Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

Сведения об уязвимости не были запланированы для раскрытия, но один из исследователей безопасности на основе предложенного для ядра патча смог определить суть уязвимости, позволяющей прочитать файлы, доступные только пользователю root, например, /etc/shadow. В добавленном в ядро изменении корректировалась логика использования функции get_dumpable() в ptrace при определении уровня доступа в функции ptrace_may_access().

Непосредственно уязвимость вызвана состоянием гонки, приводящим к возможности непривилегированного доступа к файловому дескриптору pidfd после обращения к файлу из suid root процесса. В момент времени между открытием файла и сбросом привилегий в suid-программе (например, через функцию setreuid), возникает ситуация, когда приложение, запустившее suid root программу, через дескриптор pidfd может обратиться к открытому в suid-программе файлу, даже если это не позволяют права доступа на файл.

Окно для эксплуатации возникает из-за того, что функция "__ptrace_may_access()" пропускает проверку возможности доступа к файлу, если поле task->mm оказывается выставлено в значение NULL после выполнения exit_mm(), но до вызова exit_files(). В данный момент системный вызов pidfd_getfd считает, что идентификатор пользователя (uid) вызывающего процесса, соответствует идентификатору, которому разрешён доступ к файлу. Примечательно, что ранее на проблему обращали внимание ещё в 2020 году, но она осталась неисправленной.

В эксплоите, получающем содержимое /etc/shadow, атака сводится к цикличному запуску через fork+execl приложения /usr/bin/chage с флагом suid root, читающего содержимое /etc/shadow. После того как процесс ответвился выполняется системный вызов pidfd_open и осуществляется цикличный перебор доступных pidfd-дескрипторов через системный вызов pidfd_getfd и их проверка через /proc/self/fd. В эксплоите sshkeysign_pwn похожие манипуляции осуществляются с suid root программой ssh-keysign.

CVE-идентификатор проблеме пока не присвоен, обновление ядра и пакетов в дистрибутивах не опубликованы. В выпущенных несколько часов назад ядрах 7.0.7, 6.18.30 и 6.12.88 уязвимость не устранена. На момент написания новости можно использовать только патч. Обсуждаются возможные обходные пути блокирования уязвимости, такие как выставление sysctl kernel.yama.ptrace_scope или удаление флага suid root с исполняемых файлов в системе (как минимум с утилит ssh-keysign и chage, используемых в эксплоитах).

Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

Сведения об уязвимости не были запланированы для раскрытия, но один из исследователей безопасности на основе предложенного для ядра патча смог определить суть уязвимости, позволяющей прочитать файлы, доступные только пользователю root, например, /etc/shadow. В добавленном в ядро изменении корректировалась логика использования функции get_dumpable() в ptrace при определении уровня доступа в функции ptrace_may_access().

Непосредственно уязвимость вызвана состоянием гонки, приводящим к возможности непривилегированного доступа к файловому дескриптору pidfd после обращения к файлу из suid root процесса. В момент времени между открытием файла и сбросом привилегий в suid-программе (например, через функцию setreuid), возникает ситуация, когда приложение, запустившее suid root программу, через дескриптор pidfd может обратиться к открытому в suid-программе файлу, даже если это не позволяют права доступа на файл.

Окно для эксплуатации возникает из-за того, что функция "__ptrace_may_access()" пропускает проверку возможности доступа к файлу, если поле task->mm оказывается выставлено в значение NULL после выполнения exit_mm(), но до вызова exit_files(). В данный момент системный вызов pidfd_getfd считает, что идентификатор пользователя (uid) вызывающего процесса, соответствует идентификатору, которому разрешён доступ к файлу. Примечательно, что ранее на проблему обращали внимание ещё в 2020 году, но она осталась неисправленной.

В эксплоите, получающем содержимое /etc/shadow, атака сводится к цикличному запуску через fork+execl приложения /usr/bin/chage с флагом suid root, читающего содержимое /etc/shadow. После того как процесс ответвился выполняется системный вызов pidfd_open и осуществляется цикличный перебор доступных pidfd-дескрипторов через системный вызов pidfd_getfd и их проверка через /proc/self/fd. В эксплоите sshkeysign_pwn похожие манипуляции осуществляются с suid root программой ssh-keysign.

CVE-идентификатор проблеме пока не присвоен, обновление ядра и пакетов в дистрибутивах не опубликованы. В выпущенных несколько часов назад ядрах 7.0.7, 6.18.30 и 6.12.88 уязвимость не устранена. На момент написания новости можно использовать только патч. Обсуждаются возможные обходные пути блокирования уязвимости, такие как выставление sysctl kernel.yama.ptrace_scope или удаление флага suid root с исполняемых файлов в системе (как минимум с утилит ssh-keysign и chage, используемых в эксплоитах).

Linux Foundation опубликовал автомобильный дистрибутив AGL UCB 21.0 и платформу SoDeV

SoDeV представляет собой комбинированный продукт, сочетающий дистрибутив AGL UCB, Linux-контейнеры, VirtIO, гипервизор Xen, Zephyr RTOS и другие проекты Linux Foundation. Первый релиз SoDeV может запускаться на платах Renesas Sparrow Hawk, в облачных окружениях или в виртуальных машинах. Проект позволяет автопроизводителям ускорить вывод продукта на рынок, благодаря отделения разработки программного обеспечения от аппаратных систем и абстрагирования оборудования через виртуализацию. В течение 2026 года планируют реализовать более широкую поддержку SoC, применяемых автопроизводителями. Проект развивается при участии компаний Panasonic Automotive Systems, Honda, Toyota, Mazda, AISIN и Renesas.

Дистрибутив AGL UCB основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Renesas H3, Intel Up², Raspberry Pi 4 и Raspberry Pi 5. В разработке дистрибутива участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Среди изменений в новой версии AGL UCB:

• Осуществлена синхронизация с компонентами платформы Yocto 5.0.16;
• Обновлены инструментарии Flutter Embedder и Workspace Automation, в которые повышена производительность, решены проблемы с отрисовкой, добавлены новые возможности интерфейса пользователя. Обновлены версии Flutter SDK 3.38.3 и языка Dart 3.10.1.
• Задействована библиотека Qt 6.8.
• До версии 6.0 обновлена спецификация VSS (Vehicle Signal Specification).
• Фреймворк распределённого отображения (Distributed Display Framework) переведён на использование протокола gRPC.
• Обновлены пакеты BSP (Board Support Package): meta-arm, meta-freescale, meta-freescale-3rdparty, meta-raspberrypi, meta-renesas, meta-riscv, meta-rockchip, meta-tegra, meta-ti.
• Обновлены пакеты meta-aws, meta-clang, meta-flutter, meta-openembedded, meta-selinux, meta-virtualization, meta-python-ai, meta-qt6.

Бета-выпуск KDE Plasma 6.7

Основные изменения в KDE Plasma 6.7:

• В состав включён пользовательский интерфейс Plasma Bigscreen, предназначенный для использования на мультимедийных устройствах, подключаемых к телевизорам и проекторам. Окружение оптимизировано для работы с большими экранами и управления без клавиатуры c использованием пультов дистанционного управления или голосового помощника.
• В состав включён унифициорованный движок стилей Union, позволяющий использовать разные технологии стилевого оформления приложений, доступные в KDE. По умолчанию для стилей задействован формат CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS. Движок Union состоит из трёх слоёв:
  • Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS.
  • Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу.
  • Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека. Например, на выходе могут формироваться стили для QtQuick или Qt Widgets.
  
• Реализована полноценная поддержка сохранения и восстановления сеансов при использовании Wayland, позволяющая восстановить состояние, привязку к виртуальным рабочим столам и позицию окон прерванного сеанса после перезагрузки или аварийного завершения работы. Реализация основана на добавленной в KWin поддержке протокола xdg-session-management, предложенного в выпуске Wayland-Protocols 1.48.
• Добавлена возможность независимого переключения между виртуальными рабочими столами на каждом экране (ранее виртуальные рабочие столы переключались синхронно на всех мониторах, а теперь в привязке к каждому монитору).
  
  
• Добавлен режим ввода с клавиатуры диакритических знаков и спецсимволов, отсутствующих на физической клавиатуре. При удержании нажатия клавиши, связанной со спецсимволом, теперь показывается всплывающая подсказка, позволяющая во время ввода быстро выбрать нужный спецсимвол. Выбор осуществляется клавишами управления курсором, нажатием упомянутых в подсказке цифр или кликом мыши. Режим реализован в модуле plasma-keyboard и требует включения виртуальной клавиатуры (System Settings > Keyboard > Virtual Keyboard).
  
  
• Предоставлена возможность установки собственных звуковых тем из загруженных архивов, без необходимости их предварительной ручной распаковки в каталог .../share/sounds.
• Добавлена функция для проверки настроек микрофона, позволяющая записать себя, а потом воспроизвести запись для оценки выставленной чувствительности микрофона.
  
  
• Старый диалог для управления очередью вывода на печать заменён на вызов отдельного приложения plasma-print-queue, позволяющего наглядно управлять несколькими очередями для разных локальных или внешних принтеров.
• В композитный менеджер KWin добавлена возможность использования замещающих друг друга виртуальных фреймбуферов при работе с несколькими GPU (multi-GPU swapchain), а также реализована поддержка графического API Vulkan в DRM-бэкенде (Direct Rendering Manager), что после внесения оптимизаций в будущем позволит добиться увеличения производительности в конфигурациях с несколькими GPU. На текущем этапе производительность связок из встроенных GPU AMD и Intel с дискретными видеокартами AMD и NVIDIA при использовании Vulkan примерно соответствует OpenGL.
• Добавлена поддержка xdg-портала Notification для настройки и вывода уведомлений из изолированных приложений, например, поставляемых в формате Flatpak.
• Добавлена поддержка портала (xdg-desktop-portal) "Background apps" (org.freedesktop.background.Monitor), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке.
• Добавлена поддержка второй версии портала org.freedesktop.impl.portal.InputCapture, применяемого для организации доступа к захвату ввода из изолированных приложений.
• В KWin добавлена поддержка Wayland-протокола ext-background-effect-v1, дающего возможность создавать такие эффекты, как размытие фона.
• В композитном менеджере KWin реализована поддержка экспериментального Wayland-протокола xx-fractional-scale-v2, благодаря которому удалось избавиться от излишних зазоров между соседними элементами на экранах с высокой плотностью пикселей, например, между развёрнутым на весь экран окном и панелью. Протокол xx-fractional-scale предоставляет возможность масштабирования системы логических координат, значения в которой задаются целыми числами, для повышения точности позиционирования и увеличения разрешения логических координат до отдельных пикселей. Подобная возможность решает проблему с ограниченным разрешением системы логических координат, недостаточным для позиционирования на уровне отдельных пикселей, необходимого для полноценной реализации дробного масштабирования в KDE.

  При помощи протокола xx-fractional-scale композитный сервер и клиент могут согласованно использовать разные системы координат (логические и пиксельные) при работе с объектом wl_surface. Логические координаты применяются для описания размера содержимого и позиций окон с точки зрения пользователя, а пиксельные координаты отражают фактические размеры в буферах при отрисовке на экран. Протокол xx-fractional-scale вводит коэффициент масштабирования (scale), связывающий логические и пиксельные координаты, и позволяющий обрабатывать ситуации, когда на единицу логических координат приходится несколько пикселей.
  
  

• В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметна в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
• В KWin продолжена работа по реализации поддержки графического API Vulkan в DRM-бэкенде (Direct Rendering Manager). Ожидается, что использование Vulkan позволит добиться увеличения производительности в конфигурациях с несколькими GPU. Реализована возможность использования Vulkan для загрузки текстур из GPU в CPU.
• На системах с драйверами i915 и Intel XE для GPU Intel в KWin включена поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Изменение повысило производительность и сократило энергопотребление приложений и игр, поддерживающих добавленную функциональность.
  
  
  
• В меню, использующих тему оформления Breeze, реализовано изменение фона элементов при клике.
  
  
• Упрощён интерфейс показа QR-кода в виджете работы с буфером обмена (кнопка копирования перенесена в заголовок).
• Повышена точность позиционирования виджетов на рабочем столе. При перемещении виджета в область, в которую он не помещается, теперь выводится эскиз, показывающий ближайшее свободное место, в котором фактически окажется виджет.
  
  
• Обеспечено изменение стиля всплывающих подсказок в соответствии с активной темой оформления.
• Улучшена реализация эффекта Mouse Marks (превращение курсора в маркер, оставляющий линии на экране) на сенсорных экранах. Добавлена поддержка рисования одновременно нескольких линий на экранах с поддержкой мультитач.
• В синхронизированные с Plasma Login Manager настройки добавлены параметры раскладки клавиатуры.
• В виджетах Task Manager и System Tray удалена опция для использования более крупных пиктограмм и увеличенных отступов на сенсорных экранах и планшетах. Указано, что данная опция не работала корректно и приводила к проблемам при отображении.
• Реализован глобальный режим push-to-talk, при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш.
• В виджеты управления яркостью и цветопередачей добавлены кнопки для быстрого переключения между светлым и тёмным режимами оформления.
  
  
• В конфигураторе реализован показ страниц настройки игровых контроллеров, мыши и тачпада только при наличии данных устройств.
• Улучшено редактирование элементов на рабочем столе на системах с сенсорным экраном.
• При поиске по слову "память" (memory) теперь в числе рекомендаций предлагается запустить приложение System Monitor.
• В виджетах и приложении System Monitor реализована поддержка отслеживания сетевой активности на платформе FreeBSD.
• В диалог завершения зависших процессов добавлен индикатор прогресса выполнения операции.
  
  
• В виджете определения цвета пикселя (Color Picker) обеспечен вывод подсказки об отсутствии выбранного цвета (ранее показывалось, что выбран цвет #000000).
• В обзорном режиме реализована возможность использования прокрутки или клавиш Page Up/Page Down для переключения между виртуальными рабочими столами.
• На системах с Wayland обеспечена синхронизация изображения указателя стилуса с указателем мыши и тачпада.
• В KWin реализована возможность определения постоянных правил, исключающих содержимое определённых окон при записи скринкастов.
• В программу для создания скриншотов Spectacle добавлена опция "--release-capture", эквивалентная опции "Accept on click-and-release" в настройках (создание скриншота сразу после отпускания кнопки мыши после выделения прямоугольной области, без отдельного подтверждения операции).
• В приложении System Monitor и виджете для отслеживания состояния системы учтён выбор единиц измерения информации, например, GB (миллиард байт) или GiB (2^30).
• Реализовано округление уровня масштабирования экрана, близкого к 100%, 200% и 300%, до данных величин для повышения производительности.
• На рабочем столе обеспечено появление панели управления виджетами (Widget Explorer) рядом с указателем мыши, а не рядом с левым краем экрана.
• В конфигураторе страница с настройками удалённого рабочего стола (Remote Desktop) перенесена в группу "Безопасность и приватность".
• В виджете "Disks & Devices" улучшена обработка устройств, примонтированных в loop-режиме.
  
  
• В меню приложений Kicker по аналогии с Kickoff появилась возможность использования не квадратных кнопок в панели.
• В конфигураторе реализована поддержка предпросмотра видео для тем оформления экрана входа SDDM.
• Улучшено оформление диалогов, создаваемых KWin.
• Добавлена настройка для изменения задержки перед появлением интерфейса переключения между окнами после начала удержания Alt+Tab.
• В настройки виджета просмотра списка окон добавлены опции для изменения порядка сортировки и группировки по виртуальным рабочим столам и комнатам (activitie).
• В конфигураторе на странице настройки курсора при предпросмотре обеспечено приведение изображений курсоров к выбранному размеру.
• В Kwin реализовано запоминание для каждого экрана отступов между окнами в мозаичном режиме.
• При повторном открытии интерфейса выбора обоев рабочего стола обеспечен переход к тому месту, на котором пользователь остановился в прошлый раз.
• В интерфейсе выбора Emoji варианты значков с разным цветом кожи сгруппированы в отдельный всплывающий диалог.
• Предоставлена возможность выставления глобальной комбинации клавиш для очистки истории уведомлений.
  
  
• В конфигураторе задействована более традиционная кнопка "< Back" для возвращения из подкатегорий (ранее было "< Название категории").
• Добавлен отдельный интерфейс для конфигурирования сетевых принтеров, совместно используемых в Windows-сетях.
• В конфигураторе на странице с настройками уведомлений реализована поддержка воспроизведения выбираемых звуков уведомлений, независимо от включения звука уведомлений.
• В конфигураторе на страницу настройки сети добавлены опции для VPN L2TP.
• Возвращена возможность выбора темы оформления Air Plasma, более легковесной, чем тема Oxygen.
• Реализован скруглённый стиль выделения элементов в приложениях на базе QtWidgets, таких как Dolphin, Okular и KMail. Изменение позволило унифицировать внешний вид и повсеместно перейти к стилю выделения, ранее задействованному в приложениях на базе QtQuick.
• В меню приложений Kickoff обеспечено мерцание секции меню "избранное" сразу после добавления приложения в "избранное" через контекстное меню, чтобы наглядно показать где теперь можно быстро найти приложение.
  
  
• В уведомлениях, генерируемых рабочим столом Plasma, изменена пиктограмма и сокращён заголовок.
• В виджет с часами добавлена поддержка вьетнамского лунного календаря.
• Обновлён интерфейс для настройки OpenVPN, в который добавлена поддержка параметров для управления сжатием, MTU, NCP, TLS, таймаутами и шифрами.
• В конфигураторе на странице настройки сетевого соединения объединены вкладки "Wi-Fi" и "Wi-Fi Security".
• В конфигураторе на странице управления правами доступа приложений появилась кнопка для отзыва разом всех полномочий на запись приложениями скринкастов.
• Подготовлен обработчик KIO S3, позволяющий напрямую из Dolphin и приложений KDE работать с файлами, хранимыми в S3-совместимых облачных хранилищах, таких как Amazon S3, Cloudflare R2, DigitalOcean Spaces и MinIO.
• В виджетах для управления буфером обмена и сетевым подключением реализовна унифицированная кнопка возврата на прошлую страницу (на вложенных страницах теперь не показываются две кнопки "Назад").
  
  
• В KRunner по умолчанию включён плагин вывода информации о глобальных комбинациях клавиш.
• В виджете с реализацией глобального меню обеспечен показ меню для активного окна, даже если это окно размещено на другом экране. Для возвращения старого поведения, при котором меню пропадает после перемещения окна на другой экран, в настройки добавлена специальная опция.
• При мозаичной компоновке двух смежных окон они теперь равномерно центрируются во всём доступном экранном пространстве с учётом панелей (раньше ближайшее к панели окно сжималось больше, чем другое окно).
• В изолированных приложениях повышена надёжность инициирования записи скринкастов и запросов к удалённым рабочим столам.
• Налажено задействование 3D-ускорения в конфигурациях с несколькими GPU, один из которых не поддерживает OpenGL.
• Решены проблемы работы с буфером обмена в некоторых приложениях на базе фреймворка wxWidgets, таких как KiCad и Audacity. Исправление включено в состав находящейся в разработке ветки wxWidgets 3.3.3.
• В утилиту kscreen-doctor добавлена поддержка изменения свойства экранов "AutoRotatePolicy", определения активного экрана и одновременного включения/выключения поддержки HDR и расширенного диапазона цветов (Wide Gamut).
• В диалоге выбора экрана для его трансляции на другие системы или предоставления совместного доступа улучшена визуализация эскизов и обеспечен показ обоев рабочего стола в качестве фона.
• Предоставлена возможность добавления дополнительных виджетов с часами для разных часовых поясов, которые среди прочего будут показывать отличия времени от текущего часового пояса.
• В виджете с глобальным меню скруглены углы подсвечиваемых элементов меню.
• Предоставлена возможность определения отдельной клавиши-модификатора для перевода фокуса на панель.
• Диалог для выбора каталогов унифицирован с диалогом, применяемым при сохранении и открытии файлов (вместо отдельного диалога для каталогов в штатный диалог открытия файлов добавлен режим показа только каталогов).
• В инструмент для шифрования каталогов Plasma Vault добавлена индикация монтирования в режиме только для чтения.
• В апплете настройки сети предоставлена возможность ограничения диапазона частот Wi-Fi (2.4 GHz или 5 GHz).
• При отключении активации KRunner при попытке набора с клавиатуры на рабочем столе, реализован вызов обработчика для выделения файлов по первым набранным буквам.
• В виджет System Tray добавлена опция для сортировки элементов в обратном порядке.
• На системах с несколькими GPU обеспечена корректная запись содержимого экрана в Spectacle и приложениях на базе KPipeWire (раньше могло использоваться не то устройство отрисовки).
• В утилиту System Monitor и виджет показа информации о системе добавлено определение конфигураций с несколькими GPU, а так же предоставление статистики о полнодисковом шифровании и RAID.
• В KWin добавлена поддержка 3D LUTs (3D Lookup Tables) для переназначения цветов, что снизило потребление ресурсов на GPU, предоставляющих функции для ускорения преобразования цветов.
• Прекращено создание контекстов OpenGL для приложений, не использующих OpenGL, что позволило снизить потребление памяти на 10-15 MB для каждого подобного приложения и сократить время запуска.
• В KWin внесены оптимизации, повышающие производительность интерфейса переключения между окнами по Alt+Tab при включении эффекта "Highlight Window" и большом числе свёрнутых окон.
• В конфигураторе на странице "Default Applications" появилась возможность выбора вызываемого по умолчанию приложения с реализацией календаря-планировщика.
• В апплет, вызываемый при клике средней кнопки мыши на часах, добавлена опция для открытия календаря-планировщика.
• Добавлена поддержка помещения в избранное операций в приложениях, показанных в результатах поиска.
• В контекстное меню, показываемое при клике правой кнопкой мыши на обоях рабочего стола, добавлен пункт для просмотра информации об изображении.
• В System Monitor обеспечено разделение GPU по названиям. Через контекстное меню, показываемое для приложения System Monitor, теперь можно напрямую вызвать конкретные режимы мониторинга, например, просмотр списка запущенных процессов.
• Виджет для вставки в панель разделителя теперь доступен через кнопку добавления новых элементов на странице настройки панели, а не через боковую панель со списком виджетов.
• Для многомониторных конфигураций добавлена опция, позволяющая отображать интерфейс переключения между окнами по Alt+Tab только на основном экране, независимо от того на каком экране находится фокус ввода.
• В меню приложений Kicker обеспечена маркировка специальным значком недавно установленных программ, по аналогии с тем как это делается в интерфейсе Kickoff.
• Разрешено перемещение мышью приложений в секцию "избранное" виджетов Kickoff, Kicker и Dashboard.
• В KRunner расширены возможности вычисления произвольных математических выражений, например, теперь можно вводить не только "sqrt(2) + 2", но и "2 + sqrt(2)".
• Уменьшен размер анимированных GIF-изображений, создаваемых в приложениях, использующих библиотеку KPipeWire.
• В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
• Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
• Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
• При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
• В меню Kickoff добавлена поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.
  
  
• В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди заданий вывода на печать по отдельности для каждого из принтеров.
• В KWin добавлены оптимизации, снижающие энергопотребление при работе с полноэкранными окнами и эффектами, на которые не влияет применение прямого вывода (direct scan-out).
• В меню приложений Kicker добавлена опция для отображения списка недавно открытых каталогов. В виджетах Kicker и Dashboard предоставлена возможность удаления элементов из секции "Избранное" через их перемещение мышью за пределы виджета.
• В виджет управления сетью добавлена поддержка создания дубликатов профилей сетевых соединений.
• В правила переопределения атрибутов окон приложений (KWin Window Rules) добавлена возможность привязки диалоговых окон к указанному родительскому окну.
• Добавлена возможность переименования или перемещения типового каталога "Projects", который с недавних пор стал создаваться дистрибутивами в домашнем каталоге пользователя в дополнение к каталогам "Documents", "Downloads", "Desktop", "Videos", "Music" и "Pictures".
• Добавлена функция увеличения содержимого экрана без заметной потери качества, основанная на эффекте Zoom в KWin.
• В размещаемый на панели виджет вывода на печать добавлены метки о числе активных и находящихся в очереди работ.
• При запросе X11-приложением, выполняемым через XWayland, прав на отправку программно сгенерированных событий мыши и клавиатуры, теперь отображается имя приложения. В конфигураторе обеспечен вывод списка приложений, которым ранее было предоставлено подобное полномочие.
• Обеспечено применение стиля оформления KDE к диалогам, выводимым Qt-приложениями, использующими QML-тип MessageDialog (например, используется приложением Sticky Note в диалоге подтверждения).
• Упрощено нажатие на кнопки в верхней части Widget Explorer (нажатие теперь срабатывает если кликнуть уперев курсор в границу экрана над кнопкой, без точного попадания по кнопке).
• Реализован учёт дополнительных параметров при автоматическом изменении яркости экрана для более качественной работы в условиях часто меняющегося освещения.
• Убрано ограничение, отводившее 25 секунд на выбор цвета после вызова виджета с пипеткой (Color Picker).
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65450

Утверждён перевод JavaScript-платформы Bun на язык Rust

На данный момент на Rust реализован прямой порт с языка Zig, который включает множество блоков unsafe кода, использует ту же архитектуру, те же структуры данных и прежние внешние библиотеки. Отмечается, что порт на Rust успешно прошёл проверку существующим тестовым набором на всех платформах. Попутно было устранено несколько утечек памяти и сбоев в тестах.

После сборки версии на Rust исполняемый файл получился на 3-8 МБ меньше, чем при сборке версии на Zig. В тестах производительности версия на Rust оказалась либо быстрее, либо на том же уровне. При этом по мнению Джарред самым важным преимуществом варианта на Rust стала возможность отлавливания и предотвращения ошибок при работе с памятью, диагностика которых последние годы отнимала у разработчиков Bun уйму времени.

В качестве причины переписывания на Rust ранее отмечалось желание устранить проблемы в Bun, вызванные утечками памяти, наличие разногласий с авторами Zig в плане применения AI для написания кода и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65448

#Wireless #Forth #computer

We now have a brand-new repository under our new GitHub Organisation! In addition, we also have a shiny new website, made by TheOtterMonarch! Check out the website at https://geckoos.github.io/, and the repo at https://github.com/GeckoOS/GeckoOS!

#OS #osdev #opensource #geckoOS

Red Hat представил Hummingbird, защищённую редакцию Fedora на базе контейнеров

Образы контейнеров публикуются для архитектур amd64 и arm64. В настоящее время в каталоге предложено 49 вариантов контейнеров (c учётом редакций FIPS и multi-arch - 157), позволяющих развернуть рабочие окружения с Python, Go, Node.js, Rust, Ruby, OpenJDK, .NET, PostgreSQL, nginx и другими открытыми проектами. Образы формируются в соответствии с принципом "Distroless", т.е. не включают пакетный менеджер и программный интерпретатор (shell), а содержат только целевое приложения и необходимые для его работы компоненты.

95% пакетов, задействованных в образах контейнеров Hummingbird, собираются из репозитория Fedora Rawhide, а остальные 5% загружаются и собираются напрямую из репозиториев основных проектов (upstream). В эти 5% входят приложения, отсутствующие в Rawhide или имеющие в Rawhide не самые свежие выпуски. Для формирования Hummingbird независимо от Fedora раздельно сопровождаются собственные RPM-пакеты, собираемые в отдельной инфраструктуре из штатных SPEC-файлов Fedora, что позволяет при необходимости добавлять в них специфичные для проекта оптимизации и модификации.

Предоставляемые сборки совместимы с образами из Docker Hub, Red Hat UBI и других реестров, что упрощает миграцию на Hummingbird уже имеющихся систем. В отличие от проекта CoreOS, предоставляющего минималистичные хостовые сборки сборки для оркестровки контейнеров, Hummingbird нацелен на разработчиков, которым необходимо одновременно использовать разные версии runtime (Python 3.11- 3.14, Go 1.25-1.26, Node.js 20-25 и т.п.) и раздельно поддерживать жизненный цикл каждой версии.

В отличие от традиционных контейнеров, большинство вариантов Hummingbird работают по умолчанию под непривилегированным пользователем без прав root. Контейнеры поддерживают воспроизводимую сборку и могут быть пересобраны пользователем из предоставляемого исходного кода, чтобы убедиться что свои и распространяемые проектом готовые образы полностью совпадают. Для упрощения проверки отдельно поставляются source-контейнеры со всем необходимым кодом и исходными RPM-пакетами. Для обеспечения безопасности содержимое контейнеров собирается в изолированном окружении, не имеющем доступа к сети.

Помимо контейнеров для запуска конечных приложений проектом развивается загрузочный хостовый образ bootc-os, построенный с использованием технологии загрузочных контейнеров и пригодный для установки на диск. Системный образ комбинирует компоненты Hummingbird, пакеты c ядром Linux от проекта CKI (Continuous Kernel Integration), загрузчик и системные сервисы из Fedora. Вся система оформляется в виде контейнера OCI. Обновление bootc-os осуществляется автоматически при каждой перезагрузке. Для запуска контейнеров из окружения bootc-os задействованы инструментарии Podman и Skopeo.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65446

Aaron Spectre - AMEN, PUNK! (2005)

https://www.youtube.com/watch?v=PJFYWnWNX_w

#music

https://astra.ru/about/press-center/news/sdelano-v-rossii-postroeno-dlya-biznesa-gruppa-astra-predstavlyaet-astra-cloud-na-rossiyskikh-protse/?utm_medium=astragroup&utm_source=vk&utm_campaign=astra_cloud&utm_content=release

«Группа #Астра» запускает облако Astra Cloud, построенное на российских процессорах Baikal–S от компании « #Байкал Электроникс». Предзаказ на облачную инфраструктуру Astra Cloud на Baikal–S уже открыт.

Это первое в стране коммерческое облако, где весь технологический стек, начиная от чипа и заканчивая конечным сервисом, является результатом отечественной инженерной работы. Новый облачный сервис в первую очередь ориентирован на критическую информационную инфраструктуру.

Релиз картографического приложения CoMaps 2026.05.06 и отчёт проекта за год

Главное нововведение в релизе - возможность обновлять карты независимо от самого приложения, используя новую кнопку "Проверить обновления" на экране загрузки карт. Исторически версии карт и приложения были тесно связаны - для получения доступа к новым картам сначала требовалось обновить само приложение. Это упрощало обеспечение совместимости, но требовало постоянных обновлений приложения и порой длительного ожидания одобрения каждого релиза магазинами приложений - каждый день ожидания делал карты менее актуальными. Теперь свежие карты планируется выпускать каждую неделю и актуальность на момент выпуска будет составлять всего пару дней. В настоящее время для загрузки предложены карты на основе данных OpenStreetMap от 10 мая.

Кроме того, в новой версии при навигации обеспечено отображение только светофоров на маршруте, но более крупными значками. В Android-версии категории поиска теперь отображаются колонками и реализована настройка включения режима инкогнито для системной клавиатуры. В iOS-версии в панель режима навигации добавлена кнопка начала записи трека.

12 мая проекту исполнился год, за который около 100 человек внесли 2500 коммитов в основной репозиторий проекта на Codeberg. Более 270 переводчиков работают над переводами на 80 языкаов (30 из которых уже полностью готовы). Один из основных англоязычных Matrix/Telegram чатов насчитывает более 1200 участников. Есть и чаты на испанском, французском, немецком, турецком и русском языках. Текущие операционные вопросы обычно обсуждаются разработчиками в пространстве CoMaps на платформе Zulip, в котором присутствует около 50 активных участников. Пользовательская база проекта на всех платформах оценена примерно в 250 тысяч человек.

Среди других заметных изменений за год:

• Расширена информация о точках интереса (POI): ссылки на панорамы "Panoramax", показ даты крайней актуализации объекта, наличие натуральных (organic) опций в магазинах и кафе, информация о стоимости услуг, подробная информация о зарядках для электромобилей (тип, мощность, количество разъёмов..) и т.д.
• Построение маршрутов: учёт дополнительного времени на проезд перекрёстков, светофоров и знаков "Стоп"; учёт временных/условных ограничений; опции для избегания ступенек и мощёных дорог (для любителей приключений).
• На карту добавлены около 100 новых разных типов объектов и проведена большая работа по общему улучшению стиля отображения карты, включая стиль "Активный отдых".
• Статьи из Википедии об объектах карты теперь доступны на 17 языках (изначально было 5).
• Проведена работа по обеспечению конфиденциальности и модернизации кода.
• С декабря 2025 года Android-версия CoMaps позволяет использовать сторонние/собственные серверы c картами. Расширена "официальная" сеть серверов, многие из которых предоставлены и поддерживаются членами сообщества.
• Интегрированы различные открытые улучшения из проекта Organic Maps (часть новых возможностей OM основана на проприетарных изменениях кода генератора карт и требует переработки для включения в CoMaps).
• Проведена работа по улучшению встроенного в CoMaps редактора OpenStreetMap, например, добавлена возможность создания объектов, требующих нескольких OSM-тегов, возможность пометки объектов как неиспользумые, упрощённое добавление заметок и т.д. За год встроенным редактором воспользовались более 7500 пользователей CoMaps, внеся почти 90 000 изменений в OpenStreetMap. В том числе вышла пара заметок с идеями о том, как находить и исправлять заметки, созданные в CoMaps и как находить и исправлять ошибки в данных OSM.
• CoMaps был выбран в качестве карт по умолчанию для iodéOS и CalyxOS. * Проект "European & Open Source Alternatives" дал CoMaps оценку доверия в 9,6 баллов из 10 - самый высокий рейтинг среди навигационных приложений. Ресурс Switching Software рекомендовал CoMaps в качестве альтернативы Google Maps. Проект "is it really foss?" подтвердил, что CoMaps является полностью открытым проект без оговорок и подвохов.

Из планов на будущее отмечена интеграция актуальной информации о трафике, улучшения, связанные с общественным транспортом, добавление пользовательских отзывов/рейтинга, создание специализированных стилей карты для различных видов транспорта.

Проект CoMaps был основан бывшими волонтёрами-контрибьюторами Organic Maps, недовольными зависимостью Organic Maps от интересов акционеров коммерческой компании Organic Maps, закрытостью процесса управления, непрозрачностью распределения пожертвований и несоответствием провозглашаемым принципам СПО. Форк развивается в соответствии с принципами открытости, прозрачности и совместной работы. Проект сосредоточен на ведении только некоммерческой деятельности и подотчётности сообществу. Ключевые принципы развития приложения: простой интерфейс пользователя, работа в offline-режиме и легковесность (включая потребление энергии), отсутствие рекламы, идентификации личности и сбора данных.

#bandcamp The Polish Composers Pushing the Boundaries of Classical Music
My favorite: Divided by Dusk by Magda Drozd

#ЧтоПослушать #NowPlaying

New Music Review: Spont Ar Stad – Devomp An Harzoù Hag All Hag All (2025; Aredje, Tranzophobia, Grow Your Own Records, Discos Enfermos, Stonehenge Records, Senseless Acts Of Anger)

Link: https://diyconspiracy.net/spont-ar-stad-devomp-an-harzou-hag-all-hag-all/

Breton anarcho-punk against borders, police, patriarchy, and the violence that keeps coming back.

#punk #anarchopunk #spontarstad

В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора

Помимо отката нового сборщика мусора в ветке 3.14 решено не использовать его в следующем значительном выпуске 3.15, несколько дней назад перешедшем на стадии бета-тестирования. Напомним, что в ветке 3.14 цикличный сборщик мусора был заменён на инкрементальный, в котором сборка мусора долгоживущих объектов выполняется по частям и реже, чем обработка новых поколений объектов, которые обычно освобождаются чаще, что позволило на порядок снизить максимальное время приостановки выполнения приложений с очень большим числом объектов в памяти.

Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE

Отмечено, что выделенные средства помогут вывести основные продукты проекта, такие как среда рабочего стола KDE Plasma и дистрибутив KDE Linux, на новый уровень, который позволит обычным пользователям, компаниям и госучреждениям восстановить свою приватность, безопасность и контроль над цифровым суверенитетом. В 2023 и 2024 годах миллион евро также получил проект GNOME. Фонд STF рассматривает выделение средств ключевым средам рабочего стола, используемым в Linux, как инвестицию в устойчивость и надёжность цифровой инфраструктуры, на которую опирается современное общество.

Организация STF учреждена в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии, и курируется Федеральным агентством прорывных инноваций SPRIND (Federal Agency for Breakthrough Innovation). Отмечается, что инвестирование в открытое ПО способствует развитию инноваций в Германии и Европе, а также повышает конкурентоспособность, продуктивность и возможность продвижения инноваций в малых и средних предприятиях.

Помимо KDE в этом году финансовую поддержку получили проекты:

• Mastodon (614 тысяч евро),
• libmicrohttpd3 (234 тысячи евро),
• Debian CI (180 тысяч евро),
• PHPStan (210 тысяч евро),
• OSGi (165 тысяч евро),
• Sequoia (225 тысяч евро),
• FFmpeg (280 тысяч евро).

Всего с 2022 года организация STF инвестировала 37.3 млн евро в 108 открытых проектов, среди которых FreeBSD, GNOME, Samba, Rust, Pipewire, Eclipse, OpenStreetMap, Arch Linux и FFmpeg. Помимо уже отмеченных KDE и Mastodon, наибольший объем средств выделен проектам:

• GNOME (миллион евро),
• Rust (826 тысяч евро),
• Samba (688 тысяч евро),
• FreeBSD (686 тысяч евро),
• Arch Linux (562 тысячи евро),
• Servo (545 тысяч евро),
• Eclipse (515 тысяч евро),
• Maven (450 тысяч евро),
• OpenSSL (405 тысяч евро),
• systemd (399 тысяч евро),
• R Project (392 тысячи евро),
• Scala (377 тысяч евро),
• PHP (223 тысячи евро)

Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос

Уязвимость (CVE-2026-42945), которой присвоен критический уровень опасности, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI. Проблема проявляется в конфигурациях с директивой "rewrite", в которой в регулярных выражениях используются подстановки масок при помощи неименованных переменных (например, $1 и $2), при условии, что в заменяющей строке имеется символ "?". Пример уязвимой конструкции:

   rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;

Выражения с именованными подстановками уязвимости не подвержены. Например, уязвимость не затрагивает конструкции:

   rewrite ^/users/(?‹user_id›[0-9]+)/profile/(?‹section›.*)$ /profile.php?id=$user_id&tab=$section last;

Уязвимость присутствует начиная с версии 0.6.27, выпущенной в марте 2008 года. Причиной появления уязвимости стало то, что буфер выделялся с расчётом, что в него будут записаны неэкранированные данные, а фактически копировались данные после выполнения экранирования спецсимволов, размер которых был больше, так как каждый символ "+", "%" и "&" кодировался не одним, а тремя байтами. Подобное рассогласование возникало из-за того, что при наличии в правиле rewrite символа "?" выставлялся флаг "e->is_args", при котором включалось экранирование, но выделение буфера осуществлялось при сброшенном флаге, при котором экранирование не применялось.

Другие уязвимости:

• CVE-2026-42926 - возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2).
• CVE-2026-40701 - обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp".
• CVE-2026-42946 - чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.
• CVE-2026-42934 - чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.
• CVE-2026-40460 - уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений.

Улучшения, добавленные в выпуске nginx 1.31.0:

• В состав включён модуль ngx_http_tunnel_module, реализующий возможность работы в виде прокси ("forward proxy"), перенаправляющего запросы на другой сервер при обращении клиента при помощи метода HTTP/1.1 CONNECT. Возможна настройка аутентификации обращения к прокси, используя директивы "auth_basic", "satisfy" и "auth_delay".
• В блок "upstream" добавлена директива "least_time", включающая метод балансировки нагрузки с передачей запроса серверу с наименьшими средним временем ответа и наименьшим числом активных соединений.
• В модуль "stream_proxy" добавлена директива "proxy_ssl_alpn" для задания списка протоколов, допустимых в расширении ALPN при подключении к проксируемому серверу. Например: "proxy_ssl_alpn h2 http/1.1".
• Обеспечено отклонение запросов по протоколам HTTP/2 и HTTP/3, включающим заголовки "Connection", "Proxy-Connection", "Keep-Alive", "Transfer-Encoding", "Upgrade".
• В модуле ngx_http_dav_module обеспечено отклонение запросов COPY и MOVE с повторяющимися исходным и целевым ресурсом или вложенными коллекциями.
• Уровень логгирования ошибок SSL "invalid alert", "record layer failure" и "SSL alert number N" понижен с "crit" до "info".
• В скрипт configure добавлен параметр "--without-http_upstream_sticky_module" для отключения сборки модуля http_upstream_sticky_module (параметр "--without-http_upstream_sticky" объявлен устаревшим).

Fragnesia - ещё одна уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша

Уязвимость проявляется в ядрах Linux, выпущенных после 5 мая, из-за случайной активации исправлением уязвимости Dirty Frag. Для устранения уязвимости Fragnesia для ядра Linux было предложено исправление. Анализ данного исправления показал, что его недостаточно, после чего был подготовлен второй вариант патча.

Уязвимость присутствует в подсистеме xfrm в реализации механизма инкапсуляции протокола ESP (Encapsulating Security Payload) в TCP (ESP-in-TCP, RFC 8229), применяемой для туннелирования трафика IPsec поверх TCP. Для исключений лишней буферизации операции с использованием алгоритма AES-GCM выполнялись по месту через выполнение операции XOR к данным в страничном кэше. Из-за логической ошибки, возникали условия, позволяющие перезаписать 1 байт в страничном кэше по выбранному смещению. Повторяя операции можно байт за байтом изменить содержимое любого файла в страничном кэше.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root, предварительного прочитанного для попадания в страничный кэш. В предложенном исследователями эксплоите первые 192 байт файла /usr/bin/su в страничном кэше перезаписываются кодом для запуска /usr/bin/sh. Последующий запуск утилиты "su" приводит к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Для эксплуатации уязвимости Fragnesia в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4 и esp6:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

Всё зло в Китае, от миллиардов этих бессмысленных товаров никому ещё не стало лучше.

Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере

Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13, Ubuntu 24.04+, SUSE/openSUSE, Arch Linux, Alpine Linux 3.19+, ALT Linux p11, ROSA, Gentoo, OpenWRT, Fedora, EPEL (exim не входит в штатный репозиторий RHEL) и FreeBSD. Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts в файле конфигурации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65436

/ТАСС/

• 7 мая: https://tass.ru/ekonomika/27338153

Ростех рассчитывает в первом квартале 2027 года завершить сертификацию самолета МС-21 и начать серийный выпуск, сообщил глава госкорпорации Сергей Чемезов на встрече с президентом РФ Владимиром Путиным.

• 11 мая: https://tass.ru/proisshestviya/27371999

Весной 2023 года был задержан и помещен под арест главный научный сотрудник Института теоретической и прикладной механики СО РАН Валерий Звегинцев, основавший лабораторию "Аэрогазодинамика больших скоростей" ИТПМ, занимающуюся гиперзвуковыми технологиями. Позже стало известно о задержании его коллеги - доцента Томского политехнического университета Владислава Галкина. Собеседник в СО РАН сообщал ТАСС, что поводом для подозрений Звегинцева и его соавтора в госизмене стала публикация в иранском журнале статьи, посвященной газовой динамике. По его словам, перед публикацией работа прошла две экспертизы о возможной секретности.

Новосибирский областной суд назначил наказание в виде лишения свободы на 12,5 года в колонии строгого режима каждому.

Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин

Уязвимость выявлена сотрудниками AMD, детали эксплуатации пока не приводятся. Заявлено, что проблема вызвана некорректной изоляцией совместно используемых ресурсов при выполнении операций с кэшем объектных кодов CPU. Через повреждение элементов в кэше атакующий может добиться изменения инструкций, выполняемых на другом уровне привилегий.

Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen2 (Fam17h). Проблема затрагивает гипервизор Xen и может использоваться для обхода изоляции. Для веток Xen c 4.17 по 4.21 опубликованы патчи. Исправление для блокирования уязвимости также передано для включения в состав ядра Linux.

В десктопных и мобильных сериях CPU AMD Ryzen 3000, 4000, 5000, 7020, 7030 и Threadripper PRO 3000 WX уязвимость устранена осенью прошлого года. Во встраиваемых CPU AMD Ryzen Embedded V2000 уязвимость устранена в конце декабря. В процессорах серии AMD EPYC 7002 проблема остаётся неисправленной и её предлагается блокировать на уровне операционной системы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65435

Выпуск Scrcpy 4.0, приложения для зеркалирования экрана Android-смартфона

Подключение смартфона может быть произведено через USB или TCP/IP. На смартфоне запускается серверное приложение, которое взаимодействует с внешней системой через туннель, организуемый при помощи утилиты adb. Наличие root-доступа к устройству не требуется. Серверное приложение генерирует видеопоток (на выбор H.264, H.265 или AV1) с содержимым экрана смартфона, а клиент декодирует и отображает видео. Клавиатурный ввод и события мыши транслируются на сервер и подставляются в систему ввода Android.

Основные возможности:

• Высокая производительность (30~120fps).
• Поддержка экранных разрешений 1920×1080 и выше.
• Низкие задержки (35~70мс).
• Высокая скорость запуска (около секунды до вывода первых изображений экрана).
• Трансляция звука.
• Возможность записи звука и видео.
• Поддержка зеркалирования при выключенном/заблокированном экране смартфона.
• Буфер обмена с возможностью копирования и вставки информации между компьютером и смартфоном.
• Настраиваемое качество трансляции экрана.
• Поддержка использования Android-смартфона в качестве web-камеры (V4L2).
• Симуляция физически подключённых клавиатуры и мыши.
• Поддержка геймпадов.
• Возможность использования виртуального экрана.
• Режим OTG.

В новой версии:

• Переход с библиотеки SDL2 на ветку SDL3.
• Добавлена опция "--flex-display" ("-x"), включающая режим работы с виртуальным экраном, допускающий произвольное изменение его размера во время работы.
• Предоставлены комбинации клавиш и опции командной строки для динамического управления камерой и фонариком: MOD+t/MOD+Shift+t ("--camera-torch") - включение/выключение фонарика, MOD+↑/MOD+↓ ("--camera-zoom") - изменение масштаба.
• Обеспечено сохранение соотношения сторон окна при изменении его размера. Для восстановления старого поведения (показ чёрных рамок) предложена опция "--no-window-aspect-ratio-lock".
• Добавлена опция "--keep-active" для предотвращения отключения устройства после истечения таймаута неактивности.
• Цвет фона по умолчанию заменён с чёрного на серый. Для изменения фона можно использовать опцию "--background-color".
• Обеспечен вывод пиктограммы разрыва соединения, которая показывается в течение двух секунд до закрытия окна после потери связи с устройством, чтобы у пользователя не создавалось впечатление об аварийном завершении scrcpy.
• Налажена поддержка устройств Meta Quest с новой прошивкой (после обновления прошивки при зеркалировании наблюдалось мерцание).
• Устранена ошибка, приводившая к большой нагрузке на CPU при воспроизведении тишины во время проигрывания звука в формате OPUS.
• Добавлены новые горячие клавиши: F11 для перехода в полноэкранный режим и MOD+q для выхода.

Automatic expiry at timeout for pf(4) overload tables

A downside to tables that would tend to fill up indefinitely is that at some point they will be quite full, and the administrator would need to either manually run pfctl expire or set up a crontab entry to weed out old entries at intervals.

Now Alexandr Nedvedicky (sashan@) is airing a patch on tech@ that would add a timeout option to to tables declarations, doing away with the need to set up crontab entries to run pfctl expire.

The patch and the explanation can be found in the thread pf(4) add timeout option to ip address tables, with followup discussion where several developers and users pitch in.

The message reads,

List:       openbsd-tech
Subject:    pf(4) add timeout option to ip address tables
From:       Alexandr Nedvedicky <sashan () fastmail ! net>
Date:       2026-05-11 1:05:27

Hello,

diff below should help people who use 'overload' action in their
firewall configuration. This is how pf.conf(5) describes the
overload option:

Read more…

Google представил ноутбуки Googlebook, поставляемые с платформой Android

Интерфейс пользователя основан на развиваемом в ветке Android 16 десктоп-режиме для больших экранов, позволяющем одновременно работать с окнами нескольких приложений по аналогии с традиционной средой рабочего стола.

Платформа Googlebook преподносится как переход от традиционных операционных систем к умным системам, в которые тесно интегрированы AI-сервисы. Активация AI-ассистента Gemini осуществляется при помощи курсора - достаточно подёргать курсор из стороны в сторону, и курсор перейдёт в режим вывода контекстных подсказок, появляющихся при его наведении на любой интересующий контент на экране. Например, после наведения курсора на дату в письме AI-ассистент предложит назначить встречу, а при выборе курсором нескольких изображений можно сгенерировать новое изображение на их основе. Подобным образом также можно сравнивать контент и задавать AI-ассистенту вопросы о содержимом.

При помощи AI также осуществляется создание пользовательских виджетов - достаточно нажать кнопку создания виджета и естественным языком описать, что хочется получить. Для создания персонализированных виджетов, AI-ассистент Gemini может выполнить поиск в интернете и подключиться к приложениям Google, таким как Gmail и Calendar.

Поддерживается бесшовное взаимодействие со смартфонами на базе платформы Android и предоставляется возможность устанавливать созданные для Android приложения из каталога Google Play. Из интерфейса Googlebook также можно запускать приложения, установленные на связанном смартфоне, не доставая смартфон и не переустанавливая их на ноутбуке.

Для работы с файлами имеется полноценный файловый менеджер, через который можно не только осуществлять навигацию по файловой системе ноутбука, но и обращаться к содержимому смартфона и быстро переносить, просматривать и искать файлы на разных Android-устройствах пользователя.

В платформе задействованы перенесённые из Chrome OS интерфейс запуска приложений (Launcher), файловый менеджер, а также отдельные системные сервисы, приложения, элементы прошивки, фоновые процессы и библиотеки. Ядро Linux, GKI-модули (Generic Kernel Image), компоненты взаимодействия с оборудованием (HAL), Android Runtime, Android API, системные фоновые процессы, библиотеки и другие компоненты задействованы из Android.

В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/‹pid›/mem.

NPM-пакеты с вредоносными изменениями были опубликованы 11 мая с 22:20 до 22:26 (MSK), замечены через 20 минут и блокированы спустя полтора часа. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении. В случае обнаружения токена подключения к каталогу NPM червь автоматически публиковал новые вредоносные релизы для разрабатываемых в текущем окружении пакетов, поражая дерево зависимостей. Таким способом было поражено более 400 NPM-пакетов, использующих пакеты TanStack в числе зависимостей.

Червь размещался в файле router_init.js и активировался при установке поражённого пакета вручную разработчиком или автоматизированно в окружении непрерывной интеграции при помощи команд "npm install", "pnpm install" или "yarn install". После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp и KubernetesK8s, а также закрытых ключей SSH. Найденные данные отправлялись злоумышленникам через децентрализованный P2P-мессенджер getsession.org.

В черве было предусмотрено совершение деструктивных действий в случае отзыва перехваченного NPM-токена - в системе настраивался периодический запуск скрипта ~/.local/bin/gh-token-monitor.sh, который каждые 60 секунд проверял активность токена через обращение к api.github.com/user и в случае отзыва токена выполнял команду "rm -rf ~/".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65432

dillo party

Раз прилетает - значит для конкретно раба, бандит от которого прилетело - опасен и враждебен.

@ludivokrug это далеко не всегда так, конечно же.

Скажем, живёшь ты в своей избушке и в ус не дуешь, а тут местный бандит, что дань с тебя собирает, решил напасть на соседнего. И начал он ловить таких как ты, приковывать снаружи к броне своих боевых колесниц и так в бой отправлять, чтоб холопы устрашали врага дикими воплями и заодно вызывали преждевременный подрыв вражеских кумулятивных снарядов своими тушками.

Так вот в этой ситуации тебе кто опаснее и враждебнее - рекрутер с кандалами или царёк с той стороны холма, к которому тебя на лобовой повезут с целью распыления?

@vikingkong

Квартал хрущёвочек с огромными яркими тюльпанами и сонными котами (на каждой лужайке!) и деловыми воронами, последнее пристанище учёного Хоронзонова, окружённое жёлтыми цветами дерево на Оккервиле (снято специальным некростеклом), сводящий с ума запах черёмухи, оголённая сплошными вырубками Уткина дача...

#ЛенинградНутряной

Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root

Выявленные проблемы:

• CVE-2026-4892 - переполнение буфера в реализации DHCPv6, позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6. Переполнение вызвано тем, что при записи DHCPv6 CLID в буфер не учитывалось то, что в пакете данные сохраняются в шестнадцатеричном представлении, в котором используется три байта "%xx" на каждый фактический байт CLID (например, сохранение 1000-байтового CLID приведёт к записи 3000 байт).
• CVE-2026-2291 - переполнение буфера в функции extract_name(), позволяющее атакующему подставить фиктивные записи в кэш DNS и добиться перенаправления домена на другой IP-адрес. Переполнение возникло из-за выделения буфера без учёта экранирования некоторых символов во внутреннем представлении доменного имени в dnsmasq.
• CVE-2026-4893 - утечка информации, позволяющая обойти проверку через отправку специально оформленного DNS-пакета с информацией о подсети клиента (RFC 7871). Уязвимость может использоваться для изменения маршрута DNS-ответа и перенаправления пользователей на домен атакующего. Уязвимость вызвана тем, что в функцию check_source() передавалась длина записи OPT вместо длины пакета, из-за чего функция всегда возвращала успешный результат проверки.
• CVE-2026-4891 - чтение из области вне границы буфера при валидации DNSSEC, приводящее к утечке в ответе данных из памяти процесса при обработке специально оформленного DNS-запроса.
• CVE-2026-4890 - зацикливание при валидации DNSSEC, позволяющее вызвать отказ в обслуживании через отправку специально оформленного DNS-пакета.
• CVE-2026-5172 - чтение из области вне буфера в функции extract_addresses(), приводящее к аварийному завершению при обработке специально оформленных DNS-ответов.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, OpenWRT, FreeBSD. Проект Dnsmasq задействован в платформе Android и специализированных дистрибутивах, таких как OpenWrt и DD-WRT, а также в прошивках беспроводных маршрутизаторов многих производителей. В обычных дистрибутивах Dnsmasq может устанавливаться при использовании libvirt для обеспечения работы DNS-сервиса в виртуальных машинах или активироваться в конфигураторе NetworkManager.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65431

Let's find out how to get predictable IPv6 addresses assigned to OpenBSD VMs

Florian Obser (florian@) recently gave a BSD-NL talk entitled "Let's find out how to get predictable IPv6 addresses assigned to OpenBSD VMs".

Florian takes us on a guided tour of how inet6 autoconf actually works, with enlightening and entertaining peeks into selected piece of OpenBSD source.

At the end, we are asked to "now, draw the rest of the owl".

Slides are available in the usual place, and video is also available.

AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

При этом Дэниел признал значительное повышение качества работы современных AI-анализаторов кода, которые превосходят традиционные статические анализаторы, умеют выявлять несоответствие кода описанию из комментариев, исследовать проблемы в сторонних зависимостях, учитывать специфику протоколов и предлагать исправления.

Анализ 176 тысяч строк кода Curl при помощи Claude Mythos выявил наличие 5 уязвимостей, которые были помечены в отчёте как "подтверждённые уязвимости". Ручная проверка показала, что только одна из 5 проблем приводит к уязвимости, а 4 проблемы не являются уязвимостями (три проблемы вызваны ложными срабатываниями, а одна представляет собой не связанную с безопасностью ошибку). Найденная уязвимость не связана с работой с памятью, имеет низкий уровень опасности и будет устранена в конце июня в выпуске Curl 8.21.0.

До этого за последние 8-10 месяцев код Curl проверялся при помощи AI-сервисов AISLE, Zeropath и OpenAI Codex Security, что позволило исправить 200-300 ошибок, из которых 12 были уязвимостями. Кроме того, проверки через AI выполнялись независимыми энтузиастами, присылающими отчёты об уязвимостях, выявленных при помощи AI. Всего в этом году в Curl было выявлено около 60 уязвимостей. После этих проверок модель Mythos выявила одну новую незначительную уязвимость и около двадцати мелких ошибок. Ошибки были качественно описаны AI-моделью и найдены практически без ложных срабатываний.

Тем временем, компания OpenAI представила инструментарий Daybreak на базе AI модели GPT-5.5 и AI-агента Codex, предназначенный для поиска уязвимостей, анализа вредоносного кода и разработки исправлений. В качестве опции в Daybreak предложена AI-модель GPT-5.5-Cyber, в которой убраны некоторые ограничения в области создания экплоитов и проверки безопасности систем. Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65428

GitLab объявил о сокращении персонала, реструктуризации и подготовке к эре AI-агентов

Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить управление в компании и убрать лишние уровни менеджмента для того чтобы руководители были ближе к исполнителям. В процессе реорганизации отделов R&D будет выделено 60 небольших автономных команд, которые будут нести полную ответственность за создаваемый продукт. Внутренние рутинные процессы будут оптимизированы с вовлечением AI-агентов для согласования решений, проверки выполнения работы и координации выполнения задач.

Объявлены три принципа, на основе которых будет формироваться новая система ценностей GitLab: скорость с качеством (работа малых команд короткими циклами с высокой планкой качества), мышление собственника (каждый сотрудник несёт ответственность за результат и ощущает себя владельцем компании) и клиентоориентированность (основное внимание на пользу для клиента). Для стимулирования сотрудников будет введена программа премий, которые будут составлять до 10% от зарплаты и зависеть от достигнутых результатов. Сотрудникам, не согласным с новой политикой компании, предлагается до 18 мая принять решение о добровольном увольнении.

Платформа GitLab будет оптимизирована для трёх режимов работы: разработка человеком, использование человеком AI-агентов и автономная работа AI-агентов. Помимо оплаты по подписке, будет внедрена возможность оплаты по факту потребления ресурсов, израсходованных AI-агентами. Средства непрерывной интеграции и доставки (CI/CD) будут расширены возможностями для координации работы AI-агентов, оценки результатов и проверки соблюдения ими правил.

Инфраструктура и Git будут расширены в плане предоставления API для AI-агентов и оркестровки работы AI-агентов, а также оптимизированы для нагрузок, создаваемых AI-агентами. В ядро платформы будет интегрированы инструменты для контроля и аудита. Планируется задействование единой AI-модели, доступной через API, которую можно будет использовать для написания кода, рецензирования изменений, планирования работы и проверки безопасности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65427

NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA

Инструментарий включает в себя:

• Бэкенд генерации кода для компилятора rustc, позволяющий компилировать функции с атрибутом "#[kernel]" в параллельно исполняемые на GPU ядра в представлении CUDA PTX. При компиляции используется штатная для rustc цепочка преобразований на базе фреймворка Pliron: Rust -> MIR -> Pliron IR -> LLVM IR -> PTX.
• Унифицированная система сборки компонентов, выполняемых на хост-системе и на GPU, которая сводится к выполнению команд "cargo oxide build" и "cargo oxide run".
• Набор Rust-абстракций, который можно использовать в ядрах на стороне GPU. Например, доступны функции для индексации, использования разделяемой памяти и барьеров, атомарных операций, синхронизации групп потоков, TMA (Tensor Memory Accelerator). Возможен вызов обвязок над низкоуровневыми инструкциями, специфичными для архитектуры Blackwell (например, расширенные матричные операции).
• Crate-пакеты с выполняемыми на стороне хоста компонентами CUDA runtime, позволяющими управлять памятью, запускать ядра на GPU и взаимодействовать с выполняемыми на GPU функциями в асинхронном режиме.
• Коллекция примеров ядер, демонстрирующих такие возможности, как работа с векторами, умножение матриц (GEMM), атомарные операции, асинхронное выполнение, интеграция с библиотекой MathDx, применение дженериков и замыканий, взаимодействия с CUDA-ядрами на C++/CCCL.

Ядра для GPU создаются на обычном Rust (не диалект), но выполняются в окружении no_std и могут использовать только функции из библиотеки libcore и ранее отмеченные специализированные Rust-абстракции, без доступа к стандартной библиотеке Rust (libstd). Поддерживаются примитивные типы (u8..u64, f32, f64, bool), структуры, перечисления, кортежи, массивы ([T; N]) и слайсы (&[T]), операторы match / if / if let, циклы for и while, итераторы (.iter(), .enumerate()), замыкания и дженерики. Не поддерживаются типы String, Vec и Box, макросы format!, panic! и println!, Trait-объекты и реализуемые через обращение к операционной системе функции стандартной библиотеки (работа с файлами, ввод/вывод, сетевые операции).

Доступно три уровня обеспечения безопасности CUDA-ядер на Rust: защита через систему типов (safe), использование блоков unsafe и обращение к низкоуровневым аппаратным инструкциям. Производительность созданной на CUDA-oxide реализации матричного умножения (GEMM SoL) на GPU B200 достигает 868 триллионов операций в секунду, что составляет 58% от производительности оптимизированной библиотеки cuBLAS.

External Attachment: image

External Attachment: image

External Attachment: image

External Attachment: image

External Attachment: image

External Attachment: image

Game of Trees 0.125 released

Version 0.125 of Game of Trees has been released (and the port updated). Note the security fixes:

• security fix: reject versioned files inside .git, .got, or .cvg directories
• security fix: crafted tree entry names could cause writes outside work tree
• fix redundant pack file cleanup when repository contains symlinks
• prevent NULL pointer dereferences when empty tree objects are encountered

Recent downtime

Обновления Tor 0.4.8.25 и 0.4.9.8 с устранением уязвимостей. Выпуск Arti 2.3.0

• TROVE-2026-011 - ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений (cell) END, TRUNCATE и TRUNCATED;
• TROVE-2026-008 - неправильная обработка сообщений BEGIN_DIR при использовании механизма conflux.
• TROVE-2026-010 - в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния.
• TROVE-2026-009 - аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек.
• TROVE-2026-006 - разыменование нулевого указателя, которое может произойти при обработке специально оформленного сообщения CERT.
• TROVE-2026-007 - чтение из области вне выделенного буфера, возникающее при обработке специально оформленного сообщения BEGIN.

Debian уже выпустил обновление пакета tor 0.4.9.8-0+deb13u1 для стабильной версии дистрибутива и 0.4.9.8-1 для нестабильной. Исправления уязвимостей вошли в состав выпусков Tor Browser 15.0.13 и Tails 7.7.3.

Несколько дней назад также опубликован выпуск Arti 2.3.0, реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии проложено развитие функциональности для релеев и серверов директорий (Directory Authority), добавлен новый RPC API для инспектирования туннелей, предоставлена поддержка сохранения логов через syslog и добавлена настройка logging.protocol_warnings для отражения в логе предупреждений о некорректном использовании протокола.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65424

Рука не поднялась грушевое полешко отправить в топку печки. Если кто придумает на какие поделки их извести - заверну и отправлю в подарок.

Иначе ручек наделаю. К мебели.

Выпуск редактора изображений Photoflare 1.7.0

Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме. Например Photoflare позволяет изменять формат и размер, применять фильтры, поворачивать изображение, выравнивать яркость и насыщенность сразу в нескольких выбранных файлах.

В новой версии:

• Осуществлён переход c Qt5 на ветку Qt6. Переработана система сборки, заменён устаревший API и обновлены зависимости.
• Реализована поддержка масштабирования на экранах с высокой плотностью пикселей (HiDPI). Инструменты выделения и реализации курсоров адаптированы для работы с HiDPI.
• Полностью переписан код отрисовки элементов на холсте, значительно повышена производительность рисования и применения фильтров, повышена гладкость отрисовки линий. Для снижения потребления памяти и снижения нагрузки на CPU обеспечена перерисовка только изменённых областей. По сравнению с прошлым движком отрисовки новый движок быстрее при работе с изображениями с разрешением 1920×1080 в 2-3 раза, 4K - в 5-10 раз и 9999×9999 - в 10-50 раз.
• Обеспечена полная интеграция с инструментарием для обработки изображений G'MIC и добавлена возможность применения предоставляемых в G'MIC эффектов и фильтров для обработки изображений. Добавлено отдельное меню Filters, включающее несколько сотен фильтров, разбитых на категории.
• Обновлён инструмент выделения областей на изображении, который теперь может применяться раздельно для каждой вкладки. Добавлена поддержка перемещения выделенной области при помощи мыши или клавиатуры. Реализованы новые типы выделения - "эллипс" для выделения овальных областей и "лассо" - для выделения произвольной формы.
• Добавлен режим редактирования, не выходя за границы выделенной области. Ограничение в данном режиме действует среди прочего для фильтров и манипуляций с цветом.
• Расширены инструменты рисования. Добавлен режим ограничения излома линий прямыми углами, активируемый при удержании клавиши Shift. В ластик добавлен режим стирания с заменой цвета на прозрачность. Для быстрого стирания теперь можно использовать правую кнопку мыши. Улучшена гладкость штрихов кисти.
• Помимо фильтров из набора G’Mic, в состав включено несколько собственных фильтров:

  Пикселизация

  

  Виньетирование

  

  Пиксельное рассеивание

  

  Эскиз

  
• На холст добавлены вертикальная и горизонтальная линейки, которые можно включать и отключать через меню View.
• Предложен новый набор пиктограмм для тёмного режима оформления.
• Обеспечено сохранение исходных метаданных Exif и их просмотр в диалоге со свойствами изображения.
• При вставке изображений из файла или буфера обмена обеспечен показ опций для поворота и масштабирования вставленного изображения. В панель добавлены кнопки для вставки как нового изображения. Реализована поддержка перемещения изображений мышью в режиме drag&drop.
• Добавлена опция для изменения размера изображения в процентах.
• Добавлена возможность панорамирования после увеличения масштаба через перемещение курсора, удерживая среднюю кнопку мыши.
• Обеспечено сохранение позиции панелей и виджетов, а также выбранных цветов между перезапусками. Настройки инструментов при перезапуске сбрасываются в состояние по умолчанию.
• В панель инструментов добавлены кнопки для увеличения и уменьшения масштаба, а также изменения настроек координатной сетки.
• Добавлен переносимый режим, при котором настройки размещаются в одном каталоге с исполняемым файлом.
• Реализована начальная поддержка расширения функциональности через плагины.

Отдельно авторами Photoflare анонсировано создание расширенного коммерческого редактора PhotoFlare Studio, который попытается занять нишу между GIMP и Affinity Photo, и будет интересен тем, кто считает работу в GIMP слишком сложной, но не нуждается в продвинутых возможностях Affinity Photo. В PhotoFlare Studio будут реализованы такие возможности, как слои, режимы смешивания недеструктивное редактирование, профессиональная работа с кистями через libmypaint, встроенные AI-инструменты на базе локально выполняемых моделей, работа с RAW-изображениями.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65423

Проводим DOOM II турнир в комп.клубе "Тот Самый" в Санкт-Петербурге.

Psst! Hey, you, yes you,
here's another zine about some obscure computing paradigm.
https://wiki.xxiivv.com/site/pocket_nets

Google увеличил вознаграждение за выявление уязвимостей в Android до $1.5 млн, а в Chrome - до $500 тысяч

Максимальный размер вознаграждения за создание эксплоита для Chrome, позволяющего при открытии web-страницы обойти все уровни изоляции браузера и выполнить свой код в системе, увеличен до 250 тысяч долларов. Дополнительно предусмотрена бонусная надбавка в ещё в 250 тысяч долларов ($250128), если эксплуатация затронет операции работы с памятью, защищённые при помощи механизма MiraclePtr. MiraclePtr предоставляет обвязку над указателями, выполняющую дополнительные проверки и аварийно завершающую работу в случае обнаружения обращения к освобождённым областям памяти.

Помимо этого для Chrome действуют премии, размером до $10 тысяч за обход изоляции между сайтами или разграничения доступа в JavaScript (XSS), до $5000 за обход ограничений хранилища, эксплуатацию процесса отрисовки, извлечение пользовательской информации и спуфинг URL в адресной строке, а также от $500 до $7500 за иные виды уязвимостей. За специфичные для Chrome OS уязвимости установлены премии, размером до $30000 плюс $10000 за разработку исправления.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65422

Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google

Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), пройти новую капчу не смогут. Суть метода на основе QR-кода в подтверждении обладания сертифицированным устройством. В случае с Android, подтверждение осуществляется при помощи API Play Integrity, предоставляемого в Play Services для аттестации, и позволяющего убедиться, что устройство не модифицировано и сертифицировано в Google.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65420

Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506

Среди изменений в новой версии:

• В репозиторий (SPECS и SPECS-EXTENDED) добавлены пакеты ignition и rust-afterburn.
• Пакет с сетевым анализатором Wireshark пересобран с поддержкой языка Lua.
• При сборке пакета с ядром для архитектуры arm64 включён параметр CONFIG_IKCONFIG_PROC, включающий возможность получения доступа к сборочной конфигурации текущего ядра через файл /proc/config.gz.
• Улучшена поддержка live-миграции в QEMU.
• В файл PackageBuild.yml добавлен параметр extraMacrosFiles для передачи дополнительных файлов с макросами во время сборки пакета.
• Устранено несколько десятков уязвимостей в различных пакетах.
• Обновлены версии ядра Linux 6.6.137.1, clamav 1.5.2, cloud-hypervisor 51.1.56, containerd2 2.1.6, cups 2.4.18, erlang 26.2.5.20, golang 1.26.2-1, libpng 1.6.57, mysql 8.0.46.

Дистрибутив Azure Linux предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Более сложные и специализированные решения могут создаваться путём добавления дополнительных пакетов поверх Azure Linux, но основа для всех подобных систем остаётся неизменной, что упрощает сопровождение и подготовку обновлений.

Azure Linux применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Расширенная функциональность в WSLg реализуется через включение дополнительных пакетов с композитным сервером Weston, XWayland, PulseAudio и FreeRDP.

Для управления сервисами и загрузкой применяется системный менеджер systemd. Для управления пакетами поставляются пакетные менеджеры RPM и DNF. SSH-сервер по умолчанию не включается. Для установки дистрибутива предоставляется инсталлятор, который может работать как в текстовом, так и в графическом режимах. В инсталляторе предоставляется возможность установки с полным или базовым набором пакетов, предлагается интерфейс для выбора дискового раздела, выбора имени хоста и создания пользователей.

Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий, включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации.

Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки. В проекте применяется подход "максимальная безопасность по умолчанию", подразумевающий включение различных дополнительных механизмов для повышения защиты:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Использование iptables для фильтрации сетевых пакетов.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% для архитектуры x86_64 и 96.8% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета (3%), а у 7952 пакетов (21%) возникли общие проблемы при компиляции из исходного кода.

Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65418

Бутылка "молока" и кусок "масла" - 500 рублей!

Опубликован музыкальный проигрыватель Nocturne 1.0

Основные возможности:

• Поддержка воспроизведения локальных файлов, а также музыки из потоковых сервисов и интернет-радио.
• Управление музыкальной библиотекой с использованием музыкального сервера Navidrome и возможностью группировки по альбомам, музыкантам и спискам воспроизведения.
• Наличие визуализатора звука и эквалайзера.
• Автоматическая загрузка и отображение текстов песен для проигрываемых композиций. Режим караоке с симуляцией пословного показа лирики.
• Возможность обращения к внешним музыкальным библиотекам при помощи протоколов OpenSubsonic и Jellyfin.
• Поддержка протокола MPRIS (Media Player Remote Interfacing Specification) для управления воспроизведением (например, для управления из панельных виджетов).
• Возможность работы в offline-режиме.

Среди изменений в выпуске Nocturne 1.0:

• Поддержка изменения максимального битрейта.
• Поддержка нормализации громкости (ReplayGain).
• Настройка для отображения плеера в боковой панели.
• Режим воспроизведения без пауз между треками (Gapless).
• Возможность группировки песен в альбоме в привязке к дискам.
• Опция для динамической смены фона основного окна.
• Возможность динамической загрузки списков воспроизведения и альбомов.
• Поддержка технологии входа Quick Connect в Jellyfin.

Бета-выпуск языка программирования Mojo 1.0

В состав платформы включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo notebook. Исходный код стандартной библиотеки Mojo открыты под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Исходный код компилятора планируют открыть после завершения стабилизации внутренней архитектуры.

Язык Mojo развивается под руководством Криса Латнера (Chris Lattner), основателя и главного архитектора проекта LLVM и создателя языка программирования Swift. Синтаксис Mojo основан на языке Python, а система типов близка к C/C++. Проект преподносится как язык общего назначения, расширяющий возможности языка Python средствами системного программирования, подходящий для широкого круга задач и сочетающий простоту применения для исследовательских разработок и быстрого создания прототипов с пригодностью для формирования высокопроизводительных конечных продуктов.

Простота достигается благодаря использованию привычного синтаксиса языка Python, а разработке конечных продуктов способствуют возможность компиляции в машинный код, механизмы безопасной работы с памятью и задействование средств для аппаратного ускорения вычислений. Для достижения высокой производительности поддерживается распараллеливание вычислений с задействованием всех имеющихся в системе аппаратных ресурсов гетерогенных систем, таких как GPU, специализированные ускорители для машинного обучения и векторные процессорные инструкции (SIMD). При интенсивных вычислениях распараллеливание и задействование всех вычислительных ресурсов даёт возможность добиться производительности, превосходящей приложения на C/C++.

Язык поддерживает статическую типизацию и средства для безопасной низкоуровневой работы с памятью, напоминающие возможности языка Rust, такие как отслеживание времени жизни ссылок и проверка заимствования переменных (borrow checker). При этом в языке доступны и возможности для низкоуровневой работы, например, возможно прямое обращение к памяти в режиме unsafe с использованием типа Pointer, вызов отдельных SIMD-инструкций или доступ к аппаратным расширениям, таким как TensorCores и AMX.

Mojo может использоваться как в режиме интерпретации с использованием JIT, так и для компиляции в исполняемые файлы (AOT, ahead-of-time). В компилятор встроены современные технологии автоматической оптимизации, кэширования и распределённой компиляции. Исходный код на языке Mojo преобразуются в низкоуровневый промежуточный код MLIR (Multi-Level Intermediate Representation), развиваемый проектом LLVM. Компилятор позволяет применять для генерации машинного кода различные бэкенды, поддерживающие MLIR.

Среди изменений в Mojo 1.0.0b1:

• Ключевое слово "fn" объявлено устаревшим - для объявления функций следует использовать ключевое слово "def" (возможности "fn" и "def" объединены, и в "def" реализована семантика "fn" без генерации исключений).
• Унифицирована реализация замыканий (closure). Не учитывающие контекст замыкания (stateless) теперь автоматически преобразуются в функции верхнего уровня и могут использоваться как callback-вызовы в FFI (Foreign Function Interface). Добавлена поддержка захвата по ссылке (ref capture). При объявлении функций добавлен признак "thin" для объявления простого типа указателя на функцию без захвата состояния.
• Указатели с типом UnsafePointer теперь не могут принимать значение null по умолчанию, а для работы с null-указателями необходимо использовать "Optional[UnsafePointer[...]]", что позволяет исключить накладные расходы при работе с null-указателями и сохранить возможность безопасного применения в FFI.
• По умолчанию в коде для CPU в коллекциях включена проверка допустимых границ (на GPU проверка отключена для производительности, но может быть отключена при сборке с "mojo build -D ASSERT=all"). Прекращена поддержка указания отрицательных значений в индексах (запрещено "x[-1]", но можно указывать "x[len(x)-1]").
• Из стандартной библиотек удалён тип NDBuffer, вместо которого следует использовать TileTensor.
• Расширена поддержка работы с GPU через графический API Metal на системах Apple (например, появилась поддержка print() и матричных инструкций M5). Добавлена поддержка ускорителей AMD MI250X и NVIDIA B300.
• Идентификаторы примитивов GPU (индексы потоков и блоков) переведены с возвращения типа Int вместо UInt.
• Контекст CPU ('DeviceContext(api="cpu")') стал потокозависимым (stream-ordered). Для упорядоченного выполнения задач добавлены функции enqueue_cpu_function() и enqueue_cpu_range().
• В типах String и StringSlice добавлена поддержка графемных кластеров (Unicode UAX #29), позволяющая корректно вычислять длину и обрезать строки с emoji и комбинированных символов. Добавлены методы graphemes() и count_graphemes(), а также синтаксис слайсов "[grapheme=...]".
• Реализовано уточнение типов (Type Refinement) на этапе компиляции для автоматического сужения типов внутри выражений "where", "if" и "assert" (позволяет обойтись без явного указания trait_downcast).
• Предложен унифицированный API рефлексии, в котором предложена новая функция reflect[T](), возвращающая Reflected[T] и заменяющая семейство функций struct_field_* и старые методы get_type_name().

Одновременно сформирован выпуск движка MAX Framework 26.3, предлагающего платформу для разработок в области машинного обучения. MAX Framework дополняет инструментарий Mojo средствами для разработки и отладки приложений, использующих модели машинного обучения в различных форматах (TensorFlow, PyTorch, ONNX и т.п.). В новой версии MAX Framework добавлена возможность генерации видео, расширена поддержка работ с использованием нескольких GPU, значительно повышена производительность интерпретатора (некоторые операции стали выполняться быстрее в 10-20 раз).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65415

Выпуск lay, автокорректора слов, введённых не в той раскладке, для GNOME c Wayland

Основной сценарий использования: пользователь набрал, например, "ghbdtn" вместо "привет", нажал Shift два раза, и слово перепечатывается в другой раскладке. Замена осуществляется по месту, без копирования текста через буфер обмена (программа симулирует нажатие клавиши Backspace для затирания ошибочно введённого слова и затем повторяет ввод в правильной раскладке). В смешанном тексте lay старается не трогать уже корректные соседние слова, например, "good ntrcn" будет преобразовано в "good текст", а "wi-fi ye" а wi-fi ну". Возможна точная автоподмена слов по пользовательскому словарю.

Проект состоит из фонового процесса, который работает с evdev/uinput, и небольшого дополнения к GNOME Shell, обеспечивающего переключение раскладки в GNOME на базе Wayland. По умолчанию программа работает локально и не использует облако, буфер обмена или большие языковые модели. В качестве опции доступен экспериментальный режим "--smart", в котором для автоматического определения ошибочного ввода применяется локально выполняемая AI-модель. В состав также входит отдельная утилита командной строки для преобразования текста не в другой раскладке. Поддержка в настоящее время ориентирована на GNOME Wayland и русский/английский языки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65414

Выпуск композитного сервера Hyprland 0.55

Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.

В новой версии:

• Предоставлена опциональная возможность использования языка Lua для настройки рабочего стола Hyprland. Конфигурация на языке Lua определяется в файле hyprland.lua, при отсутствии которого используется старый формат hyprland.conf.
• Добавлен API Layout, позволяющий определять в файле конфигурации собственные мозаичные раскладки окон, используя язык Lua. Раскладки могут привязываться к монитору или виртуальному рабочему столу.
  
  
• Добавлена поддержка полноэкранных окон при переключении между окнами с использованием прокрутки. Добавлена возможность управлять прокруткой при помощи жестов на тачпаде.
  
  
• Добавлена возможность загрузки своих цветовых ICC-профилей для каждого устройства вывода, используя настройку 'icc = "..path.."' в файле конфигурации.
• Улучшено управление цветом для мониторов и повышена точность цветопередачи при предоставлении совместного доступа к экрану.

В KDE ускорена программная отрисовка и реализован новый движок стилей Union

• Решено включить в состав KDE Plasma 6.7 новый движок стилей Union, но пока не ясно будет ли он активирован по умолчанию или останется в форме опции, включаемой в настройках. Union предоставляет унифицированную систему обработки стилей, позволяющую использовать разные технологии стилевого оформления приложений, доступные в KDE.

  Движок состоит из трёх слоёв: входного, промежуточного и выходного. Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу. Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека.

  Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS, а на выходе формироваться стили для QtQuick или Qt Widgets. По умолчанию решено перейти на использование входного формата CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS.

  
• В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметка в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, в при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
• В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
• Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
• Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
• В менеджере приложений Discover улучшены средства для выявления дублирующихся приложений, установленных из системных пакетов и из внешних каталогов в формате Flatpak.
• При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
• В меню Kickoffдобавлена поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.
  
  
• В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди работ по отдельности для каждого из принтеров.

Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume".

	memmove(args->begin_argv + extend, args->begin_argv + consume,
-	    args->endp - args->begin_argv + consume);
+	    args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

• CVE-2026-35547, CVE-2026-39457 - переполнения буфера в библиотеке libnv, используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.
• CVE-2026-42512 - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.
• CVE-2026-7164 - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана неограниченным рекурсивным разбором параметров SCTP.
• CVE-2026-42511 - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.
• CVE-2026-6386 - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.
• CVE-2026-5398 - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.

Я поверю британским учёным. Но только в этот раз

Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Управление killswitch осуществляется через файл "/sys/kernel/security/killswitch/control", позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду "engage af_alg_sendmsg -1" для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения кода ошибки "-1".

В качестве имён могут использоваться любые символы, поддерживаемые подсистемой kprobes. Многие из недавно найденных в ядре серьёзных уязвимостей присутствуют в подсистемах, используемых относительной небольшим числом пользователей (например, AF_ALG, ksmbd, nf_tables, vsock, ax25). Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления. Механизм killswitch особо актуален в контексте сегодняшней уязвимости Dirty Frag, эксплоит для которой был опубликован раньше, чем проблема была устранена в ядре. Killswitch

Источник: https://www.opennet.ru/opennews/art.shtml?num=65407

Internet on my homelab: eblan

Обновление Firefox 150.0.2. За апрель в Firefox устранено 423 уязвимости

Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые попытки использования моделей GPT 4 и Sonnet 3.5 не рассматривались как успешные из-за обилия ложных отчётов. В апреле в Firefox было устранено 423 уязвимости, из которых 271 были выявлены сотрудниками Mozilla при помощи Claude Mythos. 180 уязвимостей из 271 признаны опасными, 80 присвоен умеренный уровень опасности, а 11 - низкий.

Не связанные с безопасностью исправления в Firefox 150.0.2:

• Исправлена проблема, приводившая к некорректной работе web-камеры при видеовызовах.
• Устранена ошибка, из-за которой на сайтах во внутренних или корпоративных сетях вместо запроса аутентификации показывалась пустая страница.
• Исправлена проблема во встроенном PDF-просмотрщике, из-за которой не работала функция выделения текста на отсканированных изображениях.
• Исправлена ошибка, из-за которой не исчезала метка "New" в элементе меню Split View.
• Решена проблема, приводившая к аварийному завершению процесса-обработчика вкладки после перетаскивания мышью вложенных каталогов на страницу.
• Устранено пропадание или некорректное отображение части содержимого при просмотре сайтов с продвинутыми 3D-эффектами.
• Исправлена ошибка, мешавшая корректному завершению процедуры создания локальной резервной копии.
• Устранено мерцание или сбои при отображении панели навигации и статусной строки при редактировании адреса страницы.
• Устранено искажение пиктограмм поисковых рекомендаций, показываемых при вводе в адресной строке.

Пеперомия цветёт лягушачьими лапками 😍

Скомпрометирован официальный Twitter-канал Ubuntu

Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовлютый кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютого токена и предоставлении возможности принять участие в его распределении среди пользователей.