Релиз набора компиляторов GCC 16

Основные изменения:

• Режим по умолчанию для языка C++ переключён на использование стандарта C++20 (диалект GNU C++20, -std=gnu++20) вместо ранее предлагавшегося C++17. Реализация C++20 в стандартной библиотеке объявлена стабильной.
• В состав включён экспериментальный фронтэнд ga68 для компиляции программ на языке программирования Алгол 68 (Algol 68).
• Добавлена возможность вывода диагностической информации в формате HTML. Расширена информация о ходе выполнения программы, включаемая при выводе диагностики в формате SARIF, основанном на JSON (поддержка "-fdiagnostics-format=json" прекращена).
• Расширены оптимизации на этапе связывания (LTO, Link-Time Optimization). Добавлена опция "-flto-toplevel-asm-heuristics", включающая эвристику для улучшения оптимизации кода с ассемблерными вставками. Техника спекулятивной девиртуализации (-fdevirtualize-speculatively) теперь не ограничена преобразованием виртуальных методов и может применяться при преобразовании в прямые вызовы любых косвенных вызовов функций, например, вызовов через указатели.
• Реализована поддержка векторизации циклов, для которых на этапе компиляции неизвестно число итераций. Повышена эффективность обработки досрочных выходов из цикла (например, через break).
• Добавлена экспериментальная поддержка многих возможностей недавно утверждённого стандарта C++26. Например, реализованы:
  • Рефлексия (Reflection, "-freflection"), позволяющая отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "^^" для получения метаинформации о грамматической конструкции и "[:…:]" для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами.
  • Контрактное программирование (Contracts), позволяющее определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений. Возможность появится в GCC 16.
  • Оператор "template for" для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений.
  • Библиотека std::simd для распараллеливания выполнения операций над данными при помощи наборов инструкций SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.
  • Библиотеки std::inplace_vector, std::optional‹T&›, std::copyable_function, std::function_ref, std::indirect, std::polymorphic и std::owner_equal.
• Реализованы возможности, связанные со стандартом C++23, такие как явное управление временем жизни объектов и поддержка указания кодировки символов диагностических сообщений.
• Расширена поддержка стандарта C23, например, реализована возможность использования атрибута "counted_by" для проверки корректности использования указателей.
• Продолжена реализация стандартов OpenMP 5.0, 5.1, 5.2 и 6.0 (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Улучшена реализация спецификаций параллельного программирования OpenACC 3.0, 3.3 и 3.4, определяющих средства для выноса операций (offloading) на GPU и специализированные процессоры, такие как NVIDIA PTX.
• В бэкенд для архитектуры x86 добавлена поддержка процессоров AMD на основе микроархитектуры Zen6 (-march=znver6), а также процессоров Intel Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).
• В бэкенде генерации кода для GPU AMD Radeon (GCN) реализована поддержка ускорителей AMD Instinct MI300 (gfx942).
• Для архитектур RISC-V, ARM, S/390 и LoongArch реализована поддержка типа "_BitInt (N)" для определения целых чисел с указанным числом битов.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65329

Титановая кружка из нержавеющей стали (греть на алкогольной плите).

@contrinitiator

То есть: пока я не привязал карту любое "ошибочное списание" подтверждает факт хранения ими данных, на хранение которых должно быть получено мое явное согласие. Если я никогда не привязывал карту, то я никогда не давал такого согласия.

Если привязать-отвязать, то тут уже можно на этом спекулировать.

Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG) ядра Linux, допущенной при внесении в 2017 году оптимизации, убирающей лишнюю буферизацию через выполнение по месту (in-place) операций блочного шифрования AEAD (Authenticated Encryption with Associated Data). Проблема возникла из-за необдуманного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. После внесения оптимизации при передаче файла в сокет AF_ALG для расшифровки в структуру scatterlist записывалась не ссылка на отдельный буфер, а прямая ссылка на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD смешивались привязанные по ссылке данные тега аутентификации ("authentication tag") с копируемыми в RX-буфер дополнительными аутентифицируемыми данными (AAD, Associated Authenticated Data) и шифротекстом, а смещение для операции записи в тег аутентификации рассчитывалось относительно скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта в по выбранному смещению, что позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в запускаемые исполняемые файлы или загружаемые разделяемые библиотеки.

Для выполнения кода с правами root достаточно добиться изменения страничного кэша для любого исполняемого файла с флагом suid root. В предложенном эксплоите выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для подстановки в него своего кода. При последующем запуске утилиты "su" будет загружен в память не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA. В качестве обходного пути защиты можно отключить модуль ядра algif_aead, который используется в OpenSSL при явном включении движка afalg и в отдельных приложениях (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG"):

   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead



Источник: https://www.opennet.ru/opennews/art.shtml?num=65325

Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG) ядра Linux, допущенной при внесении в 2017 году оптимизации, убирающей лишнюю буферизацию через выполнение по месту (in-place) операций блочного шифрования AEAD (Authenticated Encryption with Associated Data). Проблема возникла из-за необдуманного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. После внесения оптимизации при передаче файла в сокет AF_ALG для расшифровки в структуру scatterlist записывалась не ссылка на отдельный буфер, а прямая ссылка на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD смешивались привязанные по ссылке данные тега аутентификации ("authentication tag") с копируемыми в RX-буфер дополнительными аутентифицируемыми данными (AAD, Associated Authenticated Data) и шифротекстом, а смещение для операции записи в тег аутентификации рассчитывалось относительно скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта в по выбранному смещению, что позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в запускаемые исполняемые файлы или загружаемые разделяемые библиотеки.

Для выполнения кода с правами root достаточно добиться изменения страничного кэша для любого исполняемого файла с флагом suid root. В предложенном эксплоите выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для подстановки в него своего кода. При последующем запуске утилиты "su" будет загружен в память не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA. В качестве обходного пути защиты можно отключить модуль ядра algif_aead, который используется в OpenSSL при явном включении движка afalg и в отдельных приложениях (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG"):

   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead



Источник: https://www.opennet.ru/opennews/art.shtml?num=65325

Государство — это Робин Гуд наоборот

У вокзала импозантный мужчина полубомжацкого вида, в грязном оверсайз костюме и с рукой на перевязи, с зажатой там чекушкой. Вида очень гордого, держался с большим достоинством. Пока все ждали зелёный сигнал светофора, он ступил на проезжую часть, неспеша отпил из бутылочки, потом утёрся и пошёл дальше.

#ЛенинградНутряной

(#вокруг)

У вокзала импозантный мужчина полубомжацкого вида, в грязном оверсайз костюме и с рукой на перевязи, с зажатой там чекушкой. Вида очень гордого, держался с большим достоинством. Пока все ждали зелёный сигнал светофора, он ступил на проезжую часть, неспеша отпил из бутылочки, потом утёрся и пошёл дальше.

#ЛенинградНутряной

(#вокруг)

Э-э-э... а какого лешего у озона пропала возможность оплатить картой БЕЗ привязки карты? Какого рожна данные моей карты теперь ДОЛЖНЫ храниться у маркетплейса?

Да пошли бы вы... не так уж эта покупка мне и нужна, пожалуй.

Ещё один кусочек из середины 90х: #Microsoft #Cinemania — энциклопедия на 💿
1. Кусочек видео из «2001: Космической одиссеи» размером с почтовую марку, небось, выглядел фантастически: большинство компьютеров ещё не тянули полноэкранного видео, кодеков вроде DivX и MPEG4 ещё не было, разве что MPEG2

2. Мой любимый Fisher King: только один кадр и описание. В педевикии сейчас и то побольше

3. Monty Python and the Holy Grail — да, есть такой, не забыли. Но текста с гулькин нос

4. «Москва слезам не верит» тоже уместилась на компакт-диск. Правда, без видео и картинок. Оценку поставили 3 из 4, больше, чем у пайтонов!

#MacOS9 #retrocomputing #multimedia #энциклопедия #encyclopaedia #spaceOdyssey #montyPython #terryGilliam

Выпуск инструментариев для управления контейнерами LXC 7.0 и LXD 6.8

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

• Реализована изоляция процесса мониторинга при помощи механизма Landlock, позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.
• Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.
• Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.
• Устранена уязвимость (CVE-2026-39402), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала новую версию системы управления контейнерами LXD 6.8. LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений в LXD 6.8:

• Добавлена функция связывания кластеров (Cluster links), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.
• Добавлена новая роль узлов кластера - "control-plane", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.
• Реализованы репликаторы, позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.
• Добавлена поддержка горячего подключения устройств GPU CDI (Container Device Interface) к работающим контейнерам.
• В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).
• В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.

На развитие национальной видеоплатформы VK в прошлом году государство выделило 39,5 млрд руб., еще 4 млрд руб. было направлено на цели и задачи «многофункционального сервиса обмена информацией».

Всего расходы Минцифры в прошлом году составили более 456,8 млрд руб.

https://www.kommersant.ru/doc/8632840

Государство — это Робин Гуд наоборот

Выпуск fheroes2 1.1.15, открытого движка Heroes of Might and Magic 2

Основные изменения:

• C движком поставляются новые карты от энтузиастов, созданные на новом редакторе: "Ravenhold", "Apocalypse", "Final Invasion", а также обновлённые версии уже знакомых карт - "Eruption" и "7 Deserts".
• В окно с информацией о сценарии для каждой карты добавлена кнопка "О карте", позволяющая посмотреть подробности о картах.
• Добавлены новые спрайты перекрёстков дорог для естественного отображения определённых соединений на карте.
• Реализована возможность выбирать артефакты для объектов "случайный артефакт".
• Исправлены недочёты в генераторе случайных карт.
• Дополнены условия размещения объектов в редакторе, что позволит создавать ещё более уникальные ландшафты.
• Ускорен процесс переключения между языками внутри движка.
• Реализован новый дизайн окна режима "Битва" и добавлена поддержка "злого" оформления для этого окна.
• "Порядок действий" в бою по выбору игрока можно отображать под окном битвы.
• Добавлена полноценная поддержка MIDI для PS Vita.
• Закрыто свыше 40 уведомлений об ошибках и предложений по улучшению проекта.
  
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65324

#грибы
Первый гриб в этом году!

Недобросовестные продавцы реализовали на маркетплейсах семена борщевика Сосновского, заявила начальник управления Россельхознадзора!
#борщевик

Представлен GTK2-NG, форк библиотеки GTK2

Разработчики проекта GTK прекратили сопровождение GTK2 более пяти лет назад, а пакеты с GTK2 уже исключены из официальных репозиториев дистрибутивов Red Hat Enterprise Linux, SUSE Linux Enterprise Server, openSUSE и Arch Linux (доступен через AUR). Из значимых проектов GTK2 продолжает использовать звуковой редактор Ardour, но данный проект не зависит от внешних библиотек и поддерживает собственный форк GTK2 - YTK. В репозитории Debian остаётся около 150 пакетов, связанных зависимостями с GTK2, среди которых afterstep, Double Commander, fpc, gkrellm, gmpc, hexchat, lazarus, mplayer, navit, pidgin, sane-frontends, scim, sylpheed, tickr, tilem, uim, usermode, xsane, xzgv и z88.

В GTK2-NG добавлено несколько десятков изменений, в основном связанных с переносом исправлений, распространявшихся в форме патчей в пакетах из AUR и Debian, и исправлением предупреждений, выдаваемых компилятором. Из улучшений отмечается модернизация функции сортировки массивов g_sort_array и замена алгоритма масштабирования для повышения чёткости пиктограмм. В виджете выбора файлов (filechooser) решены имевшиеся проблемы и проведена оптимизация отображения в виде иконок содержимого каталогов с большим числом файлов. Протестирована сборка с использованием GCC 14 и Clang 21.

Из планов на будущее отмечается перенос изменений из форка GTK2, развиваемого участником проекта Xlibre - stefan11111, а также бэкпортирование кода из YTK, форка GTK2 от проекта Ardour. Среди задач также называется проверка сборки в GCC 15 и добавление поддержки использования libppd для вывода на печать на системах с CUPS 3.x. Не исключается задействование лицензии GPLv3 для нового кода и смена названия для исключения претензий от проекта GNOME.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65323

Valve опубликовала сетевую библиотеку GameNetworkingSockets 1.5.0

GameNetworkingSockets реализует поверх UDP похожий на TCP протокол, обеспечивающий установку соединения, но ориентированный на передачу сообщений вместо потоков. Через установленный канал связи сообщения могут передаваться как в режиме гарантированной доставки, так и с использованием более быстрого режима ненадёжной передачи.

Протокол поддерживает такие возможности как обработка фрагментации, пересборка пакетов, прогнозирование и ограничение пропускной способности, создание P2P-каналов связи, обход трансляторов адресов (через WebRTC ICE) и шифрование. Данные в пакетах шифруются с использованием алгоритма блочного шифрования AES, а для обмена ключами и проверки сертификатов применяются цифровые подписи на базе эллиптических кривых Ed25519. Механизмы доставки ключей и выбора вектора инициализации для каждого пакета основаны на методах, применяемых в протоколе QUIC.

Среди изменений в новой версии:

• API ISteamNetworkingSockets::SendMessages расширен для упрощения обработки сбоев при отправке и инициирования повторных попыток доставки.
• Добавлены новые настройки для ECN, jitter-а, определения локального IP (IPLocalHost) и отключения аутентификации (AllowWithoutAuth).
• Добавлен вариант API ISteamNetworkingMessages для языка Си.
• Реализована начальная версия обвязки для языка Rust.
• Исправлены ошибки в реализации режима P2P.
• Реализована автоматическая корректировка ситуаций, связанных с нарушением порядка прихода пакетов и сообщений.
• Улучшена интеграция с инструментариями CMake и vcpkg.
• Налажена совместимость с новыми версиями библиотек protobuf и abseil.
• Добавлена поддержка диагностики через ETW (Event Tracing for Windows).
• Устранены уязвимости, информация о которым не детализируется, но судя по логу изменений речь о целочисленном переполнении в функциях отправки пакетов и возможности обхода проверки сертификата в функции CheckCertPOPID.

В Нидерландах на базе Forgejo создана платформа совместной разработки кода для госучреждений

Проект запущен подразделением Open Source Program Office, созданным при Министерстве внутренних дел и по делам королевства Нидерландов, и продвигает философию "Открыто, если не оговорено иное" ("Open, tenzij"), в соответствии с которой по умолчанию код развиваемых для госучреждений программных продуктов по возможности должен публиковаться в открытом доступе, чтобы другие госучреждения, граждане и компании могли проверять, использовать для собственных целей и улучшать код. Предполагается, что подобный подход не только повысит качество ПО, но и позволит добиться увеличения прозрачности процессов.

На текущем этапе хостинг открытого кода запущен в пилотном режиме и доступен ограниченной группе организаций. Заинтересованные в участии разработчики и организации могут присоединиться к тестированию, отправив заявку координатору проекта. Предполагается, что в ближайший год к проекту смогут подключиться различные государственные службы Нидерландов, от министерств до муниципалитетов.

Платформа Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65316

Выпуск Bazzite 44, дистрибутива для любителей компьютерных игр

Дистрибутив поставляется в форме монолитного образа, не разделяемого на отдельные пакеты и обновляемого как единое целое. Приложения устанавливаются в формате Flatpak или в форме контейнеров. Для запуска Android-игр задействован Waydroid. В состав входит Steam и подборка компонентов, востребованных любителями компьютерных игр, а также дополнительные драйверы для игровых контроллеров и Wi-Fi. В системные компоненты внесены оптимизации для повышения отзывчивости и улучшения поддержки HDR и VRR.

В новой версии:

• Среды рабочего стола обновлены до KDE Plasma 6.6 (с задействованием Plasma Login Manager) и GNOME 50.
• Задействовано ядро Linux 6.19 с патчами от проекта OGC, оптимизированное для повышения производительности и эффективности при выполнении компьютерных игр. Готовится к публикации пакет с ядром 7.0, включающим VRAM-патчи от Valve.
• Обновлены версии Mesa 26.0.5, композитного сервера Gamescope (из git) и каталога приложений Bazaar 0.7.15.
• В сборках на базе KDE эмулятор терминала Ptyxis заменён на Konsole.
• Добавлена поддержка карт видеозахвата Elgato 4K.
• Размер системных образов сокращён на 1 ГБ за счёт выноса QEMU и ROCM в отдельную сборку Bazzite-DX.
• Применены свежие патчи от проекта ASUS Linux для улучшения работы на устройствах ASUS ROG.
• Добавлен установщик для игрового сервера Sunshine, который теперь не входит в базовую поставку.

Обновления Firefox 150.0.1 и Chrome 147.0.7727.137 с устранением критических уязвимостей

Не связанные с безопасностью изменения в Firefox 150.0.1:

• Решена проблема с некорректным отображением выпадающих меню (вместо выпадающего списка все элементы сразу показывались в раскрытом виде).
• Исправлена ошибка, приводившая к некорректной загрузке Facebook и других сайтов на системах с установленным антивирусом Bitdefender.
• Устранена проблема, приводившая к повторному выводу запроса предоставления доступа к данным о местоположении после отказа предоставить доступ.
• Решена проблема, не позволявшая добавить вкладки в некоторых ранее сохранённые группы вкладок.
• Устранена ошибка, приводившая к пропаданию рамок и контуров у некоторых элементов страниц после использования масштабирования щипком или умного масштабирования в macOS и Windows.

Компания Google сформировала обновление Chrome 147.0.7727.137 с исправлением 30 уязвимостей, из которых 4 помечены как критические. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что уязвимости вызваны обращениями к уже освобождённой памяти (Use-after-free) в Canvas (CVE-2026-7363), средствах для людей с ограниченными возможностями (CVE-2026-7344), компоненте формировании интерфейса Views (CVE-2026-7343) и коде, специфичном для платформы iOS (CVE-2026-7361).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65317

Great song!
https://harbelex.bandcamp.com/track/pathways

#music #neofolk

В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65313

В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65313

Реализация криптографических алгоритмов ГОСТ на языке Java

Поддерживаемые алгоритмы:

• ГОСТ Р 34.11-2012 (RFC 6986) - хэш-функция "Стрибог" 256 и 512 бит.
• ГОСТ Р 34.12-2015 - блочный шифр "Кузнечик", ключ 256 бит.
• ГОСТ Р 34.13-2015 - режимы шифрования CBC, CFB, CTR (ГАММА), OFB; имитовставка (CMAC).
• ГОСТ Р 34.10-2012 (RFC 7091) - электронная подпись 256 и 512 бит.
• HMAC-Стрибог (RFC 7836, HMAC-Streebog-256 и HMAC-Streebog-512).
• MGM (Multilinear Galois Mode) - AEAD-режим для Кузнечика (RFC 9058). Совместим с OpenSSL.
• SCrypt (RFC 7914) - функция формирования ключа на основе пароля.

Выпуск дистрибутива Fedora Linux 44

Наиболее значимые изменения в Fedora Linux 44:

• Среда рабочего стола GNOME обновлена до ветки 50, в которой удалён код для поддержки X11, реализована новая система сохранения сеансов, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.
• Во всех вариантах дистрибутива со средой рабочего стола KDE (Fedora KDE Plasma Desktop Edition, Fedora KDE Plasma Mobile Spin и Fedora Kinoite) для настройки системы после установки задействован развиваемый проектом KDE мастер начальной настройки Plasma Setup, а в инсталляторе Anaconda отключены пересекающиеся с данным приложением стадии конфигурирования системы.
• Во всех редакциях с KDE менеджер входа SDDM заменён на Plasma Login Manager, развиваемый проектом KDE.
• Переработана редакция Fedora Games Lab, предлагающая подборку пакетов и настроек для любителей компьютерных игр. В новом варианте обновлён программный стек для запуска игр и задействованы актуальные технологии, такие как Wayland и PipeWire.
• Пользовательское окружение Budgie обновлено до ветки 10.10, переведённой на Walyand.
• В инсталляторе Anaconda изменена логика создания сетевых профилей (файлов с настройками для NetworkManager) в установленной системе. Подобные профили теперь создаются не для всех имеющихся проводных сетевых устройств, а только для устройств, настроенных в процессе установки через GUI, загрузочные опции или kickstart-файл. Создание профилей для всех доступных устройств, а не только выбранных пользователем, требовало удаления лишних профилей после установки и вызывало трудности при последующей необходимости изменения настроек.
• По умолчанию активирован модуль ядра NTSYNC, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Модуль реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Значительный прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя.
• На системах с архитектурой Аarch64 обеспечен автоматический выбор файла описания оборудования DTB (Device Tree Blobs) для загрузчика UEFI, что решило проблемы с загрузкой Live-сборок Fedora на ARM-ноутбуках, поставляемых с Windows.
• В Live-сборках задействован набор скриптов livesys-scripts для настройки рабочего окружения и новые возможности инструментария Dracut для автоматического создания сохраняемого между перезагрузками оверлейного хранилища при записи образа на USB-накопители.
• Продолжена работа по переводу инфраструктуры непрерывной интеграции (dist-git CI), выполняющей пересборку RPM-пакетов после внесения изменений или обновления версий, на использование по умолчанию инструментария Packit вместо Fedora CI и Zuul.
• Включено по умолчанию использование жёстких ссылок для связывания идентичных файлов, устанавливаемых из разных пакетов в иерархию /usr. Создание жёсткой ссылки осуществляется автоматически при установке пакета обработчиком на стадии "post install".
• В репозиторий добавлен инструментарий с пакетным менеджером Nix, позволяющий устанавливать пакеты в формате Nix из коллекции nixpkgs. Пакеты можно ставить в однопользовательском (в домашний каталог пользователя) и многопользовательском (в каталог /nix) режимах.
• Прекращена поставка сборок QEMU для 32-разрядных хост-систем (i686). Изменение отражает работу проекта QEMU по удалению поддержки 32-разрядных хост-систем.
• Из состава атомарных редакций Fedora для десктоп систем удалены исполняемые файлы и библиотеки FUSE 2 (ранее данная версия была объявлена устаревшей и все пакеты переведены на использование FUSE 3). Также прекращена поддержка устаревших правил polkit, поставлявшихся в файлах с расширением pkla.
• PackageKit переключён на использование нового бэкенда DNF5, собранного с библиотекой libdnf5.
• В редакции дистрибутива с композитным менеджером MiracleWM оболочка рабочего стола nwg-shell заменена на Dank Material Shell.
• В Fedora Cloud вместо отдельного раздела /boot теперь предлагается одноимённый подраздел Btrfs.
• Прекращена поставка пакета libreoffice-KF5 с компонентами для интеграции LibreOffice с Qt5, на смену которому пришёл пакет libreoffice-kf6, обеспечивающий интеграцию с Qt6.
• Загрузка библиотеки OpenSSL ускорена за счёт распределения сертификатов по подкаталогам (формат directory-hash) вместо их размещения в одном файле /etc/pki/tls/cert.pem.
• Обновлены версии пакетов: GCC 16.1-prerelease, LLVM 22, Ruby 4.0, Go 1.26, binutils 2.46, glibc 2.43, gdb 16.3, CMake 4.0, MariaDB 11.8, IBus 1.5.34, uutils-coreutils 0.5, nushell 0.109.2, Django 6.x, TagLib 2, Helm 4, Ansible 13, TeXLive 2025, GHC 9.10, PHP 8.5.
• Проведена работа по доведению инфраструктуры для воспроизводимых сборок до охвата не менее чем 99% пакетов в репозитории Fedora. В прошлых выпусках охват воспроизводимыми сборками оценивался в 90%, благодаря внесению в сборочную систему изменений, синхронизирующих метаданные о времени модификации файлов с эталонным исходным кодом, а также обеспечивающих постоянный порядок перечисления метаданных и структур в бинарных файлах. Для обеспечения воспроизводимых сборок в оставшихся 10% к участию были привлечены сопровождающие проблемных пакетов. Воспроизводимые сборки дают пользователю возможность лично убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений, осуществлённых в результате компрометации компилятора или сборочного инструментария.

Для Fedora 44 введены в строй репозитории "free" и "nonfree" от проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65307

Релиз платформы разработки информационных систем lsFusion 6.2

В основе платформы заложена парадигма комбинаторного программирования (function-level), что существенно отличает lsFusion от существующих на рынке платформ (например SAP, Dynamics AX, 1С, .Net). Также внутри активно используются событийное, реактивное и объектно-ориентированное программирование.

Основные изменения в версии 6.2:

• Для операторов SEEK и VALUE добавлены альтернативные ключевые слова ACTIVATE и ACTIVE.
• Библиотека JasperReports обновлена до версии 6.21.5, в которой появилась поддержка экспорта в Excel отчётов с изображениями в формате WebP.
• Имя экспортируемого PDF-отчёта в веб-клиенте теперь соответствует имени формы вместо фиксированного lsfreport.pdf.
• В блок DESIGN для табличных колонок добавлен атрибут footerClass для CSS-стилизации footer-ячеек по аналогии с captionClass.
• В операторе EXTERNAL HTTP поддержаны адреса с не-ASCII символами.
• Для XML-данных в EXTERNAL HTTP POST задействован корректный MIME-тип "application/xml" вместо устаревшего "text/xml".
• При работе через Nginx-прокси корректно определяется адрес реального клиента в свойстве remoteAddress.
• Восстановлена работа интервальных формул для типов TIME, DATETIME и ZDATETIME.
• Устранены сбои при использовании MATERIALIZED со свойством, построенным оператором JSON.
• Корректно обновляются материализованные свойства, зависящие от вновь созданных статических объектов, при синхронизации структуры БД.
• Присваивание NULL свойствам LOCAL теперь корректно удаляет запись.
• Планировщик задач корректнее обрабатывает прерывание потоков и не теряет записи журнала для задач с заданным таймаутом.
• В LRU-кэше игнорируются устаревшие события нехватки памяти.

У Kreator в январе 2026 года вышел альбом "Krushers Of The World".

(#чтопослушать #nowplaying)

Ездовые коты не только в Простоквашино бывают

Бей, бей, бей
В берега, многошумный прибой.
Я хочу говорить о печали своей,
Непокорное море, с тобой.

Счастлив мальчик, который бежит по песку
К этим скалам, навстречу волне.
Хорошо и тому рыбаку,
Что поёт свою песню в челне.

Возвращаются в гавань опять
Корабли, обошедшие свет.
Но как тяжко о мёртвой руке тосковать,
Слышать голос, которого нет.

Бей, бей, бей
В неподвижные камни, вода!
Благодатная радость потерянных дней
Не вернется ко мне никогда.

Альфред Теннисон. "У моря"
Перевод Самуила Маршака
cc: @litclub

(#чтопочитать #федичитает #поэзия)

В Ubuntu намечена интеграция AI

При выборе AI-инструментов предпочтения будут отдаваться открытым моделям, распространяемым под лицензиями, отвечающими духу дистрибутива, в также AI-платформам на базе открытого кода. По умолчанию AI-модели будут выполняться локально. Интеграция с внешними облачными AI-системами будет в форме опции, подконтрольной пользователю.

Подчёркивается, что цель инициативы не в превращении Ubuntu в AI-продукт и не в продвижении AI ради AI, а в выборочной интеграции в дистрибутив AI-возможностей там, где это будет действительно полезным для пользователей. Для тех, кто не желает использовать AI будет предоставлена возможность отключения AI-возможностей. В качестве примеров применения AI упоминается обработка голосовых команд, диагностика сетевых и системных проблем, настройка сервисов, анализ логов, выполнение рутинных задач и проведение аудита серверов.

Добавляемая в дистрибутив AI-функциональность разделена на не явное и явное использование AI. В первом случае AI-модели расширяют имеющиеся функции без изменения способа взаимодействия с пользователем, например, применяются для распознавания и синтеза речи. Во втором случае, AI-модели предлагаются как самостоятельные решения, например, как AI-агенты для автоматизации работы, AI-ассистенты для обучения, генерации и анализа контента.

Для обеспечения безопасности и упрощения установки AI-модели решено поставлять вместе с инструментарием для их выполнения в форме snap-пакетов, оптимизированных для различных аппаратных платформ. Модели будут выполняться в изолированном окружении, не имеющем прямого доступа к остальной системе, а AI-агенты будут функционировать в соответствии с существующими механизмами разграничения доступа и аудита.

Внутри компании Canonical решено не отталкиваться изначально от определённого AI-стека, а в течение следующих 6 месяцев предоставить командам возможность углубиться в тему, попробовать разные AI-стеки, выбрать оптимальные для их задач AI-решения, понять сильные стороны AI-инструментов и их ограничения. Сотрудники компании по-прежнему будут оцениваться по тому, как хорошо они выполняют свои задачи, а не по тому, используют ли они AI.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65306

Релиз StartWine-Launcher 421, программы для запуска Windows-приложений и игр в Linux

Основные изменения:

• Обновлены конфигурации префиксов.
• Обновлён список версий Wine.
• Обновлены языковые стандарты.
• Обновлены библиотеки и драйверы в контейнере.
• Добавлена функция завершения запущенных процессов StartWine перед установкой.
• Добавлено диалоговое окно для загрузки изображений через встроенный браузер.
• Исправлена ошибка в меню на панели задач.
• Исправлена ошибка при обновлении установленных данных приложения.
• Исправлен сбой при отображении изображений ярлыков.
• Устранена проблема с зависанием индикатора выполнения при загрузке игр из GOG и Epic Games.
• Исправлен скрипт установки.

В ядро Linux 7.1 добавлена поддержка Realtime-режима для 32-разрядных систем ARM

На данный момент из патчей проекта rt-linux, которые ещё не внедрены в основное ядро, пока остаются:

• Запись в sysfs /sys/kernel/realtime как индикатор, что система работает в режиме реального времени.
• Ряд исправлений, специфичных для драйвера i915.
• Возможность использовать режим реального времени на архитектуре PowerPC.

I put tiny paper houses into my matchbox artworks.

#MiniatureMonday #MatchboxArt #MastoArt #collage

My matchbox art featuring “Children’s Games by Pieter Bruegel the Elder".

#MiniatureMonday #MatchboxArt #MastoArt #collage

#СЯУ в qemu в аргументе -cdrom можно задавать URL.

Например:

qemu-img create -f qcow2 sortix.hdd 4G &&
qemu-system-x86_64 -enable-kvm -m 1408 -vga std -hda sortix.hdd -cdrom https://pub.sortix.org/sortix/release/nightly/builds/sortix-nightly-x86_64.iso

Выпуск композитного сервера Niri 26.04, использующего Wayland

Принципиальным отличием Niri от PaperWM является привязка к каждому монитору собственной ленты окон, не пересекающейся с лентами на других мониторах (в PaperWM раздельная работа с мониторами не может быть реализована из-за привязки к глобальным оконным координатам в GNOME Shell). Niri поддерживает HiDPI и может работать на системах с несколькими GPU (например, гибридных системах с дискретной видеокартой и встроенным GPU). Имеется встроенный интерфейс для создания скриншотов и записи скринкастов, особенностью которого является возможность исключения из записи отдельных окон с конфиденциальной информацией.

Виртуальные рабочие столы в Niri создаются динамически и по аналогии с GNOME размещаются вертикально (лента окон вращается горизонтально, а лента рабочих столов - вертикально). На каждом мониторе может отображаться независимый набор виртуальных рабочих столов. Для переключения между рабочими столами и окнами можно использовать управляющие жесты на тачпаде. При отключении монитора раскладка виртуальных рабочих столов запоминается и переносится на оставшийся монитор, а при возвращении монитора восстанавливается в исходное состояние. Настройка осуществляется через файл конфигурации, позволяющий изменять такие параметры, как ширина рамок, отступы, режимы вывода и размеры окон. Внесённые в файл конфигурации изменения применяется автоматически без перезапуска композитного сервера.

В новой версии:

• Добавлена возможность размытия фона полупрозрачных окон. Приложения и компоненты пользовательского окружения могут управлять прозрачностью при помощи Wayland-протокола ext-background-effect, а для не поддерживающих данный протокол программ прозрачность можно настроить через привязку в файле конфигурации. Встроенная поддержка размытия фона реализована в оболочках Dank Material Shell и Noctalia, лаунчере Vicinae, эмуляторах терминала foot, kitty и Ghostty, тулкитах Quickshell и winit. Доступно два режима размытия фона: "xray" (размытие вычисляется один раз и затем подставляется готовая статическая картинка) и "normal" (размытие производится на лету).
• В директиву файла конфигурации "include", применяемую для подстановки содержимого других файлов, добавлена опция "optional=true", позволяющая определять необязательные компоненты конфигурации. Если подключаемый файл отсутствует, то при наличии опции "optional=true" вместо ошибки будет выведено предупреждение. Внутри конфигурации добавлена возможность использования пути "~/", ассоциированного с домашним каталогом.
• Для упрощения навигации по нескольким окнам по аналогии с Blender при горизонтальной прокрутке мышью рабочей области реализовано автоматическое перескакивание курсора с одного края экрана на другой.
• При записи скринкастов реализована передача в PipeWire метаданных о курсоре отдельно от видеопотока, что, например, позволяет в OBS отрисовывать курсор самостоятельно. В IPC добавлены команды для отслеживания записи скринкаста, остановки скринкасата и получения событий о начале/завершения записи (для вывода индикатора в панели).
• Улучшена анимация прокрутки и раскрытия/свёртывания окон.
• Добавлена возможность отмены операции drag&drop, нажатием клавиши Escape.
• Улучшена поддержка планшетов и трекболов.
• Расширены возможности профилирования GPU при помощи пакета Tracy. Добавлена возможность отслеживания производительности рендеринга и операций размытия. Реализована поддержка систем с гибридной графикой (встроенный GPU + дискретная видеокарта).
• Проведена оптимизация отрисовки. Построение списка объектов, отрисовываемых на экране, ускорено в 2-3 раза на современных системах и до 8 раз на старых.

Bambu Lab добилась удаления альтернативного проекта для отправки команд на свои 3D-принтеры

Разработчик попытался запросить юридическое обоснование, список нарушаемых пунктов условий использования и информацию о том, какие именно файлы и коммиты в его репозитории содержат нарушения, но в ответ представители Bambu Lab не предоставили конкретных сведений, а лишь усилили давление и сослались на недопустимость обратного инжиниринга. Разработчик OrcaSlicer-bambulab решил не доводить дело до судебной тяжбы и добровольно удалил содержимое репозитория.

Проект OrcaSlicer-bambulab представлял собой ответвление от свободного пакета для подготовки моделей к 3D-печати OrcaSlicer, выполняющего преобразование 3D-модели в набор двумерных горизонтальных слоёв, последовательно выводимых на 3D-принтере. В свою очередь OrcaSlicer является форком пакета Bambu Studio, который когда-то ответвился от свободного проекта Pursa Slicer. Все упомянутые проекты распространяются под лицензией AGPLv3.

OrcaSlicer-bambulab был создан после блокирования возможности прямой печати из OrcaSlicer в выпущенном год назад обновлений прошивки к 3D-принтерам Bambu Lab. Для работы с устройствами после обновления прошивки требовалась установка дополнительного проприетарного приложения Bambu Connect, без которого послойный вывод на печать перестал работать. OrcaSlicer-bambulab возвращал в OrcaSlicer возможность напрямую отправлять команды 3D-принтерам Bambu Lab без необходимости установки Bambu Connect.

Bambu Lab считает, что при разработке OrcaSlicer-bambulab был проведён обратный инжиниринг проприетарного плагина, который в репозитории Bambu Studio описан как необязательный компонент, основанный на несвободных библиотеках. Автор OrcaSlicer-bambulab утверждает, что он не использовал данный плагин и не распространял его через свой репозиторий, а реализованный метод отправки команд на 3D-принтеры основан на общедоступном исходном коде Bambu Studio, поставляемом под лицензией AGPLv3, и собственном слое интеграции.

Среди претензий также упоминалось, что изменённая кодовая база OrcaSlicer-bambulab может использоваться для обхода реализованной в прошивке системы авторизации и защиты от отправки несанкционированных команд на 3D-принтер, способных повредить устройство. На данную претензии автор OrcaSlicer-bambulab ответил, что несмотря на попытку приписать проекту создание особой скрытой возможности, использованный метод отправки команд продолжает поддерживаться прошивкой и применяться в официальном Linux-стеке для принтеров Bambu Lab, т.е. возможность обхода авторизации предусмотрена в прошивке штатно.

Дополнительно автор OrcaSlicer-bambulab предположил, что проектом OrcaSlicer дело не ограничится и Bambu Lab может на уровне прошивки нарушить совместимость с открытым модулем подачи материала BMCU (Bambu Multi-Color Unit), который энтузиасты собирают своими руками из продаваемых AliExpress наборов деталей и используют для 4-цветной 3D-печати вместо продукта AMS Lite от Bambu Lab. В связи с этим началась работа над проектом по адаптации BMCU для 3D-принтеров, управляемых отрытой прошивкой Klipper.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65299

Дарья Безбородова - Блюз о крыльях, ногах и хвостах
Ну а вдруг кто-то не слышал сей шедевр и жЫзнь его бессмысленна и сера?

External Attachment:

Выпуск десктоп-окружения Trinity 14.1.6, продолжающего развитие KDE 3.5

Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства для корректного отображения интерфейса GTK-программ без нарушения единого стиля оформления.

Основные изменения:

• В браузере konqueror актуализирован список поисковых систем, убраны устаревшие поисковые сервисы и добавлены новые, такие как DuckDuckGo, StartPage, Qwant и Brave Search. Также добавлен поиск по wiki-сайтам и репозиториям пакетов различных дистрибутивов. В раздел меню "Go" добавлена кнопка "Desktop" для открытия директории с содержимым рабочего стола.
• В программу для создания скриншотов ksnapshot добавлена поддержка перемещения изображений в другие приложения мышью в режиме drag&drop.
• В конфигуратор системы ввода kxkb добавлены дополнительные настройки, влияющие на совместимость, и опции включения клавиш быстрого ввода знаков валют.
• В оконном менеджере twin решены проблемы с прозрачностью и мозаичной компоновкой развёрнутых на весь экран окон.
• В панель kicker добавлена опция для показа объёмных рамок.
• В утилиту kdf (KDiskFree) добавлена возможность работы с накопителями, размером больше 2TB.
• В интерфейс просмотра таблицы символов kcharselect добавлена прокрутка для упрощения навигации и улучшено перемещение с использованием клавиш управления курсором и PgUp/PgDown.
• В утилите tdeio_iso реализована поддержка формата сжатия xz.
• На использование сборочной системы CMake переведены krusader и kvirc.
• В коде разрешено использование стандарта C++17.
• Добавлена поддержка FFmpeg 8.0 и binutils 2.46.
• Для Debian реализована возможность сборки для архитектуры loong64.
• Добавлена поддержка дистрибутивов Fedora 44 и Mageia 10.

Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora

В настоящее время пакеты в Fedora собираются для архитектуры x86_64-v1, но на стадии обсуждения находится план предоставления в Fedora Linux 45 сборок пакетов для архитектуры x86_64-v3 в дополнение к сборкам x86_64-v1. Одним из трёх авторов инициативы является Кайл Господнетич (Kyle Gospodnetich), инженер из Micrоsoft. Данный план ещё не утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux. Предполагается, что в случае одобрения плана можно будет совместить интересы обоих проектов, и организовать сотрудничество с Microsoft в области поддержки архитектуры x86_64-v3 в Fedora. В 2023 году на пакетную базу Fedora компания Amazon перевела дистрибутив Amazon Linux.

Версии x86-64-v* определяют неофициальный способ идентификации срезов состояния микроархитектуры, охватывающих определённые наборы расширений. Третья версия микроархитектуры x86-64 (x86-64-v3) применяется в процессорах Intel примерно с 2015 года (начиная с Intel Haswell) и отличающейся наличием расширений AVX, AVX2, BMI2, FMA, LZCNT, MOVBE и SXSAVE. Версия x86-64-v2 охватывает расширения SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B, а версия x86-64-v4 - AVX512F, AVX512BW, AVX512CD, AVX512DQ и AVX512VL. В большинстве случаев прирост производительности при сборке с оптимизациями для архитектуры x86-64-v3 составляет примерно 1%, но в отдельных ситуациях в приложениях, выполняющих большие вычисления, может наблюдаться более заметное повышение производительности.

Дистрибутив Azure Linux предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Azure Linux применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Для управления сервисами и загрузкой применяется системный менеджер systemd, а для управления пакетами поставляются пакетные менеджеры RPM и DNF.

Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий, включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации. Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65296

Выпуск дистрибутива CachyOS 260426

Дистрибутив примечателен включением оптимизаций для повышения производительности и предоставлением возможности установки различных сред рабочего стола. Помимо базового окружения на основе KDE, для установки доступны GNOME, Xfce, i3WM, Wayfire, LXQT, OpenBox, Cinnamon, Cosmic, Niri, MangoWM, LXDE, Mate, Budgie, Qtile, Hyprland и Sway. Размер установочного iso-образа 3.1 ГБ. Отдельно поставляются сборки (2.8 ГБ) для носимых устройств (Handheld Edition) с интерфейсом в стиле GameMode и компонентами для любителей компьютерных игр.

В дистрибутиве по умолчанию включён планировщик задач BORE, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно включены оптимизации PGO (Profile-Guided Optimization) или BOLT (Binary Optimization and Layout Tool). В качестве файловых систем могут использоваться btrfs, zfs, ext4, xfs и f2fs.

Основные изменения:

• В инсталляторе задействован новый интерфейс управления пакетами Shelly, предоставляющий как интерфейс командной строки, так и GUI на базе GTK4 с поддержкой Wayland. Для управления пакетами используется библиотека libalpm. Помимо основных репозиториев поддерживаются AUR и возможна установка пакетов в формате Flatpak.
• После завершения установки обеспечено создание в ФС снапшота, предоставляющего возможность отката к начальному состоянию.
• В число предлагаемых для установки графических окружений добавлен композитный сервер MangoWM c оболочкой DMS (Dank Material Shell). Удалена опция для установки десктоп-окружения UKUI (Ubuntu Kylin User Interface).
• В загрузчике GRUB включено по умолчанию определение других установленных операционных систем через пакет os-prober.
• В настойки, предоставляемые приложением CachyOS-Welcome, добавлена возможность включения DNS-over-HTTPS (DoH), указания собственного DNS-сервера, просмотра сведений о DNS-сервере, тестирования задержек обращения к DNS, установки эмулятора терминала wezterm и включения сервиса dmemcg-booster (вытесняет из видеопамяти в системную память данные фоновых приложений для увеличения видеопамяти, доступной для активной игры).
• Для устройств NVMe по умолчанию включён планировщик ввода/вывода "kyber", использующий раздельные очереди для операций записи и чтения, с приоритетной обработкой запросов на чтение.
• В утилиту chwd (CachyOS Hardware Detection), применяемую для автоматического определения и установки драйверов и модулей ядра, добавлено определение устройств USB, игровой консоли Xbox ROG Ally и моделей CPU. На поддерживаемых CPU Intel обеспечена активация модуля intel-lpmd для снижения энергопотребления в состоянии простоя. Добавлен профиль оборудования для Wi-Fi Marvell AVASTAR 88W8897, применяемого в планшете Surface Pro 4. Разделены профили NVIDIA для ПК и ноутбуков. Разделены и обновлены профили для виртуальных машин.
• Добавлена поддержка использования датчиков отпечатков пальцев для авторизации выполнения операций через sudo.

Релиз минималистичного web-браузера Dillo 3.3.0

В новой версии:

• Добавлена опция "--enable-experimental-fltk" для сборки с фреймфорком FLTK 1.4, в котором появилась поддержка работы в окружениях на базе протокола Wayland. Поддержка FLTK 1.4 пока отмечена как экспериментальная из-за отдельных проблем с отрисовкой на экранах с высоким DPI и в окружениях на базе Wayland.
• Добавлена возможность управления из командной строки с подключением к работающему экземпляру браузера через UNIX-сокет. Доступны такие команды как открытие URL во вкладке, замена содержимого, перезагрузка вкладки, проверка завершения загрузки страницы во вкладке, оценка HTTP-заголовков и текстовый дамп содержимого вкладки.
• Добавлена опция page_action, при помощи которой можно организовать запуск произвольных shell-команд из контекстного меню страницы. В сочетании с возможностями управления из командной строки можно создавать скрипты для обработки/изменения страниц или специфичные загрузчики содержимого.
• Добавлен обходной режим сохранения сторонних Cookie, позволяющий использовать на сайтах OAuth при аутиентификации.

Front cover to a collection of macabre stories by the enigmatic Count Eric Stenbock, published a year before his death #onthisday in 1895. More on this Decadent figure par excellence in our essay by David Tibet: https://buff.ly/2poK0uw

Хм, через вайфай приложения из гуглоплея не хотят обновляться, а черещ мобильный интернет прям за пару секунд. Что-то мой провайдер намутил...

Выпуск D7VK 1.8, реализации Direct3D 3-7 поверх API Vulkan

В новом выпуске предложена реализация метода ProcessVertices с использованием CPU, позволившая решить проблемы с отрисовкой и нарушением геометрии во многих играх, включая Forsaken, Resident Evil, Praetorians, Hidden & Dangerous, Escape from Monkey Island и Tomb Raider: The Last Revelation.

Проксируемый механизм вывода (proxied presentation) заменён на реализацию (legacy presentation), поддерживающую применяемые в старых играх методы композитинга, использующие DDraw для наложения 2D-элементов поверх 3D-содержимого. Изменение позволило решить проблемы с пропаданием видео, элементов меню и HUD-интерфейса (Heads-Up Display) в таких играх, как Blade of Darkness, Sacred, Lands of Lore III, Codename: Outbreak, FIFA 2001, FIFA '99 и Simon the Sorcerer 3D.

Внесены исправления, улучшающие поддержку игр:

• Age of Wonders II / Age of Wonders: Shadow Magic
• Divine Divinity
• Jurassic Park: Trespasser
• Hype: The Time Quest
• POD
• Praetorians
• Prince of Persia 3D
• Resident Evil
• Tomb Raider III
• X: Beyond the Frontier and X: Tension.

Из ветки ядра Linux 7.1 удалены старые Ethernet-драйверы, busmouse, AX.25, ISDN и CAIF

Удалённые Ethernet-драйверы:

• 3com 3c509, 3c515, 3c574 и 3c589 для серий 3Com EtherLinkIII, EtherLink XL "Corkscrew" и "RoadRunner".
• amd lance и nmclan для HP300, Motorola MVME147 SBC, AMD PCnet32 (AT1500, NE2100), Allied Telesis AT1500, HP J2405A, Alchemy Semi AU1X00.
• smsc smc9194 и smc91c92, использовались на ноутбуках DELL c док-станциями и в ethernet-картах Megahertz, Motorola, Ositech и Psion Dacom.
• fujitsu fmvj18x для Ethernet-карт с чипами Fujitsu FMV-J18x.
• 8390 AX88190, ultra и wd80x3 - для Ethernet-карт на чипах Asix AX88190, NS8390, SMC Ultra, SMC EtherEZ, WD8003 и WD8013, таких как Thomas Conrad и Kingston KNE-PCM.

В качестве причин удаления отмечается отсутствие активных сопровождающих на фоне увеличения числа выявляемых при помощи syzbot и AI-инструментов ошибок, которые никто не берётся исправлять и вся нагрузка нa устранение серьёзных пробоем ложится на сопровождающих основные сетевые подсистемы ядра. В списке рассылки разработчиков ядра уже несколько раз предпринимались попытки найти разработчиков, готовых взять в свои руки сопровождение проблемных устаревших драйверов, но желающих так и не нашлось.

Изначально предложенные для удаления Ethernet-драйверы 8390 pcnet, 3com 3c59x ("Vortex"), amd hplance, amd mvme147, cirrus cs89x0, cirrus mac89x0 и xircom xirc2ps (PCMCIA-карты Xircom) не были исключены из ядра, так как в ходе обсуждения нашлись пользователи, применяющие их в рабочих системах. Активные пользователи также имеются у оставшейся без сопровождения подсистемы Amateur radio, но данную подсистему решено удалить из ядра, так как большая часть пользователей перешло на реализацию в пространстве пользователя.

Проблемы с сопровождением также отмечались у подсистемы NFC, но её решено не удалят, так как нашёлся доброволец, готовый помочь с устранением ошибок, выявляемых в NFC-драйверах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65292

Первые результаты модернизации сервиса Launchpad

Например, на странице Ubuntu 26.04 можно отследить наличие известных проблем и ход исправления ошибок, получить информацию о недавно выпущенных и готовящихся к публикации обновлениях пакетов. На странице Ubuntu 26.10 можно оценить ход разработки будущего релиза.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65288

В KDE повышена эффективность работы на GPU Intel

• На системах с драйверами i915 и Intel XE для GPU Intel в KWin включена поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Изменение повысило производительность и сократило энергопотребление приложений и игр, поддерживающих добавленную функциональность.
• В KWin добавлены оптимизации, снижающие энергопотребление при работе с полноэкранными окнами и эффектами, на которые не влияет применение прямого вывода (direct scan-out).
• В меню приложений Kicker добавлена опция для отображения списка недавно открытых каталогов. В виджетах Kicker и Dashboard предоставлена возможность удаления элементов из секции "Избранное" через их перемещение мышью за пределы виджета.
• В виджет управления сетью добавлена поддержка создания дубликатов профилей сетевых соединений.
• В правила переопределения атрибутов окон приложений (KWin Window Rules) добавлена возможность привязки диалоговых окон к указанному родительскому окну.
• В менеджере установки приложений Discover переделано оформление области с параметрами приложений, в которую перенесена кнопка для установки.
  
  
• В KDE Frameworks 6.26 повышена чёткость отрисовки пиктограмм QtQuick-приложений при использовании дробного масштабирования (например, выставлении масштаба в 150%). Добавлен провайдер для поиска в KRunner через серивис startpage.com при указании перед запросом префикса "sp", например, "sp KDE Linux".

В законопроект о верификации возраста CO SB51 добавлено исключение для открытых проектов

В утверждённых профильным комитетом Палаты представителей штата Колорадо поправках указано, что под действие закона не подпадают поставщики операционных систем и разработчики, распространяющие свои программные продукты под лицензиями, разрешающими копирование, распространение и внесение изменений в код без наложения дополнительных условий, включая технические или юридические ограничения на установку модифицированных версий.

Законопроект верификации возраста в штате Колорадо утверждён сенатом и ожидает рассмотрения Палатой представителей и подписи губернатором. Законопроект аналогичен закону, уже действующему в штате Калифорния и предписывающему добавление в операционные системы возможности для указания возраста пользователя на этапе регистрации учётной записи и предоставления приложениям программного интерфейса для определения возраста текущего пользователя.

В соответствии с требованиями закона, загруженные и запущенные приложения должны иметь возможность получать от операционной системы информацию о возрасте в 4 градациях: младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше. Разработчик приложения должен использовать полученную информацию о возрасте для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка.

Несколько дней назад для рассмотрения конгрессом США был внесён законопроект, нацеленный на принятие аналогичного федерального закона о верификации возраста, действующего во всех штатах США.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65283

Выпуск языка программирования Nim 2.2.10

Возможности Nim включают систему макросов, работающих на AST во время компиляции, поддержку обобщённого программирования с концептами, множественную диспетчеризацию (multiple dispatch), детерминированное управление памятью с поддержкой нескольких стратегий (ARC/ORC, refc, маркировка-и-подметание), встроенную поддержку async/await для асинхронного программирования и FFI для простой интеграции с C/C++/JavaScript. Nim позиционируется как системный язык, подходящий для разработки от встраиваемых систем до веб-серверов, с акцентом на эффективность, безопасность памяти и удобство разработки.

Изменения в языке и компиляторе:

• Добавлен экспериментальный флаг "--experimental:typeBoundOps", реализующий RFC #380 и повышающий надёжность работы интерфейсов "hash", "$", "==" для именованных типов при непрямых импортах. Пример:

    import std/hashes
    type Obj* = object
       x*, y*: int
       z*: string
  
     proc `==`*(a, b: Obj): bool = a.x == b.x and a.y == b.y
     proc hash*(a: Obj): Hash = $!(hash(a.x) &! hash(a.y))
  
     # main.nim
     {.experimental: "typeBoundOps".}
     from objs import Obj
     import std/tables
  
     var t: Table[Obj, int]
     t[Obj(x: 3, y: 4, z: "debug")] = 34
     echo t[Obj(x: 3, y: 4, z: "ignored")]  # 34
  

• Исправлена ошибка, при которой "sizeof(T)" внутри шаблона "typedesc", вызываемого из when-выражения дженерика, приводил к ошибке компиляции.

Основные изменения, влияющие на обратную совместимость:

• По умолчанию активирован флаг "-d:nimPreviewFloatRoundtrip". Функции "system.addFloat" и оператор "$" теперь используют алгоритм Dragonbox для генерации минимальных строковых представлений чисел с плавающей точкой с гарантиями корректного округления и обратимости преобразования. Для возврата к старому поведению доступен флаг "-d:nimLegacySprintf".
• Параметр "default" в функции "tables.getOrDefault" переименован в "def" во избежание конфликтов с "system.default". Код, использующий именованные аргументы "getOrDefault(..., default = ...)", требует обновления.
• При включении флага "-d:nimPreviewCheckedClose" функция "close" в модуле "std/syncio" теперь генерирует исключение при ошибках ввода-вывода.
• Неизвестные предупреждения и подсказки компилятора теперь генерируют предупреждение "warnUnknownNotes" вместо ошибок.
• С флагом "-d:nimPreviewAsmSemSymbol" в операторах asm/emit добавлена проверка типов для символов в обратных кавычках.
• Блок "except:" без указания типа теперь вызывает панику при перехвате "Defect". Для обработки рекомендуется использовать "except Exception:" или "except Defect:". Для миграции предусмотрен флаг "--legacy:noPanicOnExcept".
• С флагом "-d:nimPreviewCStringComparisons" операторы сравнения ({, >, {=, >=) для "cstring" переключены с семантики ссылок на семантику значений, аналогично "==" и "!=".
• Модуль std/parsesql вынесен в отдельный nimble-пакет; для установки требуется "nimble install parsesql" или использование менеджера atlas.
• С флагом "-d:nimPreviewDuplicateModuleError" импорт двух модулей с одинаковым именем становится ошибкой компиляции. Для разрешения коллизий рекомендуется использовать алиасы: "import foo as foo1".
• Добавлена опция "--mangle:nim|cpp" для выбора стиля манглинга имён при включённой отладочной информации (по умолчанию - cpp).
• Второй параметр функций succ, pred, inc, dec в модуле system теперь принимает тип "SomeInteger" вместо "Ordinal".
• Операторы битовых сдвигов (shl, shr, ashr) применяют битовую маску к правому операнду в бэкендах C/C++/VM/JS.
• Добавлено предупреждение "--warning:ImplicitRangeConversion", обнаруживающее потенциально опасные неявные преобразования к диапазонам меньшего размера (например, int -> range[0..255]), способные вызвать панику времени выполнения.

Нововведения в стандартной библиотеке:

• В модуль "setutils" добавлены функции "symmetricDifference", оператор "-+-" и инлайн-версия "toggle" для эффективного вычисления симметрической разности битовых множеств.
• В "strutils.multiReplace" добавлена перегрузка для замены символов из набора за один проход - полезно для санитизации строк.
• В модуль std/files добавлены процедуры с поддержкой типа Path: getFilePermissions, setFilePermissions, tryRemoveFile, copyFile (с настраиваемым буфером и обработкой ссылок), copyFileWithPermissions, copyFileToDir. Экспортированы типы CopyFlag и FilePermission для тонкого контроля операций с файлами.
• Модуль std/dirs получил новые процедуры: copyDir и copyDirWithPermissions для рекурсивного копирования каталогов с сохранением атрибутов.
• В бэкендах refc, JS и VM реализована поддержка функции "system.setLenUninit" для типа "string", позволяющей изменять длину строки без инициализации новой памяти при расширении.
• В std/parseopt добавлена поддержка нескольких режимов парсинга аргументов командной строки через перечисление CliMode: Nim (по умолчанию), а также экспериментальные Lax и Gnu.
• В std/math оператор "^" теперь поддерживает вещественные числа в качестве показателя степени.
• Функции min, max и их аналоги из sequtils для openArray теперь принимают пользовательскую функцию сравнения.
• Оптимизирована реализация system.substr: при наличии используется copymem (обёртка над C memcpy).
• Функция system.newStringUninit помечена как свободная от побочных эффектов, что позволяет использовать её с флагом "--experimental:strictFuncs".

Инструменты и документация:

• В генератор документации добавлен флаг "--raw" для отключения рендеринга разметки в JSON-выводе.
• Добавлен флаг "--stdinfile" для задания имени файла при запуске кода из stdin (по умолчанию - stdinfile.nim).
• Флаг "--styleCheck:warning" позволяет трактовать нарушения стилевых проверок как предупреждения, а не ошибки.
• В руководство добавлена документация по прагме completeStruct.

Исправлено более 30 ошибок, в том числе:

• Ошибки работы new с ref object и генерации кода для кортежей в массивах;
• Проблемы с обработкой static-параметров и typedesc;
• Регрессии в системах управления памятью ORC/refc, включая выравнивание объектов и избыточные вызовы nimZeroMem;
• Ошибки парсинга в parseopt, parsecfg и генерации кода для бэкенда JavaScript;
• Утечки и падения при использовании замыканий, итераторов и больших объектов.

Обновление программы для распознавания текста dpScreenOCR 1.5.1

В новой версии:

• OCR-движок Tesseract обновлён до версии 5.5.2.
• Программа стала доступна в Microsoft Store.
• В репозитории для Debian и Ubuntu предоставлены сборки для архитектуры AArch64.
• Исправлена проблема, из-за которой при запуске программы на короткое время появлялись пустые окна.
• Обновлены переводы на хорватский и французский языки.

В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils

В настоящее время уже доступен отчёт (PDF, 156 страниц) с результатами первого этапа аудита, охватывающего наиболее важные утилиты из набора uutils. На первом этапе, который был проведён с декабря 2025 по январь 2026 года, было выявлено 73 уязвимости, из которых 7 отмечены как критические, 11 - опасные, 29 - средней опасности и 26 - неопасные.

Второй этап аудита был проведён с февраля по март и охватывал второстепенные утилиты, не проверенные на первом этапе. На втором этапе было найдено 40 уязвимостей, опасность которых пока не детализируется (отчёт планируют опубликовать позднее). Информация о всех выявленных проблемах уже передана разработчикам uutils и большая часть уязвимостей была устранена в выпусках uutils 0.5-0.8 без лишней огласки и пометки связи вносимых исправлений с устранением уязвмостей.

Пакет rust-coreutils был включён по умолчанию в осеннем выпуске Ubuntu 25.10, но с учётом выявленных в ходе аудита проблем в LTS-ветке Ubuntu 26.04 возвращены утилиты cp, mv и rm из набора GNU Coreutils. Отмечается, что по состоянию на 22 апреля в данных утилитах остаётся не исправлено 8 известных состояний гонки. Остальные утилиты задействованы из выпуска rust-coreutils 0.8.0. В Ubuntu 26.10 разработчики намерены полностью перейти на rust-coreutils.

Уязвимости в системных утилитах опасны тем, что они используется в скриптах, запускаемых с правами root. Например, устранённая в выпуске uutils coreutils 0.3.0 уязвимость в утилите rm могла быть эксплуатирована при ежедневном запуске из cron скрипта /etc/cron.daily/apport, который выполняется с правами root и рекурсивно удаляет содержимое каталога /var/crash, доступного на запись всем пользователям в системе.

Среди уязвимостей, помеченных в первом отчёте критическими:

• Уязвимость в утилите chroot, вызванная обработкой опции "--userspec" после вызова chroot(), но до сброса привилегий. На системах с glibc резолвинг имён через функцию getpwnam() приводит к чтению файла /etc/nsswitch.conf, применяемого в NSS (Name Service Switch), и динамической загрузке указанных в нём библиотек с модулями NSS (libnss_*.so.2). Так как до обработки NSS выполяется вызов chroot() файл /etc/nsswitch.conf загружается относительно нового корня, но NSS-библиотеки загружаются до сброса привилегий. Если пользователь имеет доступ на запись к новому корню, то он может подставить свои NSS-библиотеки и добиться выполнения кода с правами root.
• Изменение прав доступа к файлу после сбоя создания именованного канала (FIFO) утилитой mkfifo - если указать в качестве аргумента существующий файл, то mkfifo вернёт ошибку, но при этом аварийно не завершит работу, а выполнит вызов set_permissions() и изменит права доступа к существующему файлу. С учётом umask 022 уязвимость позволяет поменять права доступа к файлу на 644 (rw-r-r-) и получить доступ к файлам, для которых не было разрешено чтение.
• Обход ограничений "--preserve-root" в утилите chmod, запрещающих выполнение рекурсивных операций относительно корня ФС. Уязвимость (CVE-2026-35338) вызвана тем, что в коде проверялось только точное совпадение пути с "/" и не выполнялась канонизация файлового пути. Для обхода проверки достаточно использовать путь вида "/../" или символическую ссылку на корень. Уязвимость опасна тем, что при возможности подставить свой путь в системный скрипт вызывающий команду chmod, можно добиться рекурсивного изменения прав доступа для всех файлов в ФС.
• В утилите rm допускалась обработка любых сокращений опции "--no-preserve-root" ("--n", "--no", "--no-p", "--no-pres" и т.п.) для отключения защиты от выполнение рекурсивной операции с корнем (например, можно указать "rm -rf --n /" и удалить по ошибке все данные. В GNU Coreutils подобные сокращённые опции запрещены.
• Обход ограничений "--preserve-root" в утилите rm, запрещающих выполнение рекурсивных операций относительно корня ФС, через подстановку символической ссылки на "/".
• Отсутствие полноценной защиты от указания каталогов, начинающихся с точки. Например, при выполнении "rm -rf ." утилита выведет ошибку, но при указании "rm -rf ./" или "rm -rf .///" молча удалит текущий каталог.
• Ошибка в коде разбора аргументов утилиты kill позволяет отправить сигнал всем процессам в системе при указании идентификатора процесса "-1" (kill -1).

В остальном большая часть уязвимостей относится к классу TOCTOU (Time-Of-Check-To-Time-Of-Use), подразумевающему наличие состояния гонки, позволяющего изменить данные в момент после проверки корректности информации, но до выполнения операции с ними, например, подменить файл на символическую ссылку в момент между завершением проверки и началом выполнения операции. В контексте использования утилит cp и mv в системных скриптах, запускаемых с правами root, подобные уязвимости позволяют скопировать или перезаписать произвольные файлы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65278

Короче вот эта штука будет управлять оргáном в Кёльне и я сейчас не шучу

@shuro
Прочмотр - Заход на твою страничку не очень приятного человека.
#словотворчество

@null

Заколоченная дверь в прошлое.
#photography #WTphoto #abandon #blackwhite #заброшенное #чернобелое

В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils

В настоящее время уже доступен отчёт (PDF, 156 страниц) с результатами первого этапа аудита, охватывающего наиболее важные утилиты из набора uutils. На первом этапе, который был проведён с декабря 2025 по январь 2026 года, было выявлено 73 уязвимости, из которых 7 отмечены как критические, 11 - опасные, 29 - средней опасности и 26 - неопасные.

Второй этап аудита был проведён с февраля по март и охватывал второстепенные утилиты, не проверенные на первом этапе. На втором этапе было найдено 40 уязвимостей, опасность которых пока не детализируется (отчёт планируют опубликовать позднее). Информация о всех выявленных проблемах уже передана разработчикам uutils и большая часть уязвимостей была устранена в выпусках uutils 0.5-0.8 без лишней огласки и пометки связи вносимых исправлений с устранением уязвмостей.

Пакет rust-coreutils был включён по умолчанию в осеннем выпуске Ubuntu 25.10, но с учётом выявленных в ходе аудита проблем в LTS-ветке Ubuntu 26.04 возвращены утилиты cp, mv и rm из набора GNU Coreutils. Отмечается, что по состоянию на 22 апреля в данных утилитах остаётся не исправлено 8 известных состояний гонки. Остальные утилиты задействованы из выпуска rust-coreutils 0.8.0. В Ubuntu 26.10 разработчики намерены полностью перейти на rust-coreutils.

Уязвимости в системных утилитах опасны тем, что они используется в скриптах, запускаемых с правами root. Например, устранённая в выпуске uutils coreutils 0.3.0 уязвимость в утилите rm могла быть эксплуатирована при ежедневном запуске из cron скрипта /etc/cron.daily/apport, который выполняется с правами root и рекурсивно удаляет содержимое каталога /var/crash, доступного на запись всем пользователям в системе.

Среди уязвимостей, помеченных в первом отчёте критическими:

• Уязвимость в утилите chroot, вызванная обработкой опции "--userspec" после вызова chroot(), но до сброса привилегий. На системах с glibc резолвинг имён через функцию getpwnam() приводит к чтению файла /etc/nsswitch.conf, применяемого в NSS (Name Service Switch), и динамической загрузке указанных в нём библиотек с модулями NSS (libnss_*.so.2). Так как до обработки NSS выполяется вызов chroot() файл /etc/nsswitch.conf загружается относительно нового корня, но NSS-библиотеки загружаются до сброса привилегий. Если пользователь имеет доступ на запись к новому корню, то он может подставить свои NSS-библиотеки и добиться выполнения кода с правами root.
• Изменение прав доступа к файлу после сбоя создания именованного канала (FIFO) утилитой mkfifo - если указать в качестве аргумента существующий файл, то mkfifo вернёт ошибку, но при этом аварийно не завершит работу, а выполнит вызов set_permissions() и изменит права доступа к существующему файлу. С учётом umask 022 уязвимость позволяет поменять права доступа к файлу на 644 (rw-r-r-) и получить доступ к файлам, для которых не было разрешено чтение.
• Обход ограничений "--preserve-root" в утилите chmod, запрещающих выполнение рекурсивных операций относительно корня ФС. Уязвимость (CVE-2026-35338) вызвана тем, что в коде проверялось только точное совпадение пути с "/" и не выполнялась канонизация файлового пути. Для обхода проверки достаточно использовать путь вида "/../" или символическую ссылку на корень. Уязвимость опасна тем, что при возможности подставить свой путь в системный скрипт вызывающий команду chmod, можно добиться рекурсивного изменения прав доступа для всех файлов в ФС.
• В утилите rm допускалась обработка любых сокращений опции "--no-preserve-root" ("--n", "--no", "--no-p", "--no-pres" и т.п.) для отключения защиты от выполнение рекурсивной операции с корнем (например, можно указать "rm -rf --n /" и удалить по ошибке все данные. В GNU Coreutils подобные сокращённые опции запрещены.
• Обход ограничений "--preserve-root" в утилите rm, запрещающих выполнение рекурсивных операций относительно корня ФС, через подстановку символической ссылки на "/".
• Отсутствие полноценной защиты от указания каталогов, начинающихся с точки. Например, при выполнении "rm -rf ." утилита выведет ошибку, но при указании "rm -rf ./" или "rm -rf .///" молча удалит текущий каталог.
• Ошибка в коде разбора аргументов утилиты kill позволяет отправить сигнал всем процессам в системе при указании идентификатора процесса "-1" (kill -1).

В остальном большая часть уязвимостей относится к классу TOCTOU (Time-Of-Check-To-Time-Of-Use), подразумевающему наличие состояния гонки, позволяющего изменить данные в момент после проверки корректности информации, но до выполнения операции с ними, например, подменить файл на символическую ссылку в момент между завершением проверки и началом выполнения операции. В контексте использования утилит cp и mv в системных скриптах, запускаемых с правами root, подобные уязвимости позволяют скопировать или перезаписать произвольные файлы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65278

Выпуск GNU Coreutils 9.11

Ключевые новшества:

• В утилитах cut, nl, unexpan и expand реализована поддержка многобайтовых символов.
• В утилиту cut добавлены опции "-w", "-F" и "-O" для совместимости с другими системами.
• В утилитах cat и yes при работе в Linux задействован ввод/вывод без буферизации (zero-copy), в некоторых тестах наблюдается ускорение работы в 15 раз.
• В "cksum --check" улучшено экранирование имён файлов.
• В утилите date реализован разбор дат в формате "dd.mm.yy".
• Оптимизированы операции "shuf -i", которые стали выполняться до 2 раз быстрее.
• До 2.6 раз ускорена работа "wc -m" при обработке многобайтовых символов.
• На ARM-системах с инструкциями NEON выполнение "wc -l" ускорено до 4.5 раз.

Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux

Проблему выявили исследователи из компании Deutsche Telekom пр помощи AI-модели Claude Opus. Подготовлен рабочий эксплоит, действующий в большинстве дистрибутивов с PackageKit, но его и детальную информацию об уязвимости планируют опубликовать позднее, чтобы дать пользователям время обновить свои системы. Возможность эксплуатации уязвимости продемонстрирована в Ubuntu Desktop 18.04/24.04.4/26.04, Ubuntu Server 22.04 - 24.04, Debian Desktop 13.4, RockyLinux Desktop 10.1 и Fedora 43 Desktop/Server. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.

Уязвимость вызвана состоянием гонки при обработке флагов транзакций в фоновом процессе PackageKit, позволяющем подменить параметры операции в момент между прохождением авторизации и до запуска операции с пакетом. Атакующий может отправить D-Bus-запрос для выполнения операции, допустимой для непривилегированного пользователя, после чего следом отправить повторный D-Bus-запрос. Если повторный запрос придёт до фактического начала выполнения разрешённой операции, можно добиться переопределения флагов уже начатой транзакции и изменения прокэшированного состояния.

Таким образом, уже начатая разрешённая транзакция будет выполнена с не исходными параметрами, а с подменёнными параметрами, переданными во втором запросе. Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет, в том числе локально сохранённый атакующим. Установка пакета выполняется с правами root, поэтому для получения root-доступа в системе атакующий может добавить в пакет собственный scriptlet, автоматически запускаемый перед или после установки.

В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave

Аdblock-rust поддерживает блокировку сетевых запросов, косметические фильтры, подмену ресурсов на страницах, расширенный синтаксис правил uBlock Origin, блокировку по списку хостов в формате /etc/hosts и валидацию CSS для отключения правил косметический фильтров с некорректным синтаксисом CSS. Движок оформлен в виде подключаемой библиотеки, компилируемой в машинный код или представление WebAssembly. Подготовлены обвязки для языков Rust, JavaScript и Python.

В Firefox движок adblock-rust отключён по умолчанию, имеет статус экспериментальной возможности и может быть активирован начиная с выпуска Firefox 149. Интерфейс пользователя и предопределённые списки блокировки пока отсутствуют. После интеграции в Firefox движок начал применяться проектом Waterfox, который реализовал виджет для управления блокировкой и добавил настройки в конфигуратор, подключающие такие фильтры, как EasyList, EasyPrivacy, AdGuard Tracking Protection, EasyList Cookie.

Для включения встроенного блокировщика рекламы в Firefox на странице about:config следует выставить параметр "privacy.trackingprotection.content.protection.enabled = true", после чего добавить требуемые наборы фильтров. Например, для использования фильтров EasyList и EasyPrivacy на странице about:config необходимо добавить параметр:

   privacy.trackingprotection.content.protection.test_list_urls = https://easylist.to/easylist/easylist.txt|https://easylist.to/easylist/easyprivacy.txt

Помимо этого для изменения доступны параметры, включающие отладочный режим пометки без блокирования:

    privacy.trackingprotection.content.annotation.enabled 
    privacy.trackingprotection.content.annotation.test_list_urls

Multi-process in shell script (100 KiB): https://sanctum.geek.nz/presentations/multiprocess-in-shell.pdf

В feh можно сразу на вход давать URL (как и для ffplay).
А я то вокруг какие-то костыли городил...

(#сяу #til #feh #ffplay)