Let's find out how to get predictable IPv6 addresses assigned to OpenBSD VMs

Florian Obser (florian@) recently gave a BSD-NL talk entitled "Let's find out how to get predictable IPv6 addresses assigned to OpenBSD VMs".

Florian takes us on a guided tour of how inet6 autoconf actually works, with enlightening and entertaining peeks into selected piece of OpenBSD source.

At the end, we are asked to "now, draw the rest of the owl".

Slides are available in the usual place, and video is also available.

AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

При этом Дэниел признал значительное повышение качества работы современных AI-анализаторов кода, которые превосходят традиционные статические анализаторы, умеют выявлять несоответствие кода описанию из комментариев, исследовать проблемы в сторонних зависимостях, учитывать специфику протоколов и предлагать исправления.

Анализ 176 тысяч строк кода Curl при помощи Claude Mythos выявил наличие 5 уязвимостей, которые были помечены в отчёте как "подтверждённые уязвимости". Ручная проверка показала, что только одна из 5 проблем приводит к уязвимости, а 4 проблемы не являются уязвимостями (три проблемы вызваны ложными срабатываниями, а одна представляет собой не связанную с безопасностью ошибку). Найденная уязвимость не связана с работой с памятью, имеет низкий уровень опасности и будет устранена в конце июня в выпуске Curl 8.21.0.

До этого за последние 8-10 месяцев код Curl проверялся при помощи AI-сервисов AISLE, Zeropath и OpenAI Codex Security, что позволило исправить 200-300 ошибок, из которых 12 были уязвимостями. Кроме того, проверки через AI выполнялись независимыми энтузиастами, присылающими отчёты об уязвимостях, выявленных при помощи AI. Всего в этом году в Curl было выявлено около 60 уязвимостей. После этих проверок модель Mythos выявила одну новую незначительную уязвимость и около двадцати мелких ошибок. Ошибки были качественно описаны AI-моделью и найдены практически без ложных срабатываний.

Тем временем, компания OpenAI представила инструментарий Daybreak на базе AI модели GPT-5.5 и AI-агента Codex, предназначенный для поиска уязвимостей, анализа вредоносного кода и разработки исправлений. В качестве опции в Daybreak предложена AI-модель GPT-5.5-Cyber, в которой убраны некоторые ограничения в области создания экплоитов и проверки безопасности систем. Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65428

GitLab объявил о сокращении персонала, реструктуризации и подготовке к эре AI-агентов

Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить управление в компании и убрать лишние уровни менеджмента для того чтобы руководители были ближе к исполнителям. В процессе реорганизации отделов R&D будет выделено 60 небольших автономных команд, которые будут нести полную ответственность за создаваемый продукт. Внутренние рутинные процессы будут оптимизированы с вовлечением AI-агентов для согласования решений, проверки выполнения работы и координации выполнения задач.

Объявлены три принципа, на основе которых будет формироваться новая система ценностей GitLab: скорость с качеством (работа малых команд короткими циклами с высокой планкой качества), мышление собственника (каждый сотрудник несёт ответственность за результат и ощущает себя владельцем компании) и клиентоориентированность (основное внимание на пользу для клиента). Для стимулирования сотрудников будет введена программа премий, которые будут составлять до 10% от зарплаты и зависеть от достигнутых результатов. Сотрудникам, не согласным с новой политикой компании, предлагается до 18 мая принять решение о добровольном увольнении.

Платформа GitLab будет оптимизирована для трёх режимов работы: разработка человеком, использование человеком AI-агентов и автономная работа AI-агентов. Помимо оплаты по подписке, будет внедрена возможность оплаты по факту потребления ресурсов, израсходованных AI-агентами. Средства непрерывной интеграции и доставки (CI/CD) будут расширены возможностями для координации работы AI-агентов, оценки результатов и проверки соблюдения ими правил.

Инфраструктура и Git будут расширены в плане предоставления API для AI-агентов и оркестровки работы AI-агентов, а также оптимизированы для нагрузок, создаваемых AI-агентами. В ядро платформы будет интегрированы инструменты для контроля и аудита. Планируется задействование единой AI-модели, доступной через API, которую можно будет использовать для написания кода, рецензирования изменений, планирования работы и проверки безопасности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65427

NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA

Инструментарий включает в себя:

• Бэкенд генерации кода для компилятора rustc, позволяющий компилировать функции с атрибутом "#[kernel]" в параллельно исполняемые на GPU ядра в представлении CUDA PTX. При компиляции используется штатная для rustc цепочка преобразований на базе фреймворка Pliron: Rust -> MIR -> Pliron IR -> LLVM IR -> PTX.
• Унифицированная система сборки компонентов, выполняемых на хост-системе и на GPU, которая сводится к выполнению команд "cargo oxide build" и "cargo oxide run".
• Набор Rust-абстракций, который можно использовать в ядрах на стороне GPU. Например, доступны функции для индексации, использования разделяемой памяти и барьеров, атомарных операций, синхронизации групп потоков, TMA (Tensor Memory Accelerator). Возможен вызов обвязок над низкоуровневыми инструкциями, специфичными для архитектуры Blackwell (например, расширенные матричные операции).
• Crate-пакеты с выполняемыми на стороне хоста компонентами CUDA runtime, позволяющими управлять памятью, запускать ядра на GPU и взаимодействовать с выполняемыми на GPU функциями в асинхронном режиме.
• Коллекция примеров ядер, демонстрирующих такие возможности, как работа с векторами, умножение матриц (GEMM), атомарные операции, асинхронное выполнение, интеграция с библиотекой MathDx, применение дженериков и замыканий, взаимодействия с CUDA-ядрами на C++/CCCL.

Ядра для GPU создаются на обычном Rust (не диалект), но выполняются в окружении no_std и могут использовать только функции из библиотеки libcore и ранее отмеченные специализированные Rust-абстракции, без доступа к стандартной библиотеке Rust (libstd). Поддерживаются примитивные типы (u8..u64, f32, f64, bool), структуры, перечисления, кортежи, массивы ([T; N]) и слайсы (&[T]), операторы match / if / if let, циклы for и while, итераторы (.iter(), .enumerate()), замыкания и дженерики. Не поддерживаются типы String, Vec и Box, макросы format!, panic! и println!, Trait-объекты и реализуемые через обращение к операционной системе функции стандартной библиотеки (работа с файлами, ввод/вывод, сетевые операции).

Доступно три уровня обеспечения безопасности CUDA-ядер на Rust: защита через систему типов (safe), использование блоков unsafe и обращение к низкоуровневым аппаратным инструкциям. Производительность созданной на CUDA-oxide реализации матричного умножения (GEMM SoL) на GPU B200 достигает 868 триллионов операций в секунду, что составляет 58% от производительности оптимизированной библиотеки cuBLAS.

External Attachment: image

External Attachment: image

External Attachment: image

External Attachment: image

External Attachment: image

External Attachment: image

Game of Trees 0.125 released

Version 0.125 of Game of Trees has been released (and the port updated). Note the security fixes:

• security fix: reject versioned files inside .git, .got, or .cvg directories
• security fix: crafted tree entry names could cause writes outside work tree
• fix redundant pack file cleanup when repository contains symlinks
• prevent NULL pointer dereferences when empty tree objects are encountered

Recent downtime

Обновления Tor 0.4.8.25 и 0.4.9.8 с устранением уязвимостей. Выпуск Arti 2.3.0

• TROVE-2026-011 - ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений (cell) END, TRUNCATE и TRUNCATED;
• TROVE-2026-008 - неправильная обработка сообщений BEGIN_DIR при использовании механизма conflux.
• TROVE-2026-010 - в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния.
• TROVE-2026-009 - аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек.
• TROVE-2026-006 - разыменование нулевого указателя, которое может произойти при обработке специально оформленного сообщения CERT.
• TROVE-2026-007 - чтение из области вне выделенного буфера, возникающее при обработке специально оформленного сообщения BEGIN.

Debian уже выпустил обновление пакета tor 0.4.9.8-0+deb13u1 для стабильной версии дистрибутива и 0.4.9.8-1 для нестабильной. Исправления уязвимостей вошли в состав выпусков Tor Browser 15.0.13 и Tails 7.7.3.

Несколько дней назад также опубликован выпуск Arti 2.3.0, реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии проложено развитие функциональности для релеев и серверов директорий (Directory Authority), добавлен новый RPC API для инспектирования туннелей, предоставлена поддержка сохранения логов через syslog и добавлена настройка logging.protocol_warnings для отражения в логе предупреждений о некорректном использовании протокола.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65424

Рука не поднялась грушевое полешко отправить в топку печки. Если кто придумает на какие поделки их извести - заверну и отправлю в подарок.

Иначе ручек наделаю. К мебели.

Выпуск редактора изображений Photoflare 1.7.0

Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме. Например Photoflare позволяет изменять формат и размер, применять фильтры, поворачивать изображение, выравнивать яркость и насыщенность сразу в нескольких выбранных файлах.

В новой версии:

• Осуществлён переход c Qt5 на ветку Qt6. Переработана система сборки, заменён устаревший API и обновлены зависимости.
• Реализована поддержка масштабирования на экранах с высокой плотностью пикселей (HiDPI). Инструменты выделения и реализации курсоров адаптированы для работы с HiDPI.
• Полностью переписан код отрисовки элементов на холсте, значительно повышена производительность рисования и применения фильтров, повышена гладкость отрисовки линий. Для снижения потребления памяти и снижения нагрузки на CPU обеспечена перерисовка только изменённых областей. По сравнению с прошлым движком отрисовки новый движок быстрее при работе с изображениями с разрешением 1920×1080 в 2-3 раза, 4K - в 5-10 раз и 9999×9999 - в 10-50 раз.
• Обеспечена полная интеграция с инструментарием для обработки изображений G'MIC и добавлена возможность применения предоставляемых в G'MIC эффектов и фильтров для обработки изображений. Добавлено отдельное меню Filters, включающее несколько сотен фильтров, разбитых на категории.
• Обновлён инструмент выделения областей на изображении, который теперь может применяться раздельно для каждой вкладки. Добавлена поддержка перемещения выделенной области при помощи мыши или клавиатуры. Реализованы новые типы выделения - "эллипс" для выделения овальных областей и "лассо" - для выделения произвольной формы.
• Добавлен режим редактирования, не выходя за границы выделенной области. Ограничение в данном режиме действует среди прочего для фильтров и манипуляций с цветом.
• Расширены инструменты рисования. Добавлен режим ограничения излома линий прямыми углами, активируемый при удержании клавиши Shift. В ластик добавлен режим стирания с заменой цвета на прозрачность. Для быстрого стирания теперь можно использовать правую кнопку мыши. Улучшена гладкость штрихов кисти.
• Помимо фильтров из набора G’Mic, в состав включено несколько собственных фильтров:

  Пикселизация

  

  Виньетирование

  

  Пиксельное рассеивание

  

  Эскиз

  
• На холст добавлены вертикальная и горизонтальная линейки, которые можно включать и отключать через меню View.
• Предложен новый набор пиктограмм для тёмного режима оформления.
• Обеспечено сохранение исходных метаданных Exif и их просмотр в диалоге со свойствами изображения.
• При вставке изображений из файла или буфера обмена обеспечен показ опций для поворота и масштабирования вставленного изображения. В панель добавлены кнопки для вставки как нового изображения. Реализована поддержка перемещения изображений мышью в режиме drag&drop.
• Добавлена опция для изменения размера изображения в процентах.
• Добавлена возможность панорамирования после увеличения масштаба через перемещение курсора, удерживая среднюю кнопку мыши.
• Обеспечено сохранение позиции панелей и виджетов, а также выбранных цветов между перезапусками. Настройки инструментов при перезапуске сбрасываются в состояние по умолчанию.
• В панель инструментов добавлены кнопки для увеличения и уменьшения масштаба, а также изменения настроек координатной сетки.
• Добавлен переносимый режим, при котором настройки размещаются в одном каталоге с исполняемым файлом.
• Реализована начальная поддержка расширения функциональности через плагины.

Отдельно авторами Photoflare анонсировано создание расширенного коммерческого редактора PhotoFlare Studio, который попытается занять нишу между GIMP и Affinity Photo, и будет интересен тем, кто считает работу в GIMP слишком сложной, но не нуждается в продвинутых возможностях Affinity Photo. В PhotoFlare Studio будут реализованы такие возможности, как слои, режимы смешивания недеструктивное редактирование, профессиональная работа с кистями через libmypaint, встроенные AI-инструменты на базе локально выполняемых моделей, работа с RAW-изображениями.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65423

Проводим DOOM II турнир в комп.клубе "Тот Самый" в Санкт-Петербурге.

Psst! Hey, you, yes you,
here's another zine about some obscure computing paradigm.
https://wiki.xxiivv.com/site/pocket_nets

Google увеличил вознаграждение за выявление уязвимостей в Android до $1.5 млн, а в Chrome - до $500 тысяч

Максимальный размер вознаграждения за создание эксплоита для Chrome, позволяющего при открытии web-страницы обойти все уровни изоляции браузера и выполнить свой код в системе, увеличен до 250 тысяч долларов. Дополнительно предусмотрена бонусная надбавка в ещё в 250 тысяч долларов ($250128), если эксплуатация затронет операции работы с памятью, защищённые при помощи механизма MiraclePtr. MiraclePtr предоставляет обвязку над указателями, выполняющую дополнительные проверки и аварийно завершающую работу в случае обнаружения обращения к освобождённым областям памяти.

Помимо этого для Chrome действуют премии, размером до $10 тысяч за обход изоляции между сайтами или разграничения доступа в JavaScript (XSS), до $5000 за обход ограничений хранилища, эксплуатацию процесса отрисовки, извлечение пользовательской информации и спуфинг URL в адресной строке, а также от $500 до $7500 за иные виды уязвимостей. За специфичные для Chrome OS уязвимости установлены премии, размером до $30000 плюс $10000 за разработку исправления.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65422

Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google

Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), пройти новую капчу не смогут. Суть метода на основе QR-кода в подтверждении обладания сертифицированным устройством. В случае с Android, подтверждение осуществляется при помощи API Play Integrity, предоставляемого в Play Services для аттестации, и позволяющего убедиться, что устройство не модифицировано и сертифицировано в Google.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65420

Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506

Среди изменений в новой версии:

• В репозиторий (SPECS и SPECS-EXTENDED) добавлены пакеты ignition и rust-afterburn.
• Пакет с сетевым анализатором Wireshark пересобран с поддержкой языка Lua.
• При сборке пакета с ядром для архитектуры arm64 включён параметр CONFIG_IKCONFIG_PROC, включающий возможность получения доступа к сборочной конфигурации текущего ядра через файл /proc/config.gz.
• Улучшена поддержка live-миграции в QEMU.
• В файл PackageBuild.yml добавлен параметр extraMacrosFiles для передачи дополнительных файлов с макросами во время сборки пакета.
• Устранено несколько десятков уязвимостей в различных пакетах.
• Обновлены версии ядра Linux 6.6.137.1, clamav 1.5.2, cloud-hypervisor 51.1.56, containerd2 2.1.6, cups 2.4.18, erlang 26.2.5.20, golang 1.26.2-1, libpng 1.6.57, mysql 8.0.46.

Дистрибутив Azure Linux предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Более сложные и специализированные решения могут создаваться путём добавления дополнительных пакетов поверх Azure Linux, но основа для всех подобных систем остаётся неизменной, что упрощает сопровождение и подготовку обновлений.

Azure Linux применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Расширенная функциональность в WSLg реализуется через включение дополнительных пакетов с композитным сервером Weston, XWayland, PulseAudio и FreeRDP.

Для управления сервисами и загрузкой применяется системный менеджер systemd. Для управления пакетами поставляются пакетные менеджеры RPM и DNF. SSH-сервер по умолчанию не включается. Для установки дистрибутива предоставляется инсталлятор, который может работать как в текстовом, так и в графическом режимах. В инсталляторе предоставляется возможность установки с полным или базовым набором пакетов, предлагается интерфейс для выбора дискового раздела, выбора имени хоста и создания пользователей.

Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий, включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации.

Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки. В проекте применяется подход "максимальная безопасность по умолчанию", подразумевающий включение различных дополнительных механизмов для повышения защиты:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Использование iptables для фильтрации сетевых пакетов.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% для архитектуры x86_64 и 96.8% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета (3%), а у 7952 пакетов (21%) возникли общие проблемы при компиляции из исходного кода.

Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65418

Бутылка "молока" и кусок "масла" - 500 рублей!

Опубликован музыкальный проигрыватель Nocturne 1.0

Основные возможности:

• Поддержка воспроизведения локальных файлов, а также музыки из потоковых сервисов и интернет-радио.
• Управление музыкальной библиотекой с использованием музыкального сервера Navidrome и возможностью группировки по альбомам, музыкантам и спискам воспроизведения.
• Наличие визуализатора звука и эквалайзера.
• Автоматическая загрузка и отображение текстов песен для проигрываемых композиций. Режим караоке с симуляцией пословного показа лирики.
• Возможность обращения к внешним музыкальным библиотекам при помощи протоколов OpenSubsonic и Jellyfin.
• Поддержка протокола MPRIS (Media Player Remote Interfacing Specification) для управления воспроизведением (например, для управления из панельных виджетов).
• Возможность работы в offline-режиме.

Среди изменений в выпуске Nocturne 1.0:

• Поддержка изменения максимального битрейта.
• Поддержка нормализации громкости (ReplayGain).
• Настройка для отображения плеера в боковой панели.
• Режим воспроизведения без пауз между треками (Gapless).
• Возможность группировки песен в альбоме в привязке к дискам.
• Опция для динамической смены фона основного окна.
• Возможность динамической загрузки списков воспроизведения и альбомов.
• Поддержка технологии входа Quick Connect в Jellyfin.

Бета-выпуск языка программирования Mojo 1.0

В состав платформы включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo notebook. Исходный код стандартной библиотеки Mojo открыты под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Исходный код компилятора планируют открыть после завершения стабилизации внутренней архитектуры.

Язык Mojo развивается под руководством Криса Латнера (Chris Lattner), основателя и главного архитектора проекта LLVM и создателя языка программирования Swift. Синтаксис Mojo основан на языке Python, а система типов близка к C/C++. Проект преподносится как язык общего назначения, расширяющий возможности языка Python средствами системного программирования, подходящий для широкого круга задач и сочетающий простоту применения для исследовательских разработок и быстрого создания прототипов с пригодностью для формирования высокопроизводительных конечных продуктов.

Простота достигается благодаря использованию привычного синтаксиса языка Python, а разработке конечных продуктов способствуют возможность компиляции в машинный код, механизмы безопасной работы с памятью и задействование средств для аппаратного ускорения вычислений. Для достижения высокой производительности поддерживается распараллеливание вычислений с задействованием всех имеющихся в системе аппаратных ресурсов гетерогенных систем, таких как GPU, специализированные ускорители для машинного обучения и векторные процессорные инструкции (SIMD). При интенсивных вычислениях распараллеливание и задействование всех вычислительных ресурсов даёт возможность добиться производительности, превосходящей приложения на C/C++.

Язык поддерживает статическую типизацию и средства для безопасной низкоуровневой работы с памятью, напоминающие возможности языка Rust, такие как отслеживание времени жизни ссылок и проверка заимствования переменных (borrow checker). При этом в языке доступны и возможности для низкоуровневой работы, например, возможно прямое обращение к памяти в режиме unsafe с использованием типа Pointer, вызов отдельных SIMD-инструкций или доступ к аппаратным расширениям, таким как TensorCores и AMX.

Mojo может использоваться как в режиме интерпретации с использованием JIT, так и для компиляции в исполняемые файлы (AOT, ahead-of-time). В компилятор встроены современные технологии автоматической оптимизации, кэширования и распределённой компиляции. Исходный код на языке Mojo преобразуются в низкоуровневый промежуточный код MLIR (Multi-Level Intermediate Representation), развиваемый проектом LLVM. Компилятор позволяет применять для генерации машинного кода различные бэкенды, поддерживающие MLIR.

Среди изменений в Mojo 1.0.0b1:

• Ключевое слово "fn" объявлено устаревшим - для объявления функций следует использовать ключевое слово "def" (возможности "fn" и "def" объединены, и в "def" реализована семантика "fn" без генерации исключений).
• Унифицирована реализация замыканий (closure). Не учитывающие контекст замыкания (stateless) теперь автоматически преобразуются в функции верхнего уровня и могут использоваться как callback-вызовы в FFI (Foreign Function Interface). Добавлена поддержка захвата по ссылке (ref capture). При объявлении функций добавлен признак "thin" для объявления простого типа указателя на функцию без захвата состояния.
• Указатели с типом UnsafePointer теперь не могут принимать значение null по умолчанию, а для работы с null-указателями необходимо использовать "Optional[UnsafePointer[...]]", что позволяет исключить накладные расходы при работе с null-указателями и сохранить возможность безопасного применения в FFI.
• По умолчанию в коде для CPU в коллекциях включена проверка допустимых границ (на GPU проверка отключена для производительности, но может быть отключена при сборке с "mojo build -D ASSERT=all"). Прекращена поддержка указания отрицательных значений в индексах (запрещено "x[-1]", но можно указывать "x[len(x)-1]").
• Из стандартной библиотек удалён тип NDBuffer, вместо которого следует использовать TileTensor.
• Расширена поддержка работы с GPU через графический API Metal на системах Apple (например, появилась поддержка print() и матричных инструкций M5). Добавлена поддержка ускорителей AMD MI250X и NVIDIA B300.
• Идентификаторы примитивов GPU (индексы потоков и блоков) переведены с возвращения типа Int вместо UInt.
• Контекст CPU ('DeviceContext(api="cpu")') стал потокозависимым (stream-ordered). Для упорядоченного выполнения задач добавлены функции enqueue_cpu_function() и enqueue_cpu_range().
• В типах String и StringSlice добавлена поддержка графемных кластеров (Unicode UAX #29), позволяющая корректно вычислять длину и обрезать строки с emoji и комбинированных символов. Добавлены методы graphemes() и count_graphemes(), а также синтаксис слайсов "[grapheme=...]".
• Реализовано уточнение типов (Type Refinement) на этапе компиляции для автоматического сужения типов внутри выражений "where", "if" и "assert" (позволяет обойтись без явного указания trait_downcast).
• Предложен унифицированный API рефлексии, в котором предложена новая функция reflect[T](), возвращающая Reflected[T] и заменяющая семейство функций struct_field_* и старые методы get_type_name().

Одновременно сформирован выпуск движка MAX Framework 26.3, предлагающего платформу для разработок в области машинного обучения. MAX Framework дополняет инструментарий Mojo средствами для разработки и отладки приложений, использующих модели машинного обучения в различных форматах (TensorFlow, PyTorch, ONNX и т.п.). В новой версии MAX Framework добавлена возможность генерации видео, расширена поддержка работ с использованием нескольких GPU, значительно повышена производительность интерпретатора (некоторые операции стали выполняться быстрее в 10-20 раз).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65415

Выпуск lay, автокорректора слов, введённых не в той раскладке, для GNOME c Wayland

Основной сценарий использования: пользователь набрал, например, "ghbdtn" вместо "привет", нажал Shift два раза, и слово перепечатывается в другой раскладке. Замена осуществляется по месту, без копирования текста через буфер обмена (программа симулирует нажатие клавиши Backspace для затирания ошибочно введённого слова и затем повторяет ввод в правильной раскладке). В смешанном тексте lay старается не трогать уже корректные соседние слова, например, "good ntrcn" будет преобразовано в "good текст", а "wi-fi ye" а wi-fi ну". Возможна точная автоподмена слов по пользовательскому словарю.

Проект состоит из фонового процесса, который работает с evdev/uinput, и небольшого дополнения к GNOME Shell, обеспечивающего переключение раскладки в GNOME на базе Wayland. По умолчанию программа работает локально и не использует облако, буфер обмена или большие языковые модели. В качестве опции доступен экспериментальный режим "--smart", в котором для автоматического определения ошибочного ввода применяется локально выполняемая AI-модель. В состав также входит отдельная утилита командной строки для преобразования текста не в другой раскладке. Поддержка в настоящее время ориентирована на GNOME Wayland и русский/английский языки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65414

Выпуск композитного сервера Hyprland 0.55

Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.

В новой версии:

• Предоставлена опциональная возможность использования языка Lua для настройки рабочего стола Hyprland. Конфигурация на языке Lua определяется в файле hyprland.lua, при отсутствии которого используется старый формат hyprland.conf.
• Добавлен API Layout, позволяющий определять в файле конфигурации собственные мозаичные раскладки окон, используя язык Lua. Раскладки могут привязываться к монитору или виртуальному рабочему столу.
  
  
• Добавлена поддержка полноэкранных окон при переключении между окнами с использованием прокрутки. Добавлена возможность управлять прокруткой при помощи жестов на тачпаде.
  
  
• Добавлена возможность загрузки своих цветовых ICC-профилей для каждого устройства вывода, используя настройку 'icc = "..path.."' в файле конфигурации.
• Улучшено управление цветом для мониторов и повышена точность цветопередачи при предоставлении совместного доступа к экрану.

В KDE ускорена программная отрисовка и реализован новый движок стилей Union

• Решено включить в состав KDE Plasma 6.7 новый движок стилей Union, но пока не ясно будет ли он активирован по умолчанию или останется в форме опции, включаемой в настройках. Union предоставляет унифицированную систему обработки стилей, позволяющую использовать разные технологии стилевого оформления приложений, доступные в KDE.

  Движок состоит из трёх слоёв: входного, промежуточного и выходного. Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу. Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека.

  Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS, а на выходе формироваться стили для QtQuick или Qt Widgets. По умолчанию решено перейти на использование входного формата CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS.

  
• В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметка в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, в при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
• В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
• Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
• Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
• В менеджере приложений Discover улучшены средства для выявления дублирующихся приложений, установленных из системных пакетов и из внешних каталогов в формате Flatpak.
• При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
• В меню Kickoffдобавлена поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.
  
  
• В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди работ по отдельности для каждого из принтеров.

Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume".

	memmove(args->begin_argv + extend, args->begin_argv + consume,
-	    args->endp - args->begin_argv + consume);
+	    args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

• CVE-2026-35547, CVE-2026-39457 - переполнения буфера в библиотеке libnv, используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.
• CVE-2026-42512 - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.
• CVE-2026-7164 - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана неограниченным рекурсивным разбором параметров SCTP.
• CVE-2026-42511 - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.
• CVE-2026-6386 - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.
• CVE-2026-5398 - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.

Я поверю британским учёным. Но только в этот раз

Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Управление killswitch осуществляется через файл "/sys/kernel/security/killswitch/control", позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду "engage af_alg_sendmsg -1" для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения кода ошибки "-1".

В качестве имён могут использоваться любые символы, поддерживаемые подсистемой kprobes. Многие из недавно найденных в ядре серьёзных уязвимостей присутствуют в подсистемах, используемых относительной небольшим числом пользователей (например, AF_ALG, ksmbd, nf_tables, vsock, ax25). Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления. Механизм killswitch особо актуален в контексте сегодняшней уязвимости Dirty Frag, эксплоит для которой был опубликован раньше, чем проблема была устранена в ядре. Killswitch

Источник: https://www.opennet.ru/opennews/art.shtml?num=65407

Internet on my homelab: eblan

Обновление Firefox 150.0.2. За апрель в Firefox устранено 423 уязвимости

Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые попытки использования моделей GPT 4 и Sonnet 3.5 не рассматривались как успешные из-за обилия ложных отчётов. В апреле в Firefox было устранено 423 уязвимости, из которых 271 были выявлены сотрудниками Mozilla при помощи Claude Mythos. 180 уязвимостей из 271 признаны опасными, 80 присвоен умеренный уровень опасности, а 11 - низкий.

Не связанные с безопасностью исправления в Firefox 150.0.2:

• Исправлена проблема, приводившая к некорректной работе web-камеры при видеовызовах.
• Устранена ошибка, из-за которой на сайтах во внутренних или корпоративных сетях вместо запроса аутентификации показывалась пустая страница.
• Исправлена проблема во встроенном PDF-просмотрщике, из-за которой не работала функция выделения текста на отсканированных изображениях.
• Исправлена ошибка, из-за которой не исчезала метка "New" в элементе меню Split View.
• Решена проблема, приводившая к аварийному завершению процесса-обработчика вкладки после перетаскивания мышью вложенных каталогов на страницу.
• Устранено пропадание или некорректное отображение части содержимого при просмотре сайтов с продвинутыми 3D-эффектами.
• Исправлена ошибка, мешавшая корректному завершению процедуры создания локальной резервной копии.
• Устранено мерцание или сбои при отображении панели навигации и статусной строки при редактировании адреса страницы.
• Устранено искажение пиктограмм поисковых рекомендаций, показываемых при вводе в адресной строке.

Пеперомия цветёт лягушачьими лапками 😍

Скомпрометирован официальный Twitter-канал Ubuntu

Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовлютый кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютого токена и предоставлении возможности принять участие в его распределении среди пользователей.

Релиз мобильной платформы Ubuntu Touch 24.04-1.3. Смартфон Volla Plinius с Ubuntu Touch

Обновление Ubuntu Touch 24.04-1.3 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, Volla Phone Quintus, Volla Tablet, Lenovo Tab M10 HD 2nd Gen, Rabbit R1 и Xiaomi Redmi 9/9 Prime.

В выпуске Ubuntu Touch 24.04-1.3 в основном предложены исправления ошибок, приводивших к проблемам с запуском GTK4-программ, размещением окон X11-программ, воспроизведением голосовых сообщений, отправленных через MMS, масштабированием вывода некоторых Qt-приложений. Устранено проявляющееся на некоторых устройствах зависание при завершении работы. Добавлена поддержка запуска X11-программ вне окружения Lomiri. Улучшена работа с док-станциями, предоставляющими устройства ввода, такими как NexDock.

Дополнительно анонсировано начало разработки выпуска Ubuntu Touch 24.04-2.0. Наиболее заметным улучшением станет обновление web-браузера Morph Browser, который будет переведён с QtWebEngine 5.15.19 (QWE) на базе устаревшего движка Chromium 87, на современный стек Qt 6.x. Так как многие программы в Ubuntu Touch остаются на Qt 5 в выпуске Ubuntu Touch 24.04-2.0 будет поставляться одновременно Qt 5 и Qt 6, что приведёт к увеличению размера системного образа, который на некоторых поддерживаемых устройствах может не вместиться в зарезервированный для операционной системы раздел.

Отдельно можно отметить создание компанией Volla нового смартфона Volla Phone Plinius, который пришёл на смену модели Volla Phone X23 и поставляется в вариантах с Ubuntu Touch и Volla OS (сборка на основе открытой кодовой базы Android). Устройство оснащено защищённым от ударов пыле- и водо-непроницаемым корпусом. К смартфону можно подключить монитор, клавиатуру и мышь для его превращения в переносную рабочую станцию.

Начало массового производства намечено на начало июня. Стоимость модели с 8 ГБ ОЗУ и 128 ГБ хранилищем - €598, 12 ГБ ОЗУ и 256 ГБ хранилищем - €698. На момент поставки пользователь может выбрать версию с предустановленным Ubuntu Touch или Volla OS, но в разработке находится функция multi-boot в Volla OS, которая позволит установить Ubuntu Touch на карту памяти и загружать данную систему по желанию, не заменяя прошивку.

Характеристики Volla Phone Plinius:

• 6.67-дюймовый AMOLED-экран, 1080 x 2400, 120 Hz;
• 8-ядерный CPU MediaTek Dimensity 7300 (4x A78 + 4x A55) c NPU (Neural Processing Unit);
• 8 или 12 GB ОЗУ, 128 или 256 ГБ постоянного хранилища;
• Три задние камеры 64 MP, 8 MP со сверхширокоугольным объективом и 2 MP для макросъёмки;
• Селфи камера 32 MP;
• 1 Nano SIM + 1 eSIM;
• microSD;
• WiFi 6e (IEEE 802.11 a/b/g/n/ac/ax);
• Bluetooth 5.4;
• USB 2.0, USB-OTG;
• NFC;
• GNSS (Global Navigation Satellite System);
• Аккумулятор 5300 mAh.

Обновление OpenWrt 25.12.3

Среди изменений:

• Добавлена поддержка устройств:
  • mediatek filogic: ASUS RT-AX52 PRO, D-Link AQUILA PRO AI E30, Huasifei WH3000 Pro, Keenetic KAP-630 / Netcraze NAP-630, Zbtlink ZBT-Z8106AX-T, Zyxel WX5600-T0.
  • ramips EDUP EP-RT2983, Cudy LT300 v3
  • x86: DFI ADN553, DFI ASL553
• Внесены исправления, связанные с работой платформ:
  • ath79 (Netgear WNDAP360, Extreme Networks WS-AP3805i, Mikrotik),
  • ipq50xx (Linksys MX5500),
  • lantiq (Netgear DGN3500),
  • mediatek (Bananapi BPI-R4, Keenetic KN-1812, Netgear EAX17, CMCC RAX3000M, Zbtlink ZBT-Z8103AX-D),
  • mvebu (ClearFog Base/Pro),
  • qualcommax (Xiaomi AX6000, Linksys MX5300),
  • ramips (Yuncore CPE200, Wavlink WL-WN575A3, Xiaomi Mi Router 4C).
• В uqmi / umbim добавлена опция "devpath" для выбора модема по пути к устройству USB.
• Для гостевых систем добавлены модули ядра kmod-vsock и kmod-vsock-virtio.
• Обновлены версии ядра Linux 6.12.85, mbedtls 3.6.6, OpenSSL 3.5.6, wireless-regdb 2026.03.18, wolfSSL 5.9.1 и xdp-tools 1.6.3.
• Устранены уязвимости в ядре Linux (CVE-2026-31431 - Copy Fail), mbedtls, OpenSSL и wolfSSL.

Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP, используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года. Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, а но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны выполнением расшифровки данных по месту c использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за утечки информации сведения об уязвимости пришлось опубликовать до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc, ipsec и xfrm, без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать рабочий эксплоит и опубликовал его, не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp и rxrpc. CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP, используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года. Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, а но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны выполнением расшифровки данных по месту c использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за утечки информации сведения об уязвимости пришлось опубликовать до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc, ipsec и xfrm, без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать рабочий эксплоит и опубликовал его, не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp и rxrpc. CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Релиз Mesa 26.1, свободной реализации OpenGL и Vulkan

В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

Основные новшества:

• В драйверы для GPU Intel (Iris, Crocus и ANV) добавлена возможность напрямую работать с GPU из виртуальных машин, используя нативные контексты (native context) в VirtIO-GPU. Нативные контексты позволяют повысить производительность работы с виртуальным GPU (virtio-gpu-gl) из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU.
• Для GPU PowerVR добавлена поддержка OpenGL ES 2.0, реализованная через драйвер Zink, позволяющий получить аппаратно ускоренный OpenGL на устройствах, поддерживающих API Vulkan.
• Для OpenCL-драйвера rusticl теперь требуется статически собранная библиотека C++ stdlib для корректной работы с приложениями, использующими собственные C++ stdlib.
• В драйвер radeonsi (AMD) добавлена поддержка OpenGL-расширения GL_NV_timeline_semaphore.
• В драйвер panfrost (ARM Mali) добавлена поддержка OpenGL-расширения GL_EXT_shader_image_load_store.
• В драйвер v3d (Broadcom VideoCore) добавлена поддержка OpenGL-расширения GL_ARB_sample_shading.
• Добавлена поддержка Vulkan-расширений:
  • VK_ARM_scheduling_controls для panvk
  • VK_EXT_acquire_drm_display для panvk
  • VK_EXT_astc_decode_mode для panvk
  • VK_EXT_attachment_feedback_loop_dynamic_state для panvk
  • VK_EXT_attachment_feedback_loop_layout для panvk
  • VK_EXT_blend_operation_advanced для lavapipe
  • VK_EXT_color_write_enable для panvk
  • VK_EXT_conditional_rendering для panvk
  • VK_EXT_depth_clamp_control для panvk
  • VK_EXT_descriptor_heap для RADV (при выставлении 'export RADV_EXPERIMENTAL=heap')
  • VK_EXT_hdr_metadata для v3dv
  • VK_EXT_image_drm_format_modifier для pvr
  • VK_EXT_image_view_min_lod для panvk
  • VK_EXT_legacy_dithering для panvk
  • VK_EXT_map_memory_placed для panvk
  • VK_EXT_nested_command_buffer для panvk
  • VK_EXT_non_seamless_cube_map для pvr
  • VK_EXT_present_timing для RADV, NVK, Turnip, ANV, Honeykrisp, panvk
  • VK_EXT_primitive_restart_index для RADV
  • VK_EXT_rgba10x6_formats для panvk
  • VK_EXT_shader_atomic_float для panvk
  • VK_EXT_shader_stencil_export для panvk
  • VK_EXT_zero_initialize_device_memory для panvk
  • VK_KHR_copy_memory_indirect для nvk, RADV/GFX8+
  • VK_KHR_device_address_commands для RADV
  • VK_{KHR,EXT}_{surface,swapchain}_maintenance1 для panvk
  • VK_KHR_get_display_properties2 для panvk
  • VK_KHR_get_surface_capabilities2 для panvk
  • VK_KHR_internally_synchronized_queues для RADV
  • VK_KHR_maintenance4 для pvr
  • VK_KHR_pipeline_executable_properties для pvr
  • VK_KHR_present_id для panvk, v3dv
  • VK_KHR_present_wait для panvk, v3dv
  • VK_KHR_sampler_ycbcr_conversion для pvr
  • VK_KHR_shader_integer_dot_product для pvr
  • VK_KHR_shader_untyped_pointers для panvk
  • VK_KHR_swapchain_mutable_format для panvk
  • VK_QCOM_image_processing для Turnip
  • VK_VALVE_mutable_descriptor_type для panvk
  • VK_VALVE_shader_mixed_float_dot_product для RADV (Vega20, Navi14, RDNA2+)
• Реализованы OpenCL-расширения:
  • cl_khr_subgroup_ballot для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_clustered_reduce для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_extended_types для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_arithmetic для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_vote для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_rotate для asahi, llvmpipe и zink
• Драйвер VirGL с реализацией виртуального GPU для QEMU остался без сопровождения и будет удалён, если не найдётся желающий взять его сопровождение в свои руки.

Valve опубликовала CAD-файлы корпуса Steam Controller. Популярность Linux-систем в Steam

Дополнительно можно отметить отчёт с анализом предпочтений пользователей сервиса доставки игр Steam за апрель. Доля активных пользователей Steam, использующих платформу Linux, в апреле составила 4.52%. Для сравнения в марте этот показатель был 5.33%, в феврале - 2.23%, в январе - 3.38%, в декабре 2025 года - 3.58%, в апреле 2025 года - 2.27%, в апреле 2024 года - 1.9%

Наибольшую долю среди Linux систем занимает платформа SteamOS Holo, основанная на Arch Linux - 23.05% (в марте - 24.48%). Доля Linux Mint составляет 8.98% (8.8%), Arch Linux - 8.78% (8.78%), CachyOS - 8.37%, Ubuntu - 7.47% (5.25%), Bazzite - 4.74%, Fedora - 3.15%, Manjaro - 1.42% (1.45%), Debian 1.40%.

Воссоздание пользовательской оболочки Unity с использованием Wayfire и Libadwaita

Напомним, что разработчики проекта UBports развивают пользовательскую оболочку Lomiri, ответвившуюся от Unity 8, а дистрибутив Ubuntu Unity продолжает разработку кодовой базы Unity 7. Ветка Unity 7 построена с использованием GTK и технологий GNOME. В Ubuntu 16.10 в дополнение к Unity 7 в состав была включена оболочка Unity 8, переведённая на библиотеку Qt5 и дисплейный сервер Mir. Изначально компания Canonical планировала заменить оболочку Unity 7 на Unity 8, но планы изменились и в Ubuntu 17.10 был осуществлён возврат на штатный GNOME с панелью Ubuntu Dock, а развитие Unity 8 было прекращено.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65388

Мне дали денег на новый телефон, но Android — это слишком скучно, поэтому я хочу себе #линуксофон на #postmarketOS.

Не хотелось бы покупать девайс у совсем уж незнакомых людей на Авито, так что сначала спрошу здесь, вдруг кто-то хочет свой продать. Бюджет — в пределах 15 килорублей.

Если есть советы по покупке, или вы хотите меня отговорить, то тоже пишите.

@rf

Охтышёпт

「Французскому поэту Шарлю Бодлеру приписывают сонет «Суп из майских жуков» (Le Potage aux Hannetons, 1908), где речь идёт о любовных воспоминаниях лирического героя, связанных с употреблением супа:

«Под зубами в оскомине скрежет жуков,
Лапки острые нёбу и рту угрожают,
Из разжеванной массы концы вылезают
Паутине подобных кишок их кусков»」

#вкусно

Художник Гаврилин Евгений Геннадьевич @rur

#art #длядуши

Релиз Chrome 148

Основные изменения в Chrome 148 (1, 2, 3, 4):

• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран из Азиатско-Тихоокеанского региона.
• Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.
• Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).
• Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.
• В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
• В версии для Android появился режим возвращения сайтам приблизительного, а не точного местоположения.
• Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.
• Реализован API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (модель занимает 4 ГБ, загружается автоматически и устанавливается в виде файла weights.bin в подкаталог OptGuideOnDeviceModel).
• В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.
• CSS-запросы "@container" теперь могут вызываться с использованием только имени контейнера (container-name) без указания типа (container-type).

     #container {
       container-name: --foo;
     }
     @container --foo {
       input { background-color: green; }
     }
  

• В CSS добавлено ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

     div {
       display: if(style(--layout: fancy): grid; else: revert-rule);
     }
  

• Для CSS-свойства "text-decoration-skip-ink" реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.
• В версии для Android добавлена возможность использования API Web Serial для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.
• В элементах ‹video› и ‹audio› появилась возможность указания атрибута "loading=lazy" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.
• Добавлена поддержка второй версии расширения формата Open Font "avar" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.
• Внесены улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65386

Выпуск системы управления контейнерами Incus 7.0 LTS

Incus 7.0 LTS будет поддерживаться до июня 2031 года. Первые два года планируется выпуск корректирующих обновлений с исправлением ошибок и мелкими улучшениями, после чего проект перейдёт на стадию сопровождения c исправлением только критических уязвимостей. Текущая ветка Incus 6.0 LTS переведена в режим поддержки, при котором публикуются только исправления, связанные с безопасностью.

Основные изменения и новшества:

• Обработчик объектного хранилища S3 на базе Minio заменён на собственную встроенную реализацию.
• Добавлена опция "core.shutdown_action" для определения действий при выключении сервера.
• Реализован низкоуровневый API для создания резервных копий.
• Добавлена настройка "restricted.storage-pools.access", через которую можно ограничить пулы хранения, доступные для проекта.
• Добавлены скриптлеты для управления размещением инстансов при перебалансировке кластера.
• Поведение команд "incus file push" и "incus file pull" приближено к утилите "cp".
• Исправлено 9 уязвимостей, среди которых 7 имеют умеренную степень опасности (включая CVE-2026-35527 и CVE-2026-40195) и 2 - низкую.
• Прекращена поддержка cgroupv1 и iptables/ip6tables/ebtables (рекомендуется переход на nftables).
• Повышены минимальные системные требования к окружению.
• Среди улучшений, относительно LTS-ветки Incus 6.0: полноценная поддержка контейнеров в формате OCI, реализация зависимых томов хранения, поддержка наборов сетевых адресов (Network address sets), новые драйверы для хранилищ Linstor и TrueNAS, возможность определения базового уровня CPU для групп кластера.

Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert

В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности о выявлении вредоносных приложений, заверенного сертификатами Digicert, 14 апреля был инициирован повторный разбор, показавший, что 4 апреля была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

Добившись выполнения своего кода на внутренней системе атакующий получил доступ к порталу службы поддержки, на котором можно было просматривать заказы клиентов. Воспользовавшись данной возможностью атакующий узнал коды инициализации заявок на получение сертификатов "EV Code Signing", подтверждённых, но ещё не выданных клиентам. Данные коды были использованы для получения сертификатов от имени клиентов.

По результатам разбора инцидента было отозвано 60 сертификатов, из которых для 27 удалось отследить прямую связь с атакующим, а 33 отозваны превентивно, так как для них не удалось подтвердить получение клиентом. Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65383

Автор платформы Bun проводит эксперимент по переписыванию с Zig на Rust

Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, что бы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. В конечном счёте планируется провести сравнительное тестирование вариантов Bun на Zig и Rust.

В декабре прошлого года проект Bun поглотила компания Anthropic, поэтому у Джарреда есть ресурсы для вовлечения в портирование передовых AI-моделей Claude. Платформа Bun применяется в продуктах Claude Code и Claude Agent SDK, и компания Anthropic заинтересована в повышении её качества и развитии. Bun является одним из самых успешных проектов на языке Zig, при этом у разработчиков Zig и Bun расходятся мнения в отношении применения AI в процессе разработки. В проекте Zig утверждён жёсткий запрет применения больших языковых моделей при подготовке pull-запросов, issue и комментариев (запрещён даже перевод через AI неанглоязычных комментариев).

Введение подобных ограничений объясняется разработчиками Zig негативным опытом в рецензировании созданных через AI pull-запросов, которые отнимают ресурсы и время (например, отмечаются бессмысленные изменения, AI-галлюцинации и раздутые коммиты в 10 тысяч строк). Кроме того, проект Zig позиционирует себя как ориентированный на участников, а не вносимый ими вклад в разработку - главной целью принятия pull-запросов называется не добавление нового кода, а помощь в развитии новых участников.

Автор Bun не согласен с запретом AI в Zig и полагает, что AI-слоп останется ностальгическим пережитком 2025 и 2026 годов, а разработка открытого ПО эволюционирует до запрета приёма кода от людей. Люди будут обсуждать проблемы, ставить задачи и расставлять приоритеты, а написание кода и отправка изменений в репозитории станет уделом AI. В качестве причины экспериментов с переписыванием на Rust также отмечается желание устранить проблемы в Bun, вызванные утечками памяти, и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

Из-за запрета применения AI разработчики Bun вынуждены поддерживать собственный форк инструментария Zig, в котором благодаря применению AI удалось в 4 раза ускорить компиляцию за счёт распараллеливания семантического анализа и генерации кода. При этом судя по комментарию одного из разработчиков Zig причина отклонения патчей не в AI, а в том, что распараллеливание семантического анализа затрагивает не только компилятор, но и сам язык - чтобы реализовать предложенную функциональность без ошибок и несовместимостей, требуется внесение изменений в язык Zig. Вместо распараллеливания, разработчики Zig развивают инкрементальную компиляцию, которая по их предположению позволит на порядок повысить скорость компиляции.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

Łatanu / Latanu - U imia Chaosu (2026)
ŁATANU declares the beginning of the Great Hunt and presents their new opus - the third chapter of a conceptual creation that hymns the triumph of primordial Darkness over the world of light and human insignificance. It is a sonic manifestation of the end of times, where the cold void of cosmos meets occult frenzy.
https://h-o-h.bandcamp.com/album/u-imia-chaosu
#blackmetal

Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов в зоне "DE". Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается, что проблема возникла из-за ошибки при обновлении цифровой подписи для зоны "DE", произведённом 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне "DE" операции криптографическая подпись (RRSIG - Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65380

Выпуск каталогизатора домашней библиотеки MyLibrary 5.0

MyLibrary каталогизирует файлы книг в формате fb2, epub, pdf, djvu, odt, txt, md, как доступные напрямую, так и упакованные в архивы (zip, 7z, jar, cpio, iso, tar, tar.gz, tar.bz2, tar.xz, rar), и создаёт собственную базу данных, не изменяя исходные файлы и не меняя их положения. Для каталогизации также доступен формат fbd (файл книги, упакованный в архив вместе с файлом с расширением fbd, содержащем тег description формата fb2). В формате fbd могут храниться любые файлы, не только книги. Контроль целостности коллекции и её изменений осуществляется за счёт создания базы данных хэш-сумм файлов и архивов.

Реализован поиск книг по различным критериям (фамилия, имя, отчество автора, название книги, серия, жанр) и их чтение через программу, по умолчанию установленную в системе для открытия соответствующих форматов файлов. При выборе книги отображаются аннотация и обложка книги, если таковые доступны. Поддерживается отображение списка файлов, входящих в коллекцию; списка книг, входящих в конкретный файл; списка авторов коллекции; списка книг, для которых пользователь создал заметки.

Возможны различные операции с коллекцией: обновление (осуществляется проверка всей коллекции и сверка хеш-сумм доступных файлов), быстрое обновление (сличаются размеры файлов), экспорт и импорт базы данных коллекции, добавление книг в коллекцию и удаление книг из коллекции, добавление в коллекцию папок с книгами, добавление в коллекцию архивов с книгами, копирование книг коллекции в произвольную папку. Доступно ручное редактирование записей о книгах в базе данных. Создан механизм закладок для быстрого доступа к книгам. Есть возможность создавать пользовательские заметки к книгам. Доступен интерфейс для создания и подключения плагинов.

MyLibrary может работать с коллекциями, находящимися на внешнем сервере (соответствующие папки и файлы должны быть доступны по протоколу SMB и смонтированы на локальном компьютере с помощью gvfs, kio-fuse или их аналогов).

Значимые изменения:

• Проект переведён на использование нового типа базы данных (коллекции, закладки, заметки).
• Добавлен слой совместимости со старыми базами данных: коллекции, созданные в предыдущих версиях программы, загружаются и работают в режиме ограниченной функциональности (отключены функции редактирования базы данных и некоторые другие), закладки и заметки - без каких либо ограничений (старые базы будут автоматически преобразованы в новые при изменении заметок или закладок).
• Графический интерфейс переведён на использование Qt6.
• Изменено поведение функции создания коллекций - теперь в коллекцию можно добавлять произвольный набор папок и поддерживаемых файлов.
• Добавлена функция создания коллекций из inpx файлов. Содержимое inpx файлов будет загружаться "на лету" при переключении на соответствующую коллекцию. Inpx коллекции работают в режиме ограниченной функциональности (отключены функции редактирования базы данных и некоторые другие).
• Изменено поведение функции обновления коллекций. При попытке обновления устаревших и inpx коллекций они будут преобразованы в нативные. При обновлении нативных коллекций - в случае быстрого обновления - проверяются наличие и размеры файлов, если размер файла изменился - будет выполнен его повторный разбор. При обычном обновлении вместо размеров проверяются хеш-суммы файлов.
• Изменено поведение функции добавления книг в существующую коллекцию. Новые книги теперь добавляются в базу данных без перемещения соответствующих файлов.
• Улучшена работа поисковых алгоритмов.
• Ускорена работа функции отображения авторов коллекции.
• Переработан API библиотеки MLBookProc и библиотеки для подключения плагинов.
• Улучшена работа библиотеки разбора xml файлов, добавлена начальная поддержка формата html.
• Отключена возможность создания документации внутренних библиотек в формате pdf. Вместо неё добавлена документация в виде man страниц. Документация в формате html - без изменений.
• Для сборки теперь требуется поддержка компилятором стандарта C++20.
• В разряд обязательных переведена поддержка компилятором стандарта OpenMP.
• Изменены сценарии сборки и сборочные опции.
• Другие небольшие изменения и улучшения.

Дополнительно можно отметить обновление плагина MLFBDPlugin (доступен под лицензией GPLv3 на altlinux.space и GitHub, для пользователей Arch Linux доступен в AUR), предназначенного для создания файлов в формате fbd. В новой версии плагин переведён на использование Qt6.

Также можно отметить первый выпуск плагина MLArchiverPlugin. Плагин предназначен для создания и редактирования архивов и доступен (altlinux.space, GitHub, AUR) под лицензией GPLv3.

Репозитории плагина MLInpxPlugin переведены в архивный режим - функциональность плагина включена в состав основной программы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65371

Опубликована платформа Node.js 26.0.0

Основные улучшения:

• Включён по умолчанию API Temporal, предлагающий альтернативный набор методов для работы с датами и временем. API позволяет манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем. Время может задаваться в независимом от часового пояса представлении (Temporal.PlainDate, Temporal.PlainTime, Temporal.PlainDateTime), с привязкой к часовому поясу (Temporal.ZonedDateTime) и в эпохальном представлении (Temporal.Instant - число наносекунд с 1 января 1970 года).
• Движок V8 обновлён до версии 14.6, применяемой в Chromium 146. Из улучшений по сравнению с прошлым выпуском Node.js отмечена возможность объединять несколько итераторов в один с помощью метода Iterator.concat(), а также реализация спецификации "upsert" для упрощения работы с коллекциями пар ключ/значение в JavaScript-объектах Map и WeakMap.
• HTTP-клиент undici обновлён до ветки 8.x.
• Удалён метод http.Server.prototype.writeHeader(), вместо которого следует использовать http.Server.prototype.writeHead().

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8. По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python asyncio и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65374

Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License

Ранее интерпретатор PHP и движок Zend Engine распространялись под разными лицензиями PHP License и Zend Engine License. Переход на общую лицензию BSD-3 упростит условия лицензирования, обеспечит совместимость с GPL и решит давние проблемы, сохранив при этом все права пользователей и разработчиков. Ранее применявшиеся лицензии были признаны Фондом СПО несовместимыми с GPL из-за пункта, не позволяющего без получения письменного разрешения использовать слово PHP при продвижении производных продуктов.

Изначально ветки PHP 1.x и 2.x поставлялись под лицензией GPLv2, но ветка PHP 3 была переведена на использование двух лицензий - PHP License и GPL. В PHP 4 лицензия была изменена ещё раз - основной код стал распространяться только под лицензией PHP License, а движок Zend Engine, являющийся основной интерпретатора PHP, был размещён в подкаталоге "Zend/" под отдельной лицензией Zend Engine License. Zend Engine License, как и PHP License, содержит ограничения в отношении использования слова Zend в производных продуктах, но дополнительно требует упоминания использования движка в рекламных материалах.

После перехода на лицензию BSD-3 авторские права всех участников разработки сохранились, а права пользователей остались без изменений. Новая лицензия не налагает дополнительных ограничений и не ущемляет имеющихся прав по использованию, модификации и распространению продукта. Лицензии PHP и Zend основаны на тексте 4-пунктовой лицензии BSD и переход на лицензию BSD-3 лишь привёл к удалению пунктов, определяющих требования в отношении использования бренда "PHP", а также к прекращению действия условия, предписывающего упоминать об использовании свободного проекта PHP в производных продуктах.

Cмена лицензии не потребовала получения отдельного согласия от каждого разработчика, так как в тексте лицензий PHP и Zend определены полномочия, позволяющие PHP Group вносить изменения в лицензию и выпускать новые версии лицензии. Для перехода на лицензию BSD-3 было достаточно одобрения членов PHP Group и получения письменного подтверждения от юристов компании Perforce Software, которой принадлежит компания Zend Technologies. Процесс перехода на новую лицензию оформлен как обновление кода до версий PHP License v4 и Zend Engine License v3, текст которых совпадает с текстом лицензии BSD-3.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65372

Выпуск операционной системы ToaruOS 2.3

В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых оформлено большинство имеющихся драйверов устройств, таких как драйверы диска (PATA и ATAPI), ФС EXT2 и ISO9660, framebuffer, клавиатуры, мыши, сетевых карт (AMD PCnet FAST, Realtek RTL8139 и Intel PRO/1000), звуковых чипов (Intel AC'97), а также дополнений VirtualBox для гостевых систем. Ядро поддерживает Unix-потоки, TTY, виртуальную ФС, псевдо-ФС /proc, многопоточность, IPC, ramdisk, ptrace, разделяемую память, многозадачность и другие типовые возможности.

Cистема снабжена композитным оконным менеджером, поддерживает динамически связываемые исполняемые файлы в формате ELF, многозадачность, графический стек, может выполнять Python 3 и GCC. В качестве файловой системы применяется ext2. Загрузчик поддерживает BIOS и EFI. Сетевой стек позволяет использовать API сокетов в стиле BSD-систем и поддерживает сетевые интерфейсы, включая loopback.

Из собственных приложений выделяется похожий на Vi редактор кода Bim, который используется последние несколько лет для разработки специфичных для ToaruOS приложений, таких как файловый менеджер, эмулятор терминала, графическая панель с поддержкой виджетов, пакетный менеджер, а также библиотеки для поддержки изображений (PNG, JPEG) и TrueType-шрифтов. Для ToaruOS выполнено портирование таких программ, как Vim, GCC, Binutils, FreeType, MuPDF, SDL, Cairo, Doom, Quake, Super Nintendo emulator, Bochs и т.п.

Проектом также развивается собственный динамический язык программирования Kuroko, рассчитанный на замену Python при разработке утилит и пользовательских приложений для системы. Язык по синтаксису напоминает Python (позиционируется как сокращённый диалект Python с явным определением переменных) и отличается очень компактной реализацией. Поддерживается компиляция и интерпретация байткода. Интерпретатор байткода предоставляет сборщик мусора, поддерживает многопоточность без применения глобальной блокировки. Компилятор и интерпретатор могут быть собраны в форме небольшой разделяемой библиотеки (~500КБ), интегрируемой с другими программами и расширяемой через C API. Кроме ToaruOS язык может использоваться в Linux, macOS, Windows и запускаться в браузерах с поддержкой WebAssembly.

В новом выпуске:

• В эмулятор терминала добавлена поддержка вкладок, переключаться между которыми можно последовательностью Alt-цифра. Реализована эмуляция жирного начертания шрифтов через двойное наложение глифов. Добавлены подменю "Terminal state" для включения показа состояния различных режимов и "Send signal" для отправки сигналов фоновым процессам.
• Реализован просмотрщик системных руководств, поддерживающий man-страницы в формате roff.
• В контекстное меню добавлено подменю для управления мозаичной компоновкой окон.
• В ядре реализованы новые системные вызовы, среди которых pread/pwrite, sigsuspend, sigqueue, lchown, pipe2, dup3, getrusage и fcntl. Добавлена поддержка флагов FD_CLOEXEC и FD_CLOFORK. Реализована поддержка рандомизации адреса загрузки ядра. ABI системных вызовов переведено на использование инструкций syscall/sysret.
• Значительно расширены возможности виртуальной консоли (TTY), обеспечена эмуляция текстового режима VGA на базе фреймбуфера.
• В версии для архитектуры Aarch64 реализована возможность запуска в виртуальных машинах на базе QEMU.
• В сетевой стек добавлена поддержка одновременной работы с несколькими сокетами ICMP.
• В стандартную библиотеку libc добавлены функции getdelim, getline, scandir, telldir, rewinddir, seekdir, ftruncate, fchmod, fchown, popen, pclose, sig2str, str2sig.
• Добавлены новые стандартные утилиты rmdir, uniq, cmp, zcat, realpath, id, nohup, cksum. Добавлены новые опции в ls, grep и fgrep. Переписаны утилиты ps, top, pstree, killall и pidof, которые переведены на новую библиотеку libtoaru_procfs, унифицирующую работу с псевдо-ФС /proc. Расширен командный интерпретатор esh.
• Добавлена утилита check-image для проверки возможности загрузки изображения графической библиотекой и вывода размера изображения.
• Язык программирования Kuroko обновлён до версии 1.5rc2.
• До версии 3.2 обновлён текстовый редактор Bim, созданный с оглядкой на Vim. В новой версии улучшена подсветка синтаксиса, расширена поддержка скриптов на языке Kuroko и добавлена новая система автодополнения ввода.