консольных приложений, поддерживающих подстановку в терминал ANSI-последовательностей (Virtual Terminal Sequences), например, для изменения стиля и цвета текста.
• При поиске файловых путей с кодом (PATH) текущий каталог (".") перемещён с первой на последнюю позицию списка и теперь проверяется в последнюю очередь.
• Прекращено формирования 32-разрядных сборок для Windows.
• Реализован полноценный отдельный тип данных для записей (native record, EEP-79), который можно использовать вместо традиционных записей, построенных на кортежах.
• Добавлен ограничитель "is_integer/3" для проверки целых чисел на принадлежность диапазону (например, "is_integer(I, 0, 100)").
• Реализованы генераторы списков с множественными значениями (EEP-78), возвращающие несколько элементов за итерацию (например, "[-I, I || I <- [1, 2, 3]]" выдаст "[-1,1,-2,2,-3,3]").
• Добавлен флаг compr_assign, позволяющий связывать переменные прямо внутри генераторов (например, "[H || E <- List, H = erlang:phash2(E), H rem 10 =:= 0]").
• В JIT-компиляторе улучшена генерация машинного кода для сопоставления и создания бинарных данных с несколькими little-endian сегментами.
• В компиляторе повышена эффективность генерируемого кода в ситуациях, когда значения в "map" не зависят от генератора (например, "#{K => 42 || K <- List}").
• В компиляторе реализован вывод предупреждений при использовании устаревшего оператора "catch" вместо "try...catch", экспорта переменных из подвыражений (например, "file:open(File, AllOpts = [write, {encoding,utf8}])"), использования "and"/"or" вместо "andalso"/"orelse", указания неоптимальных шаблонов сопоставления (например, "{a,B} = {X,Y}").
• В STDLIB реализованы функции rand:shuffle/1 и rand:shuffle_s/2 для перемешивания списков в случайном порядке.

Начало разработки KDE Plasma 6.8. Улучшение удалённой работы с рабочим столом в KDE

Среди изменений, добавленных за прошедшую неделю в ветку KDE 6.7:

• Во встроенный сервер для организации удалённой работы с рабочим столом (krdp), реализующий протокол RDP, добавлена поддержка режима прогрессивного кодирования (Progressive Encoding Mode), который может использоваться для клиентов, не поддерживающих кодек H.264, имеющих проблемы с работой кодека или использующих канал связи с недостаточной пропускной способностью. Переключение между H.264 и прогрессивным кодированием производится динамически. Отмечается, что прогрессивное кодирование более эффективно при такой активности в сеансе, как редактирование текста, при которой содержимое экрана меняется не часто и изменяется незначительно. Кроме того, в сервер krdp внесены оптимизации для повышения производительности и снижения задержек.
• В Kwin добавлена поддержка версии 3.2 протокола text-input, позволяющего композитным серверам реализовывать методы ввода и отправлять текст в приложения. В новой версии протокола реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа и скрытия панели ввода, добавлен флаг preedit_hint для настройки стиля предварительного редактирования.
• Предоставлена возможность настройки ситуаций, в которых показывается виртуальная клавиатура. Например, кроме включения/выключения поддержки виртуальной клавиатуры теперь можно привязать её показ к наличию сенсорного экрана и планшета на системах с подключённой мышью и без неё.
• При создании скриншотов реализована функций избранного исключения из снимка выбранных окон, которая ранее была доступна только для скринкастов.
• Опция для закрепления окна поверх других окон перемещена из вложенного подменю в основную часть контекстного меню, показываемого в заголовке окна.
• В менеджере приложений Discover на странице со списком установленных программ по умолчанию включена разбивка на категории для упрощения поиска искомого приложения.
• Вместо проявления и затухания уведомлений, они теперь плавно выезжают сбоку и уезжают за край экрана, что позволяет привлечь к ним больше внимания, но при этом не сделать их навязчивыми.
  
  
• Реализована поддержка запоминания подтверждённого пользователем разрешения на доступ к захвату устройства ввода, которое раньше требовалось подтверждать при каждом запросе.
• В интерфейсе запуска программ Kickoff улучшен запуск приложений нажатием Enter после быстрого набора поискового запроса.
• Для просмотра изображений в формате SVG по умолчанию задействовано приложение Gwenview вместо GIMP.
• Улучшена поддержка разблокировки сеанса при помощи смарткарты.

Из изменений в ветке KDE Plasma 6.8 можно отметить реализацию в виджете настройки беспроводной сети опции для автоматического выбора беспроводного канала при работе в режиме точки доступа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65460

@kpmy

раньше один разработчик вёл один проект, то сейчас один человек может вести четыре [...] зарабатывают примерно на 25% больше.

Нет ли здесь найопки? 🤔

"I’m not kidding, I really do enjoy computing like this."

http://ratfactor.com/ascetic-computing

Migrating mail servers from exim to OpenSMTPD (smtpd) is fun and useful

However, that software has had its share of security issues over the years, and during the preparations for the OpenBSD 7.9 release, the ports maintainers decided that

"History of security issues + setuid root is a terrible combo."

This meant that the mail service needed to migrate to something else, and Peter wrote up a short article about migrating a multi-domain, multi-site setup to smtpd: OpenSMTPD Is The Mail Server For The Future. The article has a working configuration and advice on how to proceed.

Новые версии Wine 11.9 и Wine-staging 11.9

Наиболее важные изменения:

• В состав включена библиотека SQLite 3.51.1.
• Реализована начальная поддержка системных потоков. В ntdll добавлены функции для создания потока с использованием pthread.
• Добавлена поддержка приостановки потока в эмулируемом коде при выполнении на системах ARM64.
• Улучшена совместимость с VBScript.
• В драйвере winewayland.drv, позволяющем использовать Wine в окружениях на базе протокола Wayland, для выставления позиции курсора задействован Wayland-протокол wp_pointer_warp_v1, позволяющй мгновенно переместить указатель в указанную позицию.
• В d3d9 добавлена фиктивная последовательность инициализации таблицы виртуальных методов (d3d9_device_vtbl, Virtual Method Table), включающая только метод d3d9_device_GetDisplayModeEx. Изменение позволило обеспечить совместимость с платформой онлайн-игр BFME Online Arena.
• Закрыты отчёты об ошибках, связанные с работой приложений: Lotus Notes 8.x, Photoshop CS 2, Logos 9, WinSCP, Homesite 5.5, GOM Player, Graphpad Prism 9, GXSCC, ExamDiff Pro Fileeditor, SteelSeries GG 110.0.
• Закрыты отчёты об ошибках, связанные с работой игр: Wargaming Game Center, Command & Conquer 3, Command & Conquer Red Alert 3.

Одновременно сформирован выпуск проекта Wine Staging 11.9, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 273 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.9 и обновлён код vkd3d. В основной состав Wine перенесены патчи, устраняющие проблемы со сборкой vkd3d при помощи инструментария mingw и добавляющие в устройство d3d9 фиктивную последовательность инициализации vtbl.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65459

Microsoft 3D Movie Maker портирован для Linux

Программа 3D Movie Maker позволяет детям создавать фильмы, размещая трёхмерных персонажей и реквизит в заранее сформированном окружении, а также добавляя звуковые эффекты, музыку и диалоги. Несмотря на то, что программа разработана в 1995 году, энтузиасты до сих пор продолжают публиковать фильмы в формате 3mm, а также развивать моды и расширения с реализацией новых сцен, персонажей и реквизита.

Двор пятиэтажки. Натурально, без добавления мальмового пасла и Ai. #Moscow #Москва

After being inspired by a submitted patch to support #Linux, I decided to put together a very dinky micro-site for #minwm (extremely minimal window manager)

https://minwm.btxx.org

#openbsd #desktop

Проезжаю на электричке: «ГЛУШЬ ЕБАНАЯ».

@CheekiBreeki finally jihad.

Rocky Linux ввёл в строй репозиторий для оперативного устранения уязвимостей

В репозитории "security" будут публиковаться только экстренные обновления, cформированные когда без предварительного уведомления раскрыты сведения о критических уязвимостях и имеется рабочий эксплоит, но разработчики RHEL не успели сформировать обновления с исправлениями. Подобная ситуация наблюдалась с уязвимостями Copy Fail, Dirty Frag и Fragnesia.

Благодаря репозиторию "security" проект Rocky Linux сможет самостоятельно оперативно опубликовать обновления, не дожидаясь пока это сделает компания Red Hat. После выхода исправления от RHEL, опубликованный для RHEL пакет заменит собой пакет с исправлением от Rocky Linux. По умолчанию репозиторий "security" отключён и требует выполнения команды "sudo dnf --enablerepo=security update" для активации.

Тем временем, дистрибутив Alma Linux не дожидаясь RHEL публиковал обновления пакетов для оперативного устранения уязвимостей ssh-keysign-pwn, NGINX Rift, Fragnesia, Dirty Frag и Copy Fail. Вначале пакеты размещались в тестовом репозитории "almalinux-testing", а затем переносились в основной.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65457

QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы

Обе уязвимости присутствуют в коде cxl-mailbox-utils.c. Первая уязвимость проявляется начиная с выпуска QEMU 7.1.0 и приводит к чтению памяти из области вне выделенного буфера из-за того, что функция cmd_logs_get_log() ошибочно трактует запрошенное смещение CEL-лога как индекс в массиве, в то время как оно задаётся в байтах. Вторая уязвимость проявляется начиная с QEMU 11.0.0 и приводит к переполнению буфера в функции cmd_features_set_feature() из-за обработки смещения на структуры при записи атрибутов без проверки, что вычисленное значение "offset + bytes_to_copy" укладывается в размер выбранной структуры.

Фактически атака возможна только на последнюю ветку QEMU 11.0.0. Об исправлении пока ничего не сообщается, указано только, что перед раскрытием уязвимости, информация о ней была передана разработчикам QEMU, которые ответили, что поддержка устройства CXL в QEMU реализована не для использования при виртуализации.

Эксплоит проверен с кодовой базой QEMU от 11 мая с последним коммитом 5e61afe. Работа эксплоита завязана на раскладку структур в памяти каждой конкретной сборки QEMU и системной libc, но по мнению исследователей, воспользовавшись для сканирования памяти уязвимостью, приводящей к чтению из области вне буфера, можно создать универсальный эксплоит, работающий с разными версиями QEMU.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65456

Sadness - Full Performance (Live on KEXP)

https://youtu.be/YCRqWwjIqLw

#music

NetBSD tip of the day: Share files in the current directory at http://localhost:8080

/usr/libexec/httpd -fX -I 8080 .

For more tips, type "fortune netbsd-tips" on a running system :3c

Пересмотр решения о создании редакции Fedora AI Developer Desktop

Недовольство связано с намерением использовать в составе Fedora AI Developer Desktop сторонние модули ядра и проприетарные компоненты для поддержки технологии NVIDIA CUDA. Поставка сторонних модулей нарушает сложившийся в проекте консенсус в отношении политики поставки сторонних модулей ядра, а поставка CUDA идёт в разрез с идеологией проекта, не приветствующей продвижение проприетарного ПО и привязку решений к одному производителю. Кроме того, в новой редакции предлагалось поставлять LTS-ветки ядра, но не ясно кто их будет поддерживать отдельно от штатных постоянно обновляемых пакетов с ядром, сопровождаемых в Fedora.

По мнению изменившего свой голос члена управляющего совета, изменение стратегии в отношении поставки модулей для ядра в Fedora требует дополнительного согласования и получения экспертных мнений от инженеров и юристов. Предполагается, что проблема может быть урегулирована через переход к поставке штатного драйвера Nova вместо сторонних отрытых модулей от компании NVIDIA, доведение которого до готовности ожидается ближе к концу года.

Изначально предполагалось, что участники из сообщества обратятся к представителям управляющего совета в случае опасений по тем или иным предстоящим решениям, но на деле совет не был уведомлен о возможных проблемах и голосовал на основе информации, предоставленной автором инициативы. Для того чтобы недопустить в будущем решений совета, идущих в разрез с мнением сообщества, Джеф Спалета (Jef Spaleta), лидер проекта Fedora, предложил до начала голосования публиковать позиции совета, по которым в достигнут консенсус, чтобы сообщество могло успеть отреагировать и попытаться переубедить участников. Также упоминается вариант введения предварительного голосования на этапе обсуждения вопросов, вынесенных на рассмотрение совета, с публикацией результатов вне протоколов заседаний для ознакомления сообщества с мнением совета до проведения окончательного голосования.

Проект Fedora AI Developer Desktop нацелен на создание дополнительных атомарно обновляемых дектоп-редакций Fedora Linux для разработчиков, использующих и разрабатывающих AI-технологии. В качестве основы планировалось использовать наработки дистрибутивов Silverblue (GNOME) и Kinoite (KDE), дополненные модулями ядра, инструментариями, платформами и библиотеками для развёртывания AI-моделей на локальной системе, а также разработки приложений, использующих AI. Для тестирования доступен прототип сборки Fedora AI Developer Desktop на базе Fedora Silverblue.

Конечной целью называется желание предоставить решение для использования AI из коробки, не требующее ручной настройки и установки дополнительного ПО. Для корректной работы многих AI-фреймворков обычно требуется ручная настройка и согласование версий ядра, драйверов NVIDIA, инструментария CUDA и runtime для запуска контейнеров. Fedora AI Developer Desktop предоставит уже протестированное рабочее окружение, позволяющее сразу запускать готовые контейнеры с преднастроенными AI-платформами и использовать средства ускорения выполнения AI-моделей при помощи GPU.

Все AI-инструменты и платформы по умолчанию будут поставляться без отправки телеметрии и с отключённым обращением к облачным сервисам. Для задействования ускорения на GPU NVIDIA в состав включены открытые компанией NVIDIA модули ядра, используемые в проприетарных драйверах NVIDIA (в будущем модули ядра NVIDIA планируют заменить на драйвер Nova). Поверх открытых модулей предусмотрена возможность установки CUDA Runtime или CUDA Toolkit. Помимо GPU NVIDIA в планах упомянута возможность работы на системах с GPU ARM, AMD и Intel. Из входящих в базовую поставку компонентов, отмечены преднастроенные AI-агент Goose и графический интерфейс для создания, запуска и управления контейнерами Podman Desktop.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65454

Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

Сведения об уязвимости не были запланированы для раскрытия, но один из исследователей безопасности на основе предложенного для ядра патча смог определить суть уязвимости, позволяющей прочитать файлы, доступные только пользователю root, например, /etc/shadow. В добавленном в ядро изменении корректировалась логика использования функции get_dumpable() в ptrace при определении уровня доступа в функции ptrace_may_access().

Непосредственно уязвимость вызвана состоянием гонки, приводящим к возможности непривилегированного доступа к файловому дескриптору pidfd после обращения к файлу из suid root процесса. В момент времени между открытием файла и сбросом привилегий в suid-программе (например, через функцию setreuid), возникает ситуация, когда приложение, запустившее suid root программу, через дескриптор pidfd может обратиться к открытому в suid-программе файлу, даже если это не позволяют права доступа на файл.

Окно для эксплуатации возникает из-за того, что функция "__ptrace_may_access()" пропускает проверку возможности доступа к файлу, если поле task->mm оказывается выставлено в значение NULL после выполнения exit_mm(), но до вызова exit_files(). В данный момент системный вызов pidfd_getfd считает, что идентификатор пользователя (uid) вызывающего процесса, соответствует идентификатору, которому разрешён доступ к файлу. Примечательно, что ранее на проблему обращали внимание ещё в 2020 году, но она осталась неисправленной.

В эксплоите, получающем содержимое /etc/shadow, атака сводится к цикличному запуску через fork+execl приложения /usr/bin/chage с флагом suid root, читающего содержимое /etc/shadow. После того как процесс ответвился выполняется системный вызов pidfd_open и осуществляется цикличный перебор доступных pidfd-дескрипторов через системный вызов pidfd_getfd и их проверка через /proc/self/fd. В эксплоите sshkeysign_pwn похожие манипуляции осуществляются с suid root программой ssh-keysign.

CVE-идентификатор проблеме пока не присвоен, обновление ядра и пакетов в дистрибутивах не опубликованы. В выпущенных несколько часов назад ядрах 7.0.7, 6.18.30 и 6.12.88 уязвимость не устранена. На момент написания новости можно использовать только патч. Обсуждаются возможные обходные пути блокирования уязвимости, такие как выставление sysctl kernel.yama.ptrace_scope или удаление флага suid root с исполняемых файлов в системе (как минимум с утилит ssh-keysign и chage, используемых в эксплоитах).

Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

Сведения об уязвимости не были запланированы для раскрытия, но один из исследователей безопасности на основе предложенного для ядра патча смог определить суть уязвимости, позволяющей прочитать файлы, доступные только пользователю root, например, /etc/shadow. В добавленном в ядро изменении корректировалась логика использования функции get_dumpable() в ptrace при определении уровня доступа в функции ptrace_may_access().

Непосредственно уязвимость вызвана состоянием гонки, приводящим к возможности непривилегированного доступа к файловому дескриптору pidfd после обращения к файлу из suid root процесса. В момент времени между открытием файла и сбросом привилегий в suid-программе (например, через функцию setreuid), возникает ситуация, когда приложение, запустившее suid root программу, через дескриптор pidfd может обратиться к открытому в suid-программе файлу, даже если это не позволяют права доступа на файл.

Окно для эксплуатации возникает из-за того, что функция "__ptrace_may_access()" пропускает проверку возможности доступа к файлу, если поле task->mm оказывается выставлено в значение NULL после выполнения exit_mm(), но до вызова exit_files(). В данный момент системный вызов pidfd_getfd считает, что идентификатор пользователя (uid) вызывающего процесса, соответствует идентификатору, которому разрешён доступ к файлу. Примечательно, что ранее на проблему обращали внимание ещё в 2020 году, но она осталась неисправленной.

В эксплоите, получающем содержимое /etc/shadow, атака сводится к цикличному запуску через fork+execl приложения /usr/bin/chage с флагом suid root, читающего содержимое /etc/shadow. После того как процесс ответвился выполняется системный вызов pidfd_open и осуществляется цикличный перебор доступных pidfd-дескрипторов через системный вызов pidfd_getfd и их проверка через /proc/self/fd. В эксплоите sshkeysign_pwn похожие манипуляции осуществляются с suid root программой ssh-keysign.

CVE-идентификатор проблеме пока не присвоен, обновление ядра и пакетов в дистрибутивах не опубликованы. В выпущенных несколько часов назад ядрах 7.0.7, 6.18.30 и 6.12.88 уязвимость не устранена. На момент написания новости можно использовать только патч. Обсуждаются возможные обходные пути блокирования уязвимости, такие как выставление sysctl kernel.yama.ptrace_scope или удаление флага suid root с исполняемых файлов в системе (как минимум с утилит ssh-keysign и chage, используемых в эксплоитах).

Linux Foundation опубликовал автомобильный дистрибутив AGL UCB 21.0 и платформу SoDeV

SoDeV представляет собой комбинированный продукт, сочетающий дистрибутив AGL UCB, Linux-контейнеры, VirtIO, гипервизор Xen, Zephyr RTOS и другие проекты Linux Foundation. Первый релиз SoDeV может запускаться на платах Renesas Sparrow Hawk, в облачных окружениях или в виртуальных машинах. Проект позволяет автопроизводителям ускорить вывод продукта на рынок, благодаря отделения разработки программного обеспечения от аппаратных систем и абстрагирования оборудования через виртуализацию. В течение 2026 года планируют реализовать более широкую поддержку SoC, применяемых автопроизводителями. Проект развивается при участии компаний Panasonic Automotive Systems, Honda, Toyota, Mazda, AISIN и Renesas.

Дистрибутив AGL UCB основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Renesas H3, Intel Up², Raspberry Pi 4 и Raspberry Pi 5. В разработке дистрибутива участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Среди изменений в новой версии AGL UCB:

• Осуществлена синхронизация с компонентами платформы Yocto 5.0.16;
• Обновлены инструментарии Flutter Embedder и Workspace Automation, в которые повышена производительность, решены проблемы с отрисовкой, добавлены новые возможности интерфейса пользователя. Обновлены версии Flutter SDK 3.38.3 и языка Dart 3.10.1.
• Задействована библиотека Qt 6.8.
• До версии 6.0 обновлена спецификация VSS (Vehicle Signal Specification).
• Фреймворк распределённого отображения (Distributed Display Framework) переведён на использование протокола gRPC.
• Обновлены пакеты BSP (Board Support Package): meta-arm, meta-freescale, meta-freescale-3rdparty, meta-raspberrypi, meta-renesas, meta-riscv, meta-rockchip, meta-tegra, meta-ti.
• Обновлены пакеты meta-aws, meta-clang, meta-flutter, meta-openembedded, meta-selinux, meta-virtualization, meta-python-ai, meta-qt6.

Бета-выпуск KDE Plasma 6.7

Основные изменения в KDE Plasma 6.7:

• В состав включён пользовательский интерфейс Plasma Bigscreen, предназначенный для использования на мультимедийных устройствах, подключаемых к телевизорам и проекторам. Окружение оптимизировано для работы с большими экранами и управления без клавиатуры c использованием пультов дистанционного управления или голосового помощника.
• В состав включён унифициорованный движок стилей Union, позволяющий использовать разные технологии стилевого оформления приложений, доступные в KDE. По умолчанию для стилей задействован формат CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS. Движок Union состоит из трёх слоёв:
  • Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS.
  • Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу.
  • Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека. Например, на выходе могут формироваться стили для QtQuick или Qt Widgets.
  
• Реализована полноценная поддержка сохранения и восстановления сеансов при использовании Wayland, позволяющая восстановить состояние, привязку к виртуальным рабочим столам и позицию окон прерванного сеанса после перезагрузки или аварийного завершения работы. Реализация основана на добавленной в KWin поддержке протокола xdg-session-management, предложенного в выпуске Wayland-Protocols 1.48.
• Добавлена возможность независимого переключения между виртуальными рабочими столами на каждом экране (ранее виртуальные рабочие столы переключались синхронно на всех мониторах, а теперь в привязке к каждому монитору).
  
  
• Добавлен режим ввода с клавиатуры диакритических знаков и спецсимволов, отсутствующих на физической клавиатуре. При удержании нажатия клавиши, связанной со спецсимволом, теперь показывается всплывающая подсказка, позволяющая во время ввода быстро выбрать нужный спецсимвол. Выбор осуществляется клавишами управления курсором, нажатием упомянутых в подсказке цифр или кликом мыши. Режим реализован в модуле plasma-keyboard и требует включения виртуальной клавиатуры (System Settings > Keyboard > Virtual Keyboard).
  
  
• Предоставлена возможность установки собственных звуковых тем из загруженных архивов, без необходимости их предварительной ручной распаковки в каталог .../share/sounds.
• Добавлена функция для проверки настроек микрофона, позволяющая записать себя, а потом воспроизвести запись для оценки выставленной чувствительности микрофона.
  
  
• Старый диалог для управления очередью вывода на печать заменён на вызов отдельного приложения plasma-print-queue, позволяющего наглядно управлять несколькими очередями для разных локальных или внешних принтеров.
• В композитный менеджер KWin добавлена возможность использования замещающих друг друга виртуальных фреймбуферов при работе с несколькими GPU (multi-GPU swapchain), а также реализована поддержка графического API Vulkan в DRM-бэкенде (Direct Rendering Manager), что после внесения оптимизаций в будущем позволит добиться увеличения производительности в конфигурациях с несколькими GPU. На текущем этапе производительность связок из встроенных GPU AMD и Intel с дискретными видеокартами AMD и NVIDIA при использовании Vulkan примерно соответствует OpenGL.
• Добавлена поддержка xdg-портала Notification для настройки и вывода уведомлений из изолированных приложений, например, поставляемых в формате Flatpak.
• Добавлена поддержка портала (xdg-desktop-portal) "Background apps" (org.freedesktop.background.Monitor), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке.
• Добавлена поддержка второй версии портала org.freedesktop.impl.portal.InputCapture, применяемого для организации доступа к захвату ввода из изолированных приложений.
• В KWin добавлена поддержка Wayland-протокола ext-background-effect-v1, дающего возможность создавать такие эффекты, как размытие фона.
• В композитном менеджере KWin реализована поддержка экспериментального Wayland-протокола xx-fractional-scale-v2, благодаря которому удалось избавиться от излишних зазоров между соседними элементами на экранах с высокой плотностью пикселей, например, между развёрнутым на весь экран окном и панелью. Протокол xx-fractional-scale предоставляет возможность масштабирования системы логических координат, значения в которой задаются целыми числами, для повышения точности позиционирования и увеличения разрешения логических координат до отдельных пикселей. Подобная возможность решает проблему с ограниченным разрешением системы логических координат, недостаточным для позиционирования на уровне отдельных пикселей, необходимого для полноценной реализации дробного масштабирования в KDE.

  При помощи протокола xx-fractional-scale композитный сервер и клиент могут согласованно использовать разные системы координат (логические и пиксельные) при работе с объектом wl_surface. Логические координаты применяются для описания размера содержимого и позиций окон с точки зрения пользователя, а пиксельные координаты отражают фактические размеры в буферах при отрисовке на экран. Протокол xx-fractional-scale вводит коэффициент масштабирования (scale), связывающий логические и пиксельные координаты, и позволяющий обрабатывать ситуации, когда на единицу логических координат приходится несколько пикселей.
  
  

• В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметна в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
• В KWin продолжена работа по реализации поддержки графического API Vulkan в DRM-бэкенде (Direct Rendering Manager). Ожидается, что использование Vulkan позволит добиться увеличения производительности в конфигурациях с несколькими GPU. Реализована возможность использования Vulkan для загрузки текстур из GPU в CPU.
• На системах с драйверами i915 и Intel XE для GPU Intel в KWin включена поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Изменение повысило производительность и сократило энергопотребление приложений и игр, поддерживающих добавленную функциональность.
  
  
  
• В меню, использующих тему оформления Breeze, реализовано изменение фона элементов при клике.
  
  
• Упрощён интерфейс показа QR-кода в виджете работы с буфером обмена (кнопка копирования перенесена в заголовок).
• Повышена точность позиционирования виджетов на рабочем столе. При перемещении виджета в область, в которую он не помещается, теперь выводится эскиз, показывающий ближайшее свободное место, в котором фактически окажется виджет.
  
  
• Обеспечено изменение стиля всплывающих подсказок в соответствии с активной темой оформления.
• Улучшена реализация эффекта Mouse Marks (превращение курсора в маркер, оставляющий линии на экране) на сенсорных экранах. Добавлена поддержка рисования одновременно нескольких линий на экранах с поддержкой мультитач.
• В синхронизированные с Plasma Login Manager настройки добавлены параметры раскладки клавиатуры.
• В виджетах Task Manager и System Tray удалена опция для использования более крупных пиктограмм и увеличенных отступов на сенсорных экранах и планшетах. Указано, что данная опция не работала корректно и приводила к проблемам при отображении.
• Реализован глобальный режим push-to-talk, при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш.
• В виджеты управления яркостью и цветопередачей добавлены кнопки для быстрого переключения между светлым и тёмным режимами оформления.
  
  
• В конфигураторе реализован показ страниц настройки игровых контроллеров, мыши и тачпада только при наличии данных устройств.
• Улучшено редактирование элементов на рабочем столе на системах с сенсорным экраном.
• При поиске по слову "память" (memory) теперь в числе рекомендаций предлагается запустить приложение System Monitor.
• В виджетах и приложении System Monitor реализована поддержка отслеживания сетевой активности на платформе FreeBSD.
• В диалог завершения зависших процессов добавлен индикатор прогресса выполнения операции.
  
  
• В виджете определения цвета пикселя (Color Picker) обеспечен вывод подсказки об отсутствии выбранного цвета (ранее показывалось, что выбран цвет #000000).
• В обзорном режиме реализована возможность использования прокрутки или клавиш Page Up/Page Down для переключения между виртуальными рабочими столами.
• На системах с Wayland обеспечена синхронизация изображения указателя стилуса с указателем мыши и тачпада.
• В KWin реализована возможность определения постоянных правил, исключающих содержимое определённых окон при записи скринкастов.
• В программу для создания скриншотов Spectacle добавлена опция "--release-capture", эквивалентная опции "Accept on click-and-release" в настройках (создание скриншота сразу после отпускания кнопки мыши после выделения прямоугольной области, без отдельного подтверждения операции).
• В приложении System Monitor и виджете для отслеживания состояния системы учтён выбор единиц измерения информации, например, GB (миллиард байт) или GiB (2^30).
• Реализовано округление уровня масштабирования экрана, близкого к 100%, 200% и 300%, до данных величин для повышения производительности.
• На рабочем столе обеспечено появление панели управления виджетами (Widget Explorer) рядом с указателем мыши, а не рядом с левым краем экрана.
• В конфигураторе страница с настройками удалённого рабочего стола (Remote Desktop) перенесена в группу "Безопасность и приватность".
• В виджете "Disks & Devices" улучшена обработка устройств, примонтированных в loop-режиме.
  
  
• В меню приложений Kicker по аналогии с Kickoff появилась возможность использования не квадратных кнопок в панели.
• В конфигураторе реализована поддержка предпросмотра видео для тем оформления экрана входа SDDM.
• Улучшено оформление диалогов, создаваемых KWin.
• Добавлена настройка для изменения задержки перед появлением интерфейса переключения между окнами после начала удержания Alt+Tab.
• В настройки виджета просмотра списка окон добавлены опции для изменения порядка сортировки и группировки по виртуальным рабочим столам и комнатам (activitie).
• В конфигураторе на странице настройки курсора при предпросмотре обеспечено приведение изображений курсоров к выбранному размеру.
• В Kwin реализовано запоминание для каждого экрана отступов между окнами в мозаичном режиме.
• При повторном открытии интерфейса выбора обоев рабочего стола обеспечен переход к тому месту, на котором пользователь остановился в прошлый раз.
• В интерфейсе выбора Emoji варианты значков с разным цветом кожи сгруппированы в отдельный всплывающий диалог.
• Предоставлена возможность выставления глобальной комбинации клавиш для очистки истории уведомлений.
  
  
• В конфигураторе задействована более традиционная кнопка "< Back" для возвращения из подкатегорий (ранее было "< Название категории").
• Добавлен отдельный интерфейс для конфигурирования сетевых принтеров, совместно используемых в Windows-сетях.
• В конфигураторе на странице с настройками уведомлений реализована поддержка воспроизведения выбираемых звуков уведомлений, независимо от включения звука уведомлений.
• В конфигураторе на страницу настройки сети добавлены опции для VPN L2TP.
• Возвращена возможность выбора темы оформления Air Plasma, более легковесной, чем тема Oxygen.
• Реализован скруглённый стиль выделения элементов в приложениях на базе QtWidgets, таких как Dolphin, Okular и KMail. Изменение позволило унифицировать внешний вид и повсеместно перейти к стилю выделения, ранее задействованному в приложениях на базе QtQuick.
• В меню приложений Kickoff обеспечено мерцание секции меню "избранное" сразу после добавления приложения в "избранное" через контекстное меню, чтобы наглядно показать где теперь можно быстро найти приложение.
  
  
• В уведомлениях, генерируемых рабочим столом Plasma, изменена пиктограмма и сокращён заголовок.
• В виджет с часами добавлена поддержка вьетнамского лунного календаря.
• Обновлён интерфейс для настройки OpenVPN, в который добавлена поддержка параметров для управления сжатием, MTU, NCP, TLS, таймаутами и шифрами.
• В конфигураторе на странице настройки сетевого соединения объединены вкладки "Wi-Fi" и "Wi-Fi Security".
• В конфигураторе на странице управления правами доступа приложений появилась кнопка для отзыва разом всех полномочий на запись приложениями скринкастов.
• Подготовлен обработчик KIO S3, позволяющий напрямую из Dolphin и приложений KDE работать с файлами, хранимыми в S3-совместимых облачных хранилищах, таких как Amazon S3, Cloudflare R2, DigitalOcean Spaces и MinIO.
• В виджетах для управления буфером обмена и сетевым подключением реализовна унифицированная кнопка возврата на прошлую страницу (на вложенных страницах теперь не показываются две кнопки "Назад").
  
  
• В KRunner по умолчанию включён плагин вывода информации о глобальных комбинациях клавиш.
• В виджете с реализацией глобального меню обеспечен показ меню для активного окна, даже если это окно размещено на другом экране. Для возвращения старого поведения, при котором меню пропадает после перемещения окна на другой экран, в настройки добавлена специальная опция.
• При мозаичной компоновке двух смежных окон они теперь равномерно центрируются во всём доступном экранном пространстве с учётом панелей (раньше ближайшее к панели окно сжималось больше, чем другое окно).
• В изолированных приложениях повышена надёжность инициирования записи скринкастов и запросов к удалённым рабочим столам.
• Налажено задействование 3D-ускорения в конфигурациях с несколькими GPU, один из которых не поддерживает OpenGL.
• Решены проблемы работы с буфером обмена в некоторых приложениях на базе фреймворка wxWidgets, таких как KiCad и Audacity. Исправление включено в состав находящейся в разработке ветки wxWidgets 3.3.3.
• В утилиту kscreen-doctor добавлена поддержка изменения свойства экранов "AutoRotatePolicy", определения активного экрана и одновременного включения/выключения поддержки HDR и расширенного диапазона цветов (Wide Gamut).
• В диалоге выбора экрана для его трансляции на другие системы или предоставления совместного доступа улучшена визуализация эскизов и обеспечен показ обоев рабочего стола в качестве фона.
• Предоставлена возможность добавления дополнительных виджетов с часами для разных часовых поясов, которые среди прочего будут показывать отличия времени от текущего часового пояса.
• В виджете с глобальным меню скруглены углы подсвечиваемых элементов меню.
• Предоставлена возможность определения отдельной клавиши-модификатора для перевода фокуса на панель.
• Диалог для выбора каталогов унифицирован с диалогом, применяемым при сохранении и открытии файлов (вместо отдельного диалога для каталогов в штатный диалог открытия файлов добавлен режим показа только каталогов).
• В инструмент для шифрования каталогов Plasma Vault добавлена индикация монтирования в режиме только для чтения.
• В апплете настройки сети предоставлена возможность ограничения диапазона частот Wi-Fi (2.4 GHz или 5 GHz).
• При отключении активации KRunner при попытке набора с клавиатуры на рабочем столе, реализован вызов обработчика для выделения файлов по первым набранным буквам.
• В виджет System Tray добавлена опция для сортировки элементов в обратном порядке.
• На системах с несколькими GPU обеспечена корректная запись содержимого экрана в Spectacle и приложениях на базе KPipeWire (раньше могло использоваться не то устройство отрисовки).
• В утилиту System Monitor и виджет показа информации о системе добавлено определение конфигураций с несколькими GPU, а так же предоставление статистики о полнодисковом шифровании и RAID.
• В KWin добавлена поддержка 3D LUTs (3D Lookup Tables) для переназначения цветов, что снизило потребление ресурсов на GPU, предоставляющих функции для ускорения преобразования цветов.
• Прекращено создание контекстов OpenGL для приложений, не использующих OpenGL, что позволило снизить потребление памяти на 10-15 MB для каждого подобного приложения и сократить время запуска.
• В KWin внесены оптимизации, повышающие производительность интерфейса переключения между окнами по Alt+Tab при включении эффекта "Highlight Window" и большом числе свёрнутых окон.
• В конфигураторе на странице "Default Applications" появилась возможность выбора вызываемого по умолчанию приложения с реализацией календаря-планировщика.
• В апплет, вызываемый при клике средней кнопки мыши на часах, добавлена опция для открытия календаря-планировщика.
• Добавлена поддержка помещения в избранное операций в приложениях, показанных в результатах поиска.
• В контекстное меню, показываемое при клике правой кнопкой мыши на обоях рабочего стола, добавлен пункт для просмотра информации об изображении.
• В System Monitor обеспечено разделение GPU по названиям. Через контекстное меню, показываемое для приложения System Monitor, теперь можно напрямую вызвать конкретные режимы мониторинга, например, просмотр списка запущенных процессов.
• Виджет для вставки в панель разделителя теперь доступен через кнопку добавления новых элементов на странице настройки панели, а не через боковую панель со списком виджетов.
• Для многомониторных конфигураций добавлена опция, позволяющая отображать интерфейс переключения между окнами по Alt+Tab только на основном экране, независимо от того на каком экране находится фокус ввода.
• В меню приложений Kicker обеспечена маркировка специальным значком недавно установленных программ, по аналогии с тем как это делается в интерфейсе Kickoff.
• Разрешено перемещение мышью приложений в секцию "избранное" виджетов Kickoff, Kicker и Dashboard.
• В KRunner расширены возможности вычисления произвольных математических выражений, например, теперь можно вводить не только "sqrt(2) + 2", но и "2 + sqrt(2)".
• Уменьшен размер анимированных GIF-изображений, создаваемых в приложениях, использующих библиотеку KPipeWire.
• В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
• Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
• Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
• При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
• В меню Kickoff добавлена поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.
  
  
• В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди заданий вывода на печать по отдельности для каждого из принтеров.
• В KWin добавлены оптимизации, снижающие энергопотребление при работе с полноэкранными окнами и эффектами, на которые не влияет применение прямого вывода (direct scan-out).
• В меню приложений Kicker добавлена опция для отображения списка недавно открытых каталогов. В виджетах Kicker и Dashboard предоставлена возможность удаления элементов из секции "Избранное" через их перемещение мышью за пределы виджета.
• В виджет управления сетью добавлена поддержка создания дубликатов профилей сетевых соединений.
• В правила переопределения атрибутов окон приложений (KWin Window Rules) добавлена возможность привязки диалоговых окон к указанному родительскому окну.
• Добавлена возможность переименования или перемещения типового каталога "Projects", который с недавних пор стал создаваться дистрибутивами в домашнем каталоге пользователя в дополнение к каталогам "Documents", "Downloads", "Desktop", "Videos", "Music" и "Pictures".
• Добавлена функция увеличения содержимого экрана без заметной потери качества, основанная на эффекте Zoom в KWin.
• В размещаемый на панели виджет вывода на печать добавлены метки о числе активных и находящихся в очереди работ.
• При запросе X11-приложением, выполняемым через XWayland, прав на отправку программно сгенерированных событий мыши и клавиатуры, теперь отображается имя приложения. В конфигураторе обеспечен вывод списка приложений, которым ранее было предоставлено подобное полномочие.
• Обеспечено применение стиля оформления KDE к диалогам, выводимым Qt-приложениями, использующими QML-тип MessageDialog (например, используется приложением Sticky Note в диалоге подтверждения).
• Упрощено нажатие на кнопки в верхней части Widget Explorer (нажатие теперь срабатывает если кликнуть уперев курсор в границу экрана над кнопкой, без точного попадания по кнопке).
• Реализован учёт дополнительных параметров при автоматическом изменении яркости экрана для более качественной работы в условиях часто меняющегося освещения.
• Убрано ограничение, отводившее 25 секунд на выбор цвета после вызова виджета с пипеткой (Color Picker).
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65450

Утверждён перевод JavaScript-платформы Bun на язык Rust

На данный момент на Rust реализован прямой порт с языка Zig, который включает множество блоков unsafe кода, использует ту же архитектуру, те же структуры данных и прежние внешние библиотеки. Отмечается, что порт на Rust успешно прошёл проверку существующим тестовым набором на всех платформах. Попутно было устранено несколько утечек памяти и сбоев в тестах.

После сборки версии на Rust исполняемый файл получился на 3-8 МБ меньше, чем при сборке версии на Zig. В тестах производительности версия на Rust оказалась либо быстрее, либо на том же уровне. При этом по мнению Джарред самым важным преимуществом варианта на Rust стала возможность отлавливания и предотвращения ошибок при работе с памятью, диагностика которых последние годы отнимала у разработчиков Bun уйму времени.

В качестве причины переписывания на Rust ранее отмечалось желание устранить проблемы в Bun, вызванные утечками памяти, наличие разногласий с авторами Zig в плане применения AI для написания кода и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65448

#Wireless #Forth #computer

We now have a brand-new repository under our new GitHub Organisation! In addition, we also have a shiny new website, made by TheOtterMonarch! Check out the website at https://geckoos.github.io/, and the repo at https://github.com/GeckoOS/GeckoOS!

#OS #osdev #opensource #geckoOS

Red Hat представил Hummingbird, защищённую редакцию Fedora на базе контейнеров

Образы контейнеров публикуются для архитектур amd64 и arm64. В настоящее время в каталоге предложено 49 вариантов контейнеров (c учётом редакций FIPS и multi-arch - 157), позволяющих развернуть рабочие окружения с Python, Go, Node.js, Rust, Ruby, OpenJDK, .NET, PostgreSQL, nginx и другими открытыми проектами. Образы формируются в соответствии с принципом "Distroless", т.е. не включают пакетный менеджер и программный интерпретатор (shell), а содержат только целевое приложения и необходимые для его работы компоненты.

95% пакетов, задействованных в образах контейнеров Hummingbird, собираются из репозитория Fedora Rawhide, а остальные 5% загружаются и собираются напрямую из репозиториев основных проектов (upstream). В эти 5% входят приложения, отсутствующие в Rawhide или имеющие в Rawhide не самые свежие выпуски. Для формирования Hummingbird независимо от Fedora раздельно сопровождаются собственные RPM-пакеты, собираемые в отдельной инфраструктуре из штатных SPEC-файлов Fedora, что позволяет при необходимости добавлять в них специфичные для проекта оптимизации и модификации.

Предоставляемые сборки совместимы с образами из Docker Hub, Red Hat UBI и других реестров, что упрощает миграцию на Hummingbird уже имеющихся систем. В отличие от проекта CoreOS, предоставляющего минималистичные хостовые сборки сборки для оркестровки контейнеров, Hummingbird нацелен на разработчиков, которым необходимо одновременно использовать разные версии runtime (Python 3.11- 3.14, Go 1.25-1.26, Node.js 20-25 и т.п.) и раздельно поддерживать жизненный цикл каждой версии.

В отличие от традиционных контейнеров, большинство вариантов Hummingbird работают по умолчанию под непривилегированным пользователем без прав root. Контейнеры поддерживают воспроизводимую сборку и могут быть пересобраны пользователем из предоставляемого исходного кода, чтобы убедиться что свои и распространяемые проектом готовые образы полностью совпадают. Для упрощения проверки отдельно поставляются source-контейнеры со всем необходимым кодом и исходными RPM-пакетами. Для обеспечения безопасности содержимое контейнеров собирается в изолированном окружении, не имеющем доступа к сети.

Помимо контейнеров для запуска конечных приложений проектом развивается загрузочный хостовый образ bootc-os, построенный с использованием технологии загрузочных контейнеров и пригодный для установки на диск. Системный образ комбинирует компоненты Hummingbird, пакеты c ядром Linux от проекта CKI (Continuous Kernel Integration), загрузчик и системные сервисы из Fedora. Вся система оформляется в виде контейнера OCI. Обновление bootc-os осуществляется автоматически при каждой перезагрузке. Для запуска контейнеров из окружения bootc-os задействованы инструментарии Podman и Skopeo.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65446

Aaron Spectre - AMEN, PUNK! (2005)

https://www.youtube.com/watch?v=PJFYWnWNX_w

#music

https://astra.ru/about/press-center/news/sdelano-v-rossii-postroeno-dlya-biznesa-gruppa-astra-predstavlyaet-astra-cloud-na-rossiyskikh-protse/?utm_medium=astragroup&utm_source=vk&utm_campaign=astra_cloud&utm_content=release

«Группа #Астра» запускает облако Astra Cloud, построенное на российских процессорах Baikal–S от компании « #Байкал Электроникс». Предзаказ на облачную инфраструктуру Astra Cloud на Baikal–S уже открыт.

Это первое в стране коммерческое облако, где весь технологический стек, начиная от чипа и заканчивая конечным сервисом, является результатом отечественной инженерной работы. Новый облачный сервис в первую очередь ориентирован на критическую информационную инфраструктуру.

Релиз картографического приложения CoMaps 2026.05.06 и отчёт проекта за год

Главное нововведение в релизе - возможность обновлять карты независимо от самого приложения, используя новую кнопку "Проверить обновления" на экране загрузки карт. Исторически версии карт и приложения были тесно связаны - для получения доступа к новым картам сначала требовалось обновить само приложение. Это упрощало обеспечение совместимости, но требовало постоянных обновлений приложения и порой длительного ожидания одобрения каждого релиза магазинами приложений - каждый день ожидания делал карты менее актуальными. Теперь свежие карты планируется выпускать каждую неделю и актуальность на момент выпуска будет составлять всего пару дней. В настоящее время для загрузки предложены карты на основе данных OpenStreetMap от 10 мая.

Кроме того, в новой версии при навигации обеспечено отображение только светофоров на маршруте, но более крупными значками. В Android-версии категории поиска теперь отображаются колонками и реализована настройка включения режима инкогнито для системной клавиатуры. В iOS-версии в панель режима навигации добавлена кнопка начала записи трека.

12 мая проекту исполнился год, за который около 100 человек внесли 2500 коммитов в основной репозиторий проекта на Codeberg. Более 270 переводчиков работают над переводами на 80 языкаов (30 из которых уже полностью готовы). Один из основных англоязычных Matrix/Telegram чатов насчитывает более 1200 участников. Есть и чаты на испанском, французском, немецком, турецком и русском языках. Текущие операционные вопросы обычно обсуждаются разработчиками в пространстве CoMaps на платформе Zulip, в котором присутствует около 50 активных участников. Пользовательская база проекта на всех платформах оценена примерно в 250 тысяч человек.

Среди других заметных изменений за год:

• Расширена информация о точках интереса (POI): ссылки на панорамы "Panoramax", показ даты крайней актуализации объекта, наличие натуральных (organic) опций в магазинах и кафе, информация о стоимости услуг, подробная информация о зарядках для электромобилей (тип, мощность, количество разъёмов..) и т.д.
• Построение маршрутов: учёт дополнительного времени на проезд перекрёстков, светофоров и знаков "Стоп"; учёт временных/условных ограничений; опции для избегания ступенек и мощёных дорог (для любителей приключений).
• На карту добавлены около 100 новых разных типов объектов и проведена большая работа по общему улучшению стиля отображения карты, включая стиль "Активный отдых".
• Статьи из Википедии об объектах карты теперь доступны на 17 языках (изначально было 5).
• Проведена работа по обеспечению конфиденциальности и модернизации кода.
• С декабря 2025 года Android-версия CoMaps позволяет использовать сторонние/собственные серверы c картами. Расширена "официальная" сеть серверов, многие из которых предоставлены и поддерживаются членами сообщества.
• Интегрированы различные открытые улучшения из проекта Organic Maps (часть новых возможностей OM основана на проприетарных изменениях кода генератора карт и требует переработки для включения в CoMaps).
• Проведена работа по улучшению встроенного в CoMaps редактора OpenStreetMap, например, добавлена возможность создания объектов, требующих нескольких OSM-тегов, возможность пометки объектов как неиспользумые, упрощённое добавление заметок и т.д. За год встроенным редактором воспользовались более 7500 пользователей CoMaps, внеся почти 90 000 изменений в OpenStreetMap. В том числе вышла пара заметок с идеями о том, как находить и исправлять заметки, созданные в CoMaps и как находить и исправлять ошибки в данных OSM.
• CoMaps был выбран в качестве карт по умолчанию для iodéOS и CalyxOS. * Проект "European & Open Source Alternatives" дал CoMaps оценку доверия в 9,6 баллов из 10 - самый высокий рейтинг среди навигационных приложений. Ресурс Switching Software рекомендовал CoMaps в качестве альтернативы Google Maps. Проект "is it really foss?" подтвердил, что CoMaps является полностью открытым проект без оговорок и подвохов.

Из планов на будущее отмечена интеграция актуальной информации о трафике, улучшения, связанные с общественным транспортом, добавление пользовательских отзывов/рейтинга, создание специализированных стилей карты для различных видов транспорта.

Проект CoMaps был основан бывшими волонтёрами-контрибьюторами Organic Maps, недовольными зависимостью Organic Maps от интересов акционеров коммерческой компании Organic Maps, закрытостью процесса управления, непрозрачностью распределения пожертвований и несоответствием провозглашаемым принципам СПО. Форк развивается в соответствии с принципами открытости, прозрачности и совместной работы. Проект сосредоточен на ведении только некоммерческой деятельности и подотчётности сообществу. Ключевые принципы развития приложения: простой интерфейс пользователя, работа в offline-режиме и легковесность (включая потребление энергии), отсутствие рекламы, идентификации личности и сбора данных.

#bandcamp The Polish Composers Pushing the Boundaries of Classical Music
My favorite: Divided by Dusk by Magda Drozd

#ЧтоПослушать #NowPlaying

New Music Review: Spont Ar Stad – Devomp An Harzoù Hag All Hag All (2025; Aredje, Tranzophobia, Grow Your Own Records, Discos Enfermos, Stonehenge Records, Senseless Acts Of Anger)

Link: https://diyconspiracy.net/spont-ar-stad-devomp-an-harzou-hag-all-hag-all/

Breton anarcho-punk against borders, police, patriarchy, and the violence that keeps coming back.

#punk #anarchopunk #spontarstad

В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора

Помимо отката нового сборщика мусора в ветке 3.14 решено не использовать его в следующем значительном выпуске 3.15, несколько дней назад перешедшем на стадии бета-тестирования. Напомним, что в ветке 3.14 цикличный сборщик мусора был заменён на инкрементальный, в котором сборка мусора долгоживущих объектов выполняется по частям и реже, чем обработка новых поколений объектов, которые обычно освобождаются чаще, что позволило на порядок снизить максимальное время приостановки выполнения приложений с очень большим числом объектов в памяти.

Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE

Отмечено, что выделенные средства помогут вывести основные продукты проекта, такие как среда рабочего стола KDE Plasma и дистрибутив KDE Linux, на новый уровень, который позволит обычным пользователям, компаниям и госучреждениям восстановить свою приватность, безопасность и контроль над цифровым суверенитетом. В 2023 и 2024 годах миллион евро также получил проект GNOME. Фонд STF рассматривает выделение средств ключевым средам рабочего стола, используемым в Linux, как инвестицию в устойчивость и надёжность цифровой инфраструктуры, на которую опирается современное общество.

Организация STF учреждена в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии, и курируется Федеральным агентством прорывных инноваций SPRIND (Federal Agency for Breakthrough Innovation). Отмечается, что инвестирование в открытое ПО способствует развитию инноваций в Германии и Европе, а также повышает конкурентоспособность, продуктивность и возможность продвижения инноваций в малых и средних предприятиях.

Помимо KDE в этом году финансовую поддержку получили проекты:

• Mastodon (614 тысяч евро),
• libmicrohttpd3 (234 тысячи евро),
• Debian CI (180 тысяч евро),
• PHPStan (210 тысяч евро),
• OSGi (165 тысяч евро),
• Sequoia (225 тысяч евро),
• FFmpeg (280 тысяч евро).

Всего с 2022 года организация STF инвестировала 37.3 млн евро в 108 открытых проектов, среди которых FreeBSD, GNOME, Samba, Rust, Pipewire, Eclipse, OpenStreetMap, Arch Linux и FFmpeg. Помимо уже отмеченных KDE и Mastodon, наибольший объем средств выделен проектам:

• GNOME (миллион евро),
• Rust (826 тысяч евро),
• Samba (688 тысяч евро),
• FreeBSD (686 тысяч евро),
• Arch Linux (562 тысячи евро),
• Servo (545 тысяч евро),
• Eclipse (515 тысяч евро),
• Maven (450 тысяч евро),
• OpenSSL (405 тысяч евро),
• systemd (399 тысяч евро),
• R Project (392 тысячи евро),
• Scala (377 тысяч евро),
• PHP (223 тысячи евро)

Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос

Уязвимость (CVE-2026-42945), которой присвоен критический уровень опасности, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI. Проблема проявляется в конфигурациях с директивой "rewrite", в которой в регулярных выражениях используются подстановки масок при помощи неименованных переменных (например, $1 и $2), при условии, что в заменяющей строке имеется символ "?". Пример уязвимой конструкции:

   rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;

Выражения с именованными подстановками уязвимости не подвержены. Например, уязвимость не затрагивает конструкции:

   rewrite ^/users/(?‹user_id›[0-9]+)/profile/(?‹section›.*)$ /profile.php?id=$user_id&tab=$section last;

Уязвимость присутствует начиная с версии 0.6.27, выпущенной в марте 2008 года. Причиной появления уязвимости стало то, что буфер выделялся с расчётом, что в него будут записаны неэкранированные данные, а фактически копировались данные после выполнения экранирования спецсимволов, размер которых был больше, так как каждый символ "+", "%" и "&" кодировался не одним, а тремя байтами. Подобное рассогласование возникало из-за того, что при наличии в правиле rewrite символа "?" выставлялся флаг "e->is_args", при котором включалось экранирование, но выделение буфера осуществлялось при сброшенном флаге, при котором экранирование не применялось.

Другие уязвимости:

• CVE-2026-42926 - возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2).
• CVE-2026-40701 - обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp".
• CVE-2026-42946 - чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.
• CVE-2026-42934 - чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.
• CVE-2026-40460 - уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений.

Улучшения, добавленные в выпуске nginx 1.31.0:

• В состав включён модуль ngx_http_tunnel_module, реализующий возможность работы в виде прокси ("forward proxy"), перенаправляющего запросы на другой сервер при обращении клиента при помощи метода HTTP/1.1 CONNECT. Возможна настройка аутентификации обращения к прокси, используя директивы "auth_basic", "satisfy" и "auth_delay".
• В блок "upstream" добавлена директива "least_time", включающая метод балансировки нагрузки с передачей запроса серверу с наименьшими средним временем ответа и наименьшим числом активных соединений.
• В модуль "stream_proxy" добавлена директива "proxy_ssl_alpn" для задания списка протоколов, допустимых в расширении ALPN при подключении к проксируемому серверу. Например: "proxy_ssl_alpn h2 http/1.1".
• Обеспечено отклонение запросов по протоколам HTTP/2 и HTTP/3, включающим заголовки "Connection", "Proxy-Connection", "Keep-Alive", "Transfer-Encoding", "Upgrade".
• В модуле ngx_http_dav_module обеспечено отклонение запросов COPY и MOVE с повторяющимися исходным и целевым ресурсом или вложенными коллекциями.
• Уровень логгирования ошибок SSL "invalid alert", "record layer failure" и "SSL alert number N" понижен с "crit" до "info".
• В скрипт configure добавлен параметр "--without-http_upstream_sticky_module" для отключения сборки модуля http_upstream_sticky_module (параметр "--without-http_upstream_sticky" объявлен устаревшим).

Fragnesia - ещё одна уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша

Уязвимость проявляется в ядрах Linux, выпущенных после 5 мая, из-за случайной активации исправлением уязвимости Dirty Frag. Для устранения уязвимости Fragnesia для ядра Linux было предложено исправление. Анализ данного исправления показал, что его недостаточно, после чего был подготовлен второй вариант патча.

Уязвимость присутствует в подсистеме xfrm в реализации механизма инкапсуляции протокола ESP (Encapsulating Security Payload) в TCP (ESP-in-TCP, RFC 8229), применяемой для туннелирования трафика IPsec поверх TCP. Для исключений лишней буферизации операции с использованием алгоритма AES-GCM выполнялись по месту через выполнение операции XOR к данным в страничном кэше. Из-за логической ошибки, возникали условия, позволяющие перезаписать 1 байт в страничном кэше по выбранному смещению. Повторяя операции можно байт за байтом изменить содержимое любого файла в страничном кэше.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root, предварительного прочитанного для попадания в страничный кэш. В предложенном исследователями эксплоите первые 192 байт файла /usr/bin/su в страничном кэше перезаписываются кодом для запуска /usr/bin/sh. Последующий запуск утилиты "su" приводит к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Для эксплуатации уязвимости Fragnesia в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4 и esp6:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

Всё зло в Китае, от миллиардов этих бессмысленных товаров никому ещё не стало лучше.

Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере

Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13, Ubuntu 24.04+, SUSE/openSUSE, Arch Linux, Alpine Linux 3.19+, ALT Linux p11, ROSA, Gentoo, OpenWRT, Fedora, EPEL (exim не входит в штатный репозиторий RHEL) и FreeBSD. Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts в файле конфигурации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65436

/ТАСС/

• 7 мая: https://tass.ru/ekonomika/27338153

Ростех рассчитывает в первом квартале 2027 года завершить сертификацию самолета МС-21 и начать серийный выпуск, сообщил глава госкорпорации Сергей Чемезов на встрече с президентом РФ Владимиром Путиным.

• 11 мая: https://tass.ru/proisshestviya/27371999

Весной 2023 года был задержан и помещен под арест главный научный сотрудник Института теоретической и прикладной механики СО РАН Валерий Звегинцев, основавший лабораторию "Аэрогазодинамика больших скоростей" ИТПМ, занимающуюся гиперзвуковыми технологиями. Позже стало известно о задержании его коллеги - доцента Томского политехнического университета Владислава Галкина. Собеседник в СО РАН сообщал ТАСС, что поводом для подозрений Звегинцева и его соавтора в госизмене стала публикация в иранском журнале статьи, посвященной газовой динамике. По его словам, перед публикацией работа прошла две экспертизы о возможной секретности.

Новосибирский областной суд назначил наказание в виде лишения свободы на 12,5 года в колонии строгого режима каждому.

Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин

Уязвимость выявлена сотрудниками AMD, детали эксплуатации пока не приводятся. Заявлено, что проблема вызвана некорректной изоляцией совместно используемых ресурсов при выполнении операций с кэшем объектных кодов CPU. Через повреждение элементов в кэше атакующий может добиться изменения инструкций, выполняемых на другом уровне привилегий.

Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen2 (Fam17h). Проблема затрагивает гипервизор Xen и может использоваться для обхода изоляции. Для веток Xen c 4.17 по 4.21 опубликованы патчи. Исправление для блокирования уязвимости также передано для включения в состав ядра Linux.

В десктопных и мобильных сериях CPU AMD Ryzen 3000, 4000, 5000, 7020, 7030 и Threadripper PRO 3000 WX уязвимость устранена осенью прошлого года. Во встраиваемых CPU AMD Ryzen Embedded V2000 уязвимость устранена в конце декабря. В процессорах серии AMD EPYC 7002 проблема остаётся неисправленной и её предлагается блокировать на уровне операционной системы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65435

Выпуск Scrcpy 4.0, приложения для зеркалирования экрана Android-смартфона

Подключение смартфона может быть произведено через USB или TCP/IP. На смартфоне запускается серверное приложение, которое взаимодействует с внешней системой через туннель, организуемый при помощи утилиты adb. Наличие root-доступа к устройству не требуется. Серверное приложение генерирует видеопоток (на выбор H.264, H.265 или AV1) с содержимым экрана смартфона, а клиент декодирует и отображает видео. Клавиатурный ввод и события мыши транслируются на сервер и подставляются в систему ввода Android.

Основные возможности:

• Высокая производительность (30~120fps).
• Поддержка экранных разрешений 1920×1080 и выше.
• Низкие задержки (35~70мс).
• Высокая скорость запуска (около секунды до вывода первых изображений экрана).
• Трансляция звука.
• Возможность записи звука и видео.
• Поддержка зеркалирования при выключенном/заблокированном экране смартфона.
• Буфер обмена с возможностью копирования и вставки информации между компьютером и смартфоном.
• Настраиваемое качество трансляции экрана.
• Поддержка использования Android-смартфона в качестве web-камеры (V4L2).
• Симуляция физически подключённых клавиатуры и мыши.
• Поддержка геймпадов.
• Возможность использования виртуального экрана.
• Режим OTG.

В новой версии:

• Переход с библиотеки SDL2 на ветку SDL3.
• Добавлена опция "--flex-display" ("-x"), включающая режим работы с виртуальным экраном, допускающий произвольное изменение его размера во время работы.
• Предоставлены комбинации клавиш и опции командной строки для динамического управления камерой и фонариком: MOD+t/MOD+Shift+t ("--camera-torch") - включение/выключение фонарика, MOD+↑/MOD+↓ ("--camera-zoom") - изменение масштаба.
• Обеспечено сохранение соотношения сторон окна при изменении его размера. Для восстановления старого поведения (показ чёрных рамок) предложена опция "--no-window-aspect-ratio-lock".
• Добавлена опция "--keep-active" для предотвращения отключения устройства после истечения таймаута неактивности.
• Цвет фона по умолчанию заменён с чёрного на серый. Для изменения фона можно использовать опцию "--background-color".
• Обеспечен вывод пиктограммы разрыва соединения, которая показывается в течение двух секунд до закрытия окна после потери связи с устройством, чтобы у пользователя не создавалось впечатление об аварийном завершении scrcpy.
• Налажена поддержка устройств Meta Quest с новой прошивкой (после обновления прошивки при зеркалировании наблюдалось мерцание).
• Устранена ошибка, приводившая к большой нагрузке на CPU при воспроизведении тишины во время проигрывания звука в формате OPUS.
• Добавлены новые горячие клавиши: F11 для перехода в полноэкранный режим и MOD+q для выхода.

Automatic expiry at timeout for pf(4) overload tables

A downside to tables that would tend to fill up indefinitely is that at some point they will be quite full, and the administrator would need to either manually run pfctl expire or set up a crontab entry to weed out old entries at intervals.

Now Alexandr Nedvedicky (sashan@) is airing a patch on tech@ that would add a timeout option to to tables declarations, doing away with the need to set up crontab entries to run pfctl expire.

The patch and the explanation can be found in the thread pf(4) add timeout option to ip address tables, with followup discussion where several developers and users pitch in.

The message reads,

List:       openbsd-tech
Subject:    pf(4) add timeout option to ip address tables
From:       Alexandr Nedvedicky <sashan () fastmail ! net>
Date:       2026-05-11 1:05:27

Hello,

diff below should help people who use 'overload' action in their
firewall configuration. This is how pf.conf(5) describes the
overload option:

Read more…