Выпуск GhostBSD 26.1

В новой версии:

• X.Org Server заменён на форк XLibre. В качестве причин замены упоминается заброшенный характер проекта X.Org и потеря надежды, что он когда-либо выйдет из стагнации на фоне переключения всех усилий Red Hat на внедрение Wayland и намерения прекратить поддержку X11 в GTK5. По мнению сопровождающего GhostBSD, проекты MATE, Xfce и GNUstep, ещё не готовы к переходу на Wayland, а действия сопровождающих X.Org выглядят деструктивными и иррациональными из-за удаления изменений, созданных автором XLibre.
• Осуществлён переход на FreeBSD 15.0-RELEASE (ранее дистрибутив базировался на FreeBSD 14.2).
• По умолчанию задействован командный интерпретатор zsh.
• В конфигуратор NetworkMGR добавлена поддержка VPN WireGuard и Enterprise WPA (802.1X/EAP).
• В менеджер обновлений Update Station добавлена поддержка обновления между разными значительными версиями загрузочных окружений.
• Обновлена тема оформления и набор пиктограмм.

Опубликованы VPN WireGuard для Windows и WireGuardNT 1.0

Порт основан на кодовой базе основной реализации WireGuard для ядра Linux, которая была переведена на использование сущностей ядра Windows и сетевого стека NDIS. По сравнению с реализацией wireguard-go, работающей в пространстве пользователя и использующей сетевой интерфейс Wintun, WireGuardNT отличается существенным повышением производительности за счёт исключения операций переключения контекста и копирования содержимого пакетов из ядра в пространство пользователя. По аналогии с реализациями для Linux, OpenBSD и FreeBSD в WireGuardNT вся логика обработки протокола работает непосредственно на уровне сетевого стека.

Версия 1.0 отмечена как своеобразный рубеж, ознаменовавший решение ряда проблем и задач, таких как: задействование функции NdisWdfGetAdapterContextFromAdapterHandle() вместо менее безопасного хранения состояния драйвера в поле Reserved и использования недокументированных смещений на поля в структуре; корректного и оперативного отслеживания размера MTU (Maximum Transmission Unit) через перехват системных вызовов; задействование в коде стандарта C23.

Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей.

Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693).

Релиз дистрибутива Solus 4.9

Для управления пакетами задействован пакетный менеджер eopkg (форк PiSi из Pardus Linux), предоставляющий привычные средства для установки/удаления пакетов, поиска в репозитории и управления репозиториями. Пакеты могут выделяться в тематические компоненты, которые в свою очередь образуют категории и подкатегории. Например, Firefox отнесён к компоненту network.web.browser, входящему в категорию сетевых приложений и подкатегорию приложений для Web. Для установки из репозитория предлагается более 2000 пакетов.

Дистрибутив придерживается гибридной модели разработки, в соответствии с которой периодически выпускаются значительные выпуски, в которых предлагаются новые технологии и значительные улучшения, а в промежутке между значительными выпусками дистрибутив развивается с применением rolling-модели обновления пакетов.

Для воспроизведения музыки в редакциях с рабочими столами Budgie и GNOME предложен проигрыватель Decibel, а для воспроизведения видео задействован Celluloid. В редакции с KDE для воспроизведения музыки доступен Elisa, а для видео - Haruna. В редакции с Xfce для воспроизведения мультимедийных файлов использован плеер Parole.

Основные изменения:

• Для управления запускаемыми по умолчанию сервисами в systemd задействован каталог с преднастройками ("preset").
• Группа пользователей, имеющая доступ к привилегированным операциям, изменена с sudo на wheel.
• Инсталлятор Calamares обновлён до версии 3.4.2. По сравнению с прошлым выпуском в Solus 4 реализована поддержка гибридных установок загрузчика, в которых загрузочные разделы создаются одновременно для systemd-boot и GRUB2.
• До 2 ГБ увеличен размер по умолчанию загрузочного раздела EFI из-за увеличения размера модулей ядра, модулей с прошивками и пакетов NVIDIA.
• Обновлены версии пакетов, среди которых ядро Linux 6.18.21, GRUB 2.14, Mesa 26.0.4, Firefox 149.0.2, LibreOffice 25.8.6.2 и Thunderbird 149.0.2
• Сборка с рабочим столом Budgie обновлена до версии 10.9.4. По умолчанию задействован эмулятор терминала ptyxis. В ближайшее время обещают опубликовать пакеты с Budgie 10.10, поддерживающим только Wayland.
• Рабочий стол GNOME обновлён до выпуска GNOME 49.5. В ближайшее время обещают опубликовать пакеты с GNOME 50, поддерживающим только Wayland.
• Сборка на базе KDE обновлена до выпусков KDE Plasma 6.6.4, KDE Gear 25.12.3 и KDE Frameworks 6.24.0.
• Сборка на базе Xfce продолжает поставляться с выпуском Xfce 4.20.

В KDE добавлена поддержка восстановления сеансов при использовании Wayland

• Реализована полноценная поддержка сохранения и восстановления сеансов при использовании Wayland, позволяющая восстановить состояние, привязку к виртуальным рабочим столам и позицию окон прерванного сеанса после перезагрузки или аварийного завершения работы. Реализация основана на добавленной в KWin поддержке протокола xdg-session-management, предложенного в выпуске Wayland-Protocols 1.48.
• Добавлена возможность независимого переключения между виртуальными рабочими столами на каждом экране (ранее виртуальные рабочие столы переключались синхронно на всех мониторах, а теперь в привязке к каждому монитору).
  
  
• В конфигураторе на странице "Default Applications" появилась возможность выбора вызываемого по умолчанию приложения с реализацией календаря-планировщика.
• В апплет, вызываемый при клике средней кнопки мыши на часах, добавлена опция для открытия календаря-планировщика.
• Добавлена поддержка помещения в избранное операций в приложениях, показанных в результатах поиска.
• В контекстное меню, показываемое при клике правой кнопкой мыши на обоях рабочего стола, добавлен пункт для просмотра информации об изображении.
• В менеджер приложений Discover добавлена опция для автоматического выхода из программы после завершения установки обновлений.
• В Discover оптимизировано оформление элементов списка приложений.
• Во фреймворк Kirigami добавлен стандартный компонент "Badge", который задействован для вывода меток во многих приложениях KDE.
• В System Monitor обеспечено разделение GPU по названиям. Через контекстное меню, показываемое для приложения System Monitor, теперь можно напрямую вызвать конкретные режимы мониторинга, например, просмотр списка запущенных процессов.
• Виджет для вставки в панель разделителя теперь доступен через кнопку добавления новых элементов на странице настройки панели, а не через боковую панель со списком виджетов.
• Для многомониторных конфигураций добавлена опция, позволяющая отображать интерфейс переключения между окнами по Alt+Tab только на основном экране, независимо от того на каком экране находится фокус ввода.
• В меню приложений Kicker обеспечена маркировка специальным значком недавно установленных программ, по аналогии с тем как это делается в интерфейсе Kickoff.
• Разрешено перемещение мышью приложений в секцию "избранное" виджетов Kickoff, Kicker и Dashboard.
• В KRunner расширены возможности вычисления произвольных математических выражений, например, теперь можно вводить не только "sqrt(2) + 2", но и "2 + sqrt(2)".
• Уменьшен размер анимированных GIF-изображений, создаваемых в приложениях, использующих библиотеку KPipeWire.

Доступены Wine 11.7, Wine-staging 11.7 и бета-версия Proton 11.0

Наиболее важные изменения:

• В API DirectSound добавлена поддержка конфигураций с семиканальным объёмным звуком (7.1).
• Началась работа над новой реализацией библиотеки msxml (Microsoft XML Core Services), не использующей libxml2. Исправлены некоторые проблемы в работе msxml3 и msxml4.
• Проведены оптимизации и улучшена совместимость с VBScript.
• В D3DX реализован фильтр SRGB.
• По умолчанию при создании префиксов выставлена версия Windows 10 вместо Windows 7.
• Закрыты отчёты об ошибках, связанные с работой приложений: ABBYY FineReader 12, Xara Designer Pro, FTDI Vinculum II IDE, Kinco Dtools, VOCALOID6, Songbookpro, Fade In Pro, Kakaowork.
• Закрыты отчёты об ошибках, связанные с работой игр: Spellforce 2, SimTower, MapleStory World, Falsus, Stratego, Act of War: Direct Action.

Одновременно сформирован выпуск проекта Wine Staging 11.7, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 280 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.7 и обновлён код vkd3d. В основной состав Wine перенесены патчи с улучшением обработки SQLDriverConnect/W в odbc32 и поддержкой преобразования символов в кодировке GB2312 в msxml3.

Кроме того, компания Valve опубликовала первый бета-выпуск пакета Proton 11.0, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана.

В новой ветке Proton выполнена синхронизация с выпуском Wine 11.0. До версии 2.7.1 обновлена прослойка DXVK, транслирующая вызовы в API Vulkan. VKD3D-Proton, ответвление от vkd3d, созданное Valve для улучшения поддержки Direct3D 12 в Proton, обновлено до состояние репозитория от 10 апреля. Обновлены wine-mono 11.0.0, vkd3d 1.19, dxvk-nvapi 0.9.1, Xalia 0.4.8. Добавлена поддержка Steamworks SDK 1.64. Для запуска x86-игр на системах ARM64EC задействован эмулятор FEX 2604.

Добавлена поддержка игр:

• Blaite
• Breath of Fire IV
• DCS World Steam Edition
• Deadly Premonition
• Dino Crisis
• Dino Crisis 2
• Don't Die Dateless, Dummy!
• From Dust
• Gothic 1 Classic
• Metal Fatigue
• METAL GEAR SURVIVE
• Resident Evil (1996)
• Resident Evil 2 (1998)
• SHOGUN: Total War.
• Universe Generator: The Golden Sword
• Unknown Faces
• Warhammer: Vermintide 2
• X-Plane 12

Решены проблемы в играх:

• Age of Empires II: Definitive Edition
• ARC Raiders
• Arma: Reforger
• BIRDCAGE
• Blazblue Centralfiction
• Brighter Shores
• Call of Duty 2
• Call of Duty: WWII
• Chambers
• CHRONO TRIGGER
• Crimson Desert
• Cyberpunk 2077
• DEATH STRANDING 2: ON THE BEACH
• Disintegratio
• Duck Game
• Dungeon Siege
• Elder Scrolls IV: Oblivion Game of the Year Edition (2009)
• Grounded
• HELLDIVERS 2
• Hellsinker
• Hollow Knight Beta
• Idle Trillionaire
• Killer Inn
• METAL GEAR SOLID 2: Sons of Liberty
• Microsoft Flight Simulator
• No Man's Sky
• Pentiment
• Phasmophobia
• RAGE
• Rei and the Floating City
• Resident Evil 2
• RoBoRumble
• Satisfactory
• Sea of Solitude
• She Sees Red
• Space Engineers
• The Finals
• The King of Fighters XIII Global Match
• The Witcher 3)
• Titanfall 2

Добавлена поддержка использования игровых контроллеров в лаунчерах игр:

• Batman: Arkham Asylum GOTY
• BioShock
• Dino Crisis
• Dino Crisis 2
• Disney Bolt
• Disney Epic Mickey 2: The Power of Two
• Final Fantasy X/X-2 HD Remaster
• Hellsinker
• LocoCycle
• Metal Slug XX
• Mortal Kombat Komplete Edition
• Puddle
• Rayman: Raving Rabbids
• Red Faction: Armageddon
• Resident Evil (1996)
• Resident Evil 2 (1998)
• Resident Evil 3 Nemesis (1999)
• Rocket Knight
• Sonic the Hedgehog 4 - Episode II
• STAR WARS Starfighter
• Ys SEVEN
• Zero Escape: The Nonary Games

– Не работает в автобусе валидатор, ой, что же делать?!
– Можно перевод сделать прямо Беглову, только я его номер не знаю.

Дело про оскорбление верующих куличом - это, конечно, новый уровень абсурда и дисфункции системы.

Обычно акцент ищут в том, что сам формальный повод абсолютно лишён смысла и юридически (нет состава преступления), и даже с религиозной точки зрения, где кулич никаким сакральным смыслом не наделён. Как и крашение яиц, например, и особенно игра ими потом.

Но дело даже не в этом. Предположим, что на законность и всякие теологические моменты нам положить, главное - некая высшая цель, защита той самой веры от посягательств. Предположим, что мы как коллектив этого хотим, чтобы верующих никто не обижал, а наоборот православие набирало обороты и вовлекало новых людей. Судя по тому, что это не жалоба какой-то шизобабки или очередного милонова, а "в ходе мониторинга социальных медиа в сети Интернет полицейскими был выявлен видеоролик" - действие носит как раз системный характер. Какие-то представители власти целенаправленно выявили, передали другим, те согласились и дали делу ход. В общем, это не баг, а фича.

И вот тут и становится предельно ясно, насколько там всё отбито и перекорёжено, ведь по факту цель достигнута ровно противоположная. Светлая Пасха как повод для уголовщины? Серьёзно? Да и вообще, кулич, яйца, зайчики все эти - это же фестивальные элементы, которые распространяют идеи праздника (и саму идеологию как следствие) в широкие слои общества. Не ассоциируйся Пасха с поводом повеселиться, будь она сугубо религиозным обрядом - не было бы шуток про куличи, да и сами куличи никому бы не впились. Даже многим слегка верующим, скорее всего. Их делают и покупают исключительно потому, что это весело и есть повод. И вот такие приколы с кальяном - это тоже ведь распространение идей, признак того. что праздник на уровне культуры закрепился в самых разных группах людей.

И вот эти ростки берут и топчут полицейским ботинком. Не ростки атеизма, прошу заметить. Ещё и пиарят.

Кулич в этом сезоне я так не купил, кстати.
#ТакПобедим

В состав ядра Linux 7.1 принят новый драйвер для NTFS

Разработка ntfsplus началась в 2022 году после публикации отчёта о проблемах с сопровождением драйвера NTFS3, разработанного компанией Paragon Software и поставляемого начиная с ядра 5.15 вместо старого заброшенного драйвера NTFS. С ноября 2021 года по июнь 2022 года разработчики ntfs3 перестали выходить на связь и рассматривать присылаемые патчи, но затем возобновили сопровождение и опубликовали набор исправлений, который вошёл в состав ядра 5.19. С тех пор изменения для свежих версий ядра выпускаются регулярно и, среди прочего, достаточно большой набор улучшений и исправлений был принят в состав ядра 7.0.

В качестве мотива продвижения в ядро нового драйвера ntfsplus указывалось, что более качественный и сопровождаемый NTFS-драйвер позволит улучшить совместимость Linux-систем с Windows-устройствами и упростить работу пользователей. Заявлялось, что в нынешнем драйвере NTFS3 имеются проблемы, остающиеся нерешёнными, из-за которых многие пользователи и дистрибутивы продолжают применять старый драйвер ntfs-3g, работающий в пространстве пользователя. При прохождении тестового набора xfstests драйвер ntfsplus успешно проходит 326 тестов (41.4%) из 787, а ntfs3 - 273 (34.6%).

Драйвер ntfsplus основан на кодовой базе удалённого из ядра классического драйвера ntfs, который был переработан, расширен возможностью записи данных и существенно расширен для поддержки современных возможностей, таких как использование фолиантов страниц памяти (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap.

По сравнению с ntfs3 новый драйвер поддерживает такие возможности, как iomap, отложенное выделение блоков (delayed allocation) и маппинг идентификаторов пользователей при монтировании (idmap). После принятия в основной состав ядра в ntfsplus планируют реализовать полноценное журналирование (в ntfs3 имеется поддержка создания replay-журнала).

В ntfsplus также удалось повысить производительность, благодаря применению асинхронных операций iomap, отложенному выделению блоков, оптимизации выделения новых кластеров, оптимизации слияния фрагментов, загрузки битовой карты кластеров в фоновом режиме и упреждающей загрузки блоков inode и информации о каталогах. В проведённых в ноябре прошлого года тестах iozone драйвер ntfsplus оказался на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. В тесте на вывод списка файлов (ls -lR) в каталогах со 100/200/400 тысячами файлов ntfsplus быстрее на 12-14%. По скорости монтирования ntfsplus быстрее в 5-6 раз (для 1 ТБ раздела 0.38 против 2.03 секунд).

На основе утилит ntfsprogs от проекта ntfs-3g для ntfsplus подготовлен собственный набор утилит ntfsprogs-plus, работающих в пространстве пользователя и включающих приложения ntfsclone, ntfscluster и ntfsinfo. Проектом также разработана новая утилита ntfsck для проверки и восстановления повреждённых разделов с NTFS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65233

Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI

Если раньше выявление уязвимостей и создание эксплоитов занимало много времени и было уделом профессионалов с многолетним опытом, то теперь благодаря AI даже начинающий может создать экспоит для новой уязвимости быстрее, чем разработчики потратят времени на написание исправления. Для защиты данных облачного сервиса, построенного на базе платформы Cal.com, и снижения риска компрометации решено прекратить публикацию исходного кода новых релизов.

Для тех, кому важно наличие исходного кода создан форк cal.diy, сопровождением которого будет заниматься сообщество. Форк содержит лишь базовую функциональность, пригодную для запуска платформы планирования встреч на своём сервере, но лишён возможностей, предлагаемых в полной версии для предприятий, таких как аналитическая панель SSO/SAML, поддержка команд, организаций и рабочих процессов. Кроме того, в закрытой версии переписаны многие ключевые подсистемы, включая аутентификацию и обработку данных.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65232

#rusmeme

Выпуск Rust 1.95. Добавление Rust в дисплейный сервер Mir. Анализатор трафика ayaFlow на Rust

Методы работы с памятью в Rust нацелены на исключение ошибок при манипулировании указателями и защиту от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлен макрос "cfg_select!", который может применяться вместо пакета "cfg-if" для обработки нескольких условий компиляции в стиле блока "match", без определения цепочки условных выражений с конструкцией "#[cfg]".

     cfg_select! {
         unix => {
             fn foo() { /* unix  */ }
         }
         target_pointer_width = "32" => {
             fn foo() { /* не-unix, 32-bit */ }
         }
         _ => {
             fn foo() { /* не unix и не 32-bit */ }
         }
     }
  

• Стабилизирована возможность указания выражений "if let" внутри блоков "match" для создания условных сопоставлений по шаблону. Ранее поддержка указания нескольких выражений "let" с использованием оператора "&&" была стабилизирована для блоков "if" и "while".

     match value {
         Some(x) if let Ok(y) = compute(x) => {
             println!("{}, {}", x, y);
         }
         _ => {}
     }
  

• Стабилизирована поддержка inline-ассемблера для архитектур PowerPC и PowerPC64.
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • MaybeUninit‹[T; N]>: From‹[MaybeUninit‹T>; N]>
  • MaybeUninit‹[T; N]>: AsRef‹[MaybeUninit‹T>; N]>
  • MaybeUninit‹[T; N]>: AsRef‹[MaybeUninit‹T>]>
  • MaybeUninit‹[T; N]>: AsMut‹[MaybeUninit‹T>; N]>
  • MaybeUninit‹[T; N]>: AsMut‹[MaybeUninit‹T>]>
  • [MaybeUninit‹T>; N]: From‹MaybeUninit‹[T; N]›
  • Cell‹[T; N]>: AsRef‹[Cell‹T>; N]>
  • Cell‹[T; N]>: AsRef‹[Cell‹T>]>
  • Cell‹[T]>: AsRef‹[Cell‹T>]>
  • bool: TryFrom‹{integer}>
  • AtomicPtr::update
  • AtomicPtr::try_update
  • AtomicBool::update
  • AtomicBool::try_update
  • AtomicIn::update
  • AtomicIn::try_update
  • AtomicUn::update
  • AtomicUn::try_update
  • cfg_select!
  • mod core::range
  • core::range::RangeInclusive
  • core::range::RangeInclusiveIter
  • core::hint::cold_path
  • ‹*const T>::as_ref_unchecked
  • ‹*mut T>::as_ref_unchecked
  • ‹*mut T>::as_mut_unchecked
  • Vec::push_mut
  • Vec::insert_mut
  • VecDeque::push_front_mut
  • VecDeque::push_back_mut
  • VecDeque::insert_mut
  • LinkedList::push_front_mut
  • LinkedList::push_back_mut
  • Layout::dangling_ptr
  • Layout::repeat
  • Layout::repeat_packed
  • Layout::extend_packed
• Признак "const" применён в функциях:
  • fmt::from_fn
  • ControlFlow::is_break
  • ControlFlow::is_continue
• В стабильных версиях инструментария убрана поддержка передачи компилятору спецификаций собственных целевых платформ.
• Целевые платформы powerpc64-unknown-linux-musl, aarch64-apple-tvos, aarch64-apple-tvos-sim, aarch64-apple-watchos, aarch64-apple-watchos-sim, aarch64-apple-visionos и aarch64-apple-visionos-sim переведены на второй уровень поддержки, который подразумевает гарантию сборки, но отсутствие гарантий при прохождении тестового набора.

Дополнительно можно отметить недавно анонсированные проекты и события, связанные с Rust:

• Компания Canonical представила дисплейный сервер Mir 2.26, предоставляющий набор библиотек для создания композитных серверов на базе протокола Wayland и включающий типовую функциональность оконных менеджеров и дисплейных серверов. Mir задействован в таких проектах, как композитный менеджер Miracle, оболочка для интернет-киосков Ubuntu Frame и пользовательское окружение Miriway.

  Новый выпуск примечателен добавлением возможности разработки компонентов на языке Rust. На Rust реализована альтернативная подсистема управления вводом evdev-rs и начата работа над написанным на Rust фронтэндом wayland-rs для Wayland. Из не связанных с Rust изменений в Mir отмечена поддержка Wayland-протоколов ext_image_copy_capture_v1 и input-triggers.

• Опубликован первый релиз анализатора трафика ayaFlow, написанного на Rust и использующего подсистему ядра Linux eBPF для перехвата сетевых пакетов (IPv4/TCP/UDP) и кадров Ethernet с минимальным влиянием на производительность. Поддерживается глубокое инспектирование протоколов прикладного уровня (L7), например, извлечение TLS SNI и DNS-запросов при анализе шифрованного трафика. Система поддерживает ведение таблицы с текущим состоянием соединений в формате DashMap, сохранение истории в SQLite и отдачу статистики через REST API для Prometheus.
• Реализована/a> возможность создания многопоточных приложений на языке Rust, использующих функции std::thread и выполняемых на стороне GPU.

В AlmaLinux возобновлена сборка пакетов для 32-разрядных систем x86

Причиной возрождения сборок для архитектуры i686 является желание предоставить возможность запуска старых приложений, доступных только в форме исполняемых файлов для 32-разрядных систем. Сборки также могут быть полезны для формирования 32-разрядных окружений для тестирования кода в системах непрерывной интеграции и для запуска контейнеров для 32-разрядных программ.

Компания Red Hat отказалась от формирования 32-разрядных сборок для архитектуры x86 в выпуске RHEL 7, опубликованном в 2014 году. В ветке CentOS 7 сборка 32-разрядных пакетов была продолжена командной CentOS Linux AltArch SIG , но начиная с ветки CentOS 8 формирование подобных сборок прекратилось.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65229

Пора идти искать сон-траву.

Э--э-э-э.... а хто википедию поломал?
Пинги идут, а http намертво виснет (и из Спб, и из Амстердама).

Linux Mint переходит на общий с LMDE инсталлятор и наметил релиз на конец года

В качестве причины продления циклов разработки упомянуто то, что подготовка релиза отнимает много времени и ограничивает возможности по развитию. При частых релизах большая часть времени уходит на тестирование, исправление ошибок и подготовку релиза, а не на усовершенствование и адаптацию дистрибутива к изменениям в экосистеме Linux.

Дополнительно можно отметить решение о задействовании в следующем релизе Linux Mint инсталлятора live-installer, ранее применявшегося в редакции LMDE (Linux Mint Debian Edition), и применении протокола Wayland в среде рабочего стола Cinnamon. Live-installer придёт на смену инсталлятору Ubiquity и будет поддерживать развёртывание OEM-установок, работу на системах с BIOS/EFI, режим безопасной загрузки (UEFI SecureBoot), работу с разделами LVM и дисковое шифрование на базе LUKS. Релиз Linux Mint 23 будет основан на пакетной базе Ubuntu 26.04 LTS, ядре Linux 7.0 и среде рабочего стола Cinnamon 6.7.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65228

Релиз nxs-universal-chart 3.0, инструмента для развёртывания приложений в Kubernetes

В новом релизе универсальный chart-пакет преобразован в модульную платформу для поставки приложений в Kubernetes. Добавлена проверка по schema.json, которая помогает находить ошибки до развёртывания. Реализован детерминированный рендеринг для минимизации шума в diff-ах и исключения случайных изменений в манифестах. Добавлены дополнительные уровни автоматической проверки шаблонов, values-контрактов и зависимостей (unit-тесты на основе helm-unittest, e2e-тесты через kind и подписание артефактов криптографической подписью cosign). Обеспечено распространение chart-пакетов через реестр OCI, а релизов через ArtifactHub.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65213

Выпуск Zorin OS 18.1, дистрибутива для пользователей, привыкших к Windows или macOS

Целевой аудиторией дистрибутива являются начинающие пользователи, привыкшие работать в Windows. Для управления оформлением дистрибутив предлагает специальный конфигуратор, позволяющий придать рабочему столу вид, свойственный различным версиям Windows и macOS, а в состав включена подборка программ, близких к программам, к которым привыкли пользователи Windows.

В качестве основы рабочего стола в Zorin OS используется GNOME с набором собственных дополнений и панелью на основе Dash to Panel и Dash to Dock. Для интеграции рабочего стола со смартфоном поставляется приложение Zorin Connect (на базе KDE Connect). Кроме пакетов в формате deb и репозиториев Ubuntu по умолчанию включена поддержка форматов Flatpak, AppImage и Snap с возможностью установки программ из каталогов Flathub и Snap Store.

В новой версии:

• До 240 (было 170) программ расширена встроенная база данных для определения установщиков популярных Windows-приложений. При попытке запуска инсталлятора Windows-программ, присутствующих в БД, выводится диалог с предложением установить аналог или родную сборку программы для Linux.
• В режиме наглядной мозаичной компоновки окон, позволяющем обойтись без запоминания сложных клавиатурных комбинаций (Zorin Appearance → Windows → Advanced Window Tiling), появилась настройка для вывода на передний план всех мозаичных окон после переключение на одно из приложений в мозаичной раскладке из панели задач. В диалог редактирования мозаичной раскладки добавлена опция для изменения порядка расположения окон. Добавлена возможность прикрепления окон к краям экрана с использованием произвольных мозаичных раскладок, а не только раскладок с разделением экрана на две или четыре части.
• В панель добавлена поддержка отображения текста с начертанием справа налево.
• В настройки добавлена опция для включения или выключения показа на панели индикаторов приложений, предоставляющих доступ к быстрому вызову функций или отображающих состояние.
• Обновлены версии программ, таких как LibreOffice 26.2.
• Возобновлена поставка редакции "Lite", нацеленной на использование на маломощных компьютерах. Сборка укомплектована средой рабочего стола Xfce 4.20. В файловом менеджере предложен более компактный интерфейс, адаптированный для использования на небольших экранах. Добавлена поддержка аутентификации при помощи датчика отпечатков пальцев. Обновлены темы оформления. Добавлена поддержка запуска обособленных web-приложений, которые показываются в стартовом меню по аналогии с классическими программами.
• Ядро Linux обновлено до выпуска 6.17. Из Ubuntu 25.10 перенесены свежие версии драйверов для GPU NVIDIA. Добавлена поддержка GPU Intel Xe3 и систем с гибридной графикой, укомплектованных дискретными видеокартами AMD.
• Добавлена поддержка ноутбуков Lenovo ThinkPad и Samsung Galaxy Book, устройств ввода Magic Mouse 2 и Touch Bar, игровых контроллеров PlayStation 5 DualSense, Acer Nitro NGR200 и Turtle Beach Recon, портативных игровых приставок ASUS ROG Ally, Lenovo Legion Go и OneXPlayer.

Опубликован KDE Gear 26.04, набор приложений от проекта KDE

Наиболее заметные изменения:

• В файловом менеджере Dolphin предоставлена возможность назначений комбинаций клавиш для вызова почти всех пунктов меню, плагинов и расширений. Например, можно установить комбинацию клавиш для быстрого изменения сортировки по дате или имени.
  
  
• В приложении Merkuro (бывший Kalendar), сочетающем возможности адресной книги, менеджера задач и календаря-планировщика, изменено оформление расписания и редактора событий.
• Модернизирован интерфейс и улучшена информативность представления данных в календаре-планировщике KOrganizer.
• В видеоредакторе Kdenlive реализован анимированный предпросмотр переходных эффектов в окне Compositions; добавлена поддержка зеркального отображения на второй монитор для просмотра клипа одновременно в интерфейсе редактора и в полноразмерном виде; добавлена возможность импорта клипа в указанную позицию через контекстное меню на временной шкале; добавлена опция для увеличения элементов временной шкалы под указателем мыши; реализована автоматическая генерация звуковых миниатюр; обеспечена автоматическая подгонка длительности переходных эффектов при добавлении их на временную шкалу до или перед клипом; предоставлена поддержка одновременного изменения скорости сразу для нескольких клипов.
  
  
• В Audiotube, приложение для прослушивания музыки с Youtube Music, реализована новая базовая страница, на которой представлена подборка музыки, рекомендованной для прослушивания.
• В программе для обмена сообщениями Neochat, использующей протокол Matrix, реализована поддержка нитей обсуждения (прикрепления ответов к конкретным сообщениям) и добавлен редактор текста с разметкой.
  
  
• В часах KClock при запуске таймера реализован показ виджета со счётчиком во время блокировки экрана на мобильных устройствах.

В ядре Linux 7.1 начали удаление поддержки процессоров Baikal

Поддержка российского процессора Baikal-T1 и основанной на нём системы на кристалле BE-T1000 включена в ядро Linux начиная с ветки 5.8. Процессор Baikal-Т1 содержит два суперскалярных ядра P5600 MIPS 32 r5, работающих на частоте 1.2 ГГц. Чип содержит кэш L2 (1 Мб), контроллер памяти DDR3-1600 ECC, 1 порт 10Gb Ethernet, 2 порта 1Gb Ethernet, контроллер PCIe Gen.3 х4, 2 порта SATA 3.0, USB 2.0, GPIO, UART, SPI, I2C. Процессор предоставляет аппаратную поддержку виртуализации, инструкции SIMD и интегрированный аппаратный ускоритель криптографических операций, поддерживающий ГОСТ 28147-89. Чип разработан с использованием лицензированного у компании Imagination Technologies блока процессорного ядра MIPS32 P5600 Warrior.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65222

По статистике Google доля IPv6-трафика превысила 50%

По данным регистратора APNIC (Asia Pacific Network Information Centre) охват пользователей IPv6 оценён в 43.13%, а число пользователей, предпочитающих IPv6 в системах с двойным стеком - 41.66%. Доля пользователей, способных устанавливать IPv6-соединения, в Азии оценивается в 50% (предпочитают IPv6 в системах с двойным стеком - 47.80%), Америке - 49.68% (49.12%), Океании - 39.09% (36.17%), Европе - 36.02% (35.43%), Африке - 5.59% (5.59%). Данные получены на основе ежедневного сбора статистики о примерно 25 млн пользователях. Информация собирается в сотрудничестве с Google и Comcast путём размещения проверочных объявлений в рекламных сетях.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65221

Опубликован черновик спецификации протокола IPv8

Адресация в IPv6 близка к IPv4 - по сути адресное пространство IPv4 является подмножеством IPv8, а адрес образуется как префикс маршрутизации (номер автономной системы) + адрес IPv4 (‹asn›.n.n.n.n). При нулевом префиксе маршрутизации (0.n.n.n.n) образуется обычный адрес IPv4, который можно использоваться для взаимодействия с существующими сетями IPv4. В заголовке пакета используется 8 номер версии в поле IP, а на адреса отправителя и получателя выделяется по 64 бита - 32 бита на префикс ASN + 32-бита на адрес хоста в стиле IPv4.

Заявлено, что решение на 100% обратно совместимо, внедрение может осуществляться бесшовно и для использования IPv8 не потребуется модификация существующих устройств, приложений и сетей. Подобное достигается благодаря применению в конечных сетях и на клиентских системах IPv4 с использованием для доступа к глобальной сети транслятора адресов XLATE8, преобразующего обращения между IPv4 и IPv8 по аналогии с NAT.

Стек IPv8 включает протокол DHCP8 для получения адресов и предоставления сервисов, систему доменных имён DNS8, протокол синхронизации времени NTP8, протолок сбора телеметрии NetLog8, резолвер WHOIS8 для утверждения маршрутов, систему управления доступом ACL8 и транслятор адресов IPv4/IPv8 XLATE8. Запись в таблицу состояния соединений XLATE8 добавляется после отправляемого при каждом соединении запроса к DNS8 и регистрации активного маршрута через обращение к сервису WHOIS8. Вся функциональность, связанная со сбором телементрии, аутентификацией, разрешением имён, синхронизацией времени и трансляцией адресов реализована в форме унифицированной платформы Zone Server.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65218

У внкомата припаркован белый бусик, в номере цифры 200.

5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации

Дополнительно можно отметить разбор подверженности Chrome различным методам скрытой идентификации, позволяющим в пассивном режиме сформировать идентификаторы браузера на основе косвенных признаков, таких как:

• разрешение экрана,
• список поддерживаемых MIME-типов,
• специфичные параметры в заголовках (HTTP/2 и TLS),
• анализ установленных шрифтов,
• доступность определённых Web API,
• анализ истории посещений,
• специфичные для видеокарт особенности отрисовки при помощи WebGL, WebGPU и Canvas,
• различия в реализации методов обработки звука в API AudioContex и распознавания речи через API Speech Synthesis,
• утечки локальных IP через WebRTC,
• анализ состава и порядка перечисления расширений TLS,
• особенности отрисовки Emoji,
• различия в калибровке датчиков через API Sensor,
• определение наличия Bluetooth-, USB- и HID-устройств через метод getDevices(),
• особенности работы математических функций (например, Math.tan(-1e308)),
• оценка цветовых схем и данных об обработке цвета через CSS-селектор @supports,
• привязка к производительности системы через API Performance,
• определение установленных дополнений через перебор chrome-extension://[known-id]/[resource],
• манипуляции с CSS,
• анализ особенностей работы с мышью и клавиатурой.

Отмечается, что в Chrome почти нет встроенных механизмов защиты от скрытой идентификации, а ранее действующие инициативы по усилению конфиденциальности, такие как Privacy Sandbox и Privacy Budget, свёрнуты. Помимо общего описания действующих в Chrome методов скрытой идентификации, показано как можно блокировать их из браузерного дополнения, используя скрипты обработки конента, отладочные возможности (chrome.debugger) и анализ сетевых запросов (chrome.webRequest). Также рассмотрены методы хранения идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies", например, кэш Favicon, база автозаполнения форм).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65219

Меня спросили, почему я считаю искусственный интеллект технологией скорее вредной, чем полезной, а у меня уже давно зрела мысль составить список личных причин. Наверняка я что-то забыл, и в целом получилось довольно сумбурно, но тут уже и так много букв, так что оставлю как есть.

1. Эрозия доверия. Любой человек сейчас может генерировать правдоподобно выглядящие фото и видео в промышленных масштабах. Отличить сгенерированное видео от настоящего уже очень, очень сложно, а то и вообще невозможно. Это уже очень активно используется для пропаганды. Видя изображение какого-то события, ты уже не можешь быть уверенным, что это не AI. Кто-то скажет — но ведь фотошоп существовал и до AI! Да, но процесс фальсификации фотошопом не масштабируется, а AI нагенерирует тысячи фотографий какого-нибудь военного преступления с разных ракурсов за считанные минуты. И по этой причине суды уже очень скоро (если не уже) перестанут принимать фото и видео в качестве доказательств. Получается не прогресс, а откат во времена до изобретения фотокамеры.

2. Деквалификация, потеря навыков. В общем случае это всегда спутник автоматизации, но автоматизация, происходившая в предыдущие столетия, никогда не была совершенным блэкбоксом, про который мы вообще понятия не имеем, как и почему он работает так, как работает. AI оказывает измеримый негативный эффект на способность выполнять интеллектуальный труд: программисты, активно использующие AI, до некоторй степени теряют способность не только писать код руками, но и понимать, как он работает. И тут я немного надеваю шапочку из фольги, но я не могу избавиться от мысли, что в комбинации с тем фактом, что AI-компании работают в огромный убыток, тут есть некоторый ХИТРЫЙ ПЛАН: сжечь много миллиардов долларов в течении нескольких лет, чтобы люди привыкли пользоваться AI и разучились обходиться без него, а потом резко взвинтить цены подписок. Ну то есть это же буквально то, как работает примерно любой современный бигтех: привлекаем пользователей дешёвым или даже бесплатным крутым продуктом, вытесняя традиционных конкурентов, запираем пользователей внутри экосистемы, профит. Uber сделал так с такси, Netflix сделал так с кабельными операторами, результат — более дорогой и не обязательно более качественный сервис.

3. Окукливание веба. Тут и так всё было не очень хорошо, но теперь у независимых сайтов всё меньше и меньше стимула открыто публиковать информацию. Зачем, если к тебе на сайт придёт бот OpenAI, всё соскрейпит, а потому ChatGPT будет генерировать пользователям саммари, а те даже на твой сайт не будут заходить? Какой тебе смысл публиковать что-то, если на твой сайт заходят только роботы, чтобы сделать Ctrl-C Ctrl-V? Получается, либо публиковать под пэйволлом (и медленно терять трафик), либо не публиковать совсем. Два примера:
3.1. Википедия. У Википедии сильно просел трафик в последнее время, потому что люди теперь просто спрашивают ChatGPT. Ну а что, удобно же. Проблема в том, что из-за этого будет приходить всё меньше новых редакторов (потому что всё меньше людей будут просто знать о Википедии), из-за чего она просто может в какой-то момент законсервироваться и умереть. Многие не любят Википедию, и часто за дело, но мне кажется, что это одна из лучших (пусть и не идеальная) попыток человечества в открытый, no strings attached, доступ к знаниям.
3.2 Stack Overflow. Люди больше не спрашивают на Stack Overflow, они спрашивают у ИИ. Следствие: люди больше не отвечают там же. Обмен знаниями теперь происходит не между живими людьми, а между человеком и OpenAI/Anthtropic/Google, с языковой моделью в виде посредника. Эти несколько коррпораций буквально монополизируют накопленный поколениями программистов опыт, и делают всё, чтобы делиться новым опытом с другими людьми было как можно более бессмысленным занятием.

4. Слоп. Чат-боты героически решают проблему, которую сами же и создали: тонны сгенерированного текста теперь составляют, по ощущениям, 90% результатов поиска. Поисковиками всё сложнее пользоваться, легче спрашивать у ChatGPT.

5. Усиление неравенства. Компьютеры и интернет стал очень empowering технологией для обычных людей. У них вдруг появилась возможность быть более независимыми и делать у себя дома вещи, для которых раньше нужны были огромные капиталовложения. Записать музыкальный альбом, открыть онлайн магазин, создать успешный продукт — всё это вдруг стало можно сделать, имея только компьютер и доступ в интернет. ИИ откатывает это назад, потому что забирает, простите за термин из совковой агитки, средства производства из рук обычных людей. Интернетом всё сложнее пользоваться без подписки на ИИ, программисты всё больше аутсорсят написание Клоду, добровольно жертвуя контролем ради «эффективности» (с которой, впрочем, всё не так однозначно). Глобально, ИИ — противоположность empowering. Кто-то скажет: нет же, наоборот, с ИИ теперь любой может сделать себе приложение для чего угодно и потом продавать его! Демократизация! Так им, нёрдам-гейткиперам! Но, во-первых, это пока токены дешёвые, и пока вендор ИИ разрешает тебе. Во-вторых, разработка ПО — это не только и не столько написание кода, написание кода никогда не было боттлнеком, но об этом как-нибудь в другой раз. В третьих, многие компании уже сейчас обязывают сотрудников использовать AI в работе. Многие теперь вместо интересного интеллектуального труда вынуждены бэйбиситтить роботов, и не все этому рады. Для таких людей даже придумали термин «обратный кентавр».

6. AI-«творчество». Полная дичь, даже не хочу расписывать. Вкратце: у художников, музыкантов и прочих творческих людей теперь ещё меньше шансов на безбедную жизнь, хотя они и раньше не то чтобы на частных самолётах летали. Зато, опять же, тонны бездушного, тошнотворного слопа, который уже просачивается в реальный мир в виде картин на стенах в отелях (тру стори!) и этикеток на товарах.

7. CEO ИИ-компаний — буквально психопаты. Достаточно послушать любое интервью с ними. Более того, безответственные психопаты с огромным капиталом и влияением.

8. LLM — это да-машины. Они во всём согласны с пользователем, крайне редко ему возражают. Они намеренно так задизайнены. Для меня это звучит чудовищно. Я не понимаю, как можно закрывать на это глаза. ИИ-психоз существует. У некоторых людей буквально едет крыша, потому что ChatGPT подкрепляет их взгляды на мир (какими бы они ни были) вместо того чтобы их челленджить.

9. Эпидемия одиночества. Многие люди утверждают, что сформировали «эмоциональную связь» с чат-ботом. Они обсуждают с LLM свою жизнь, спрашивают совет. Чат-бот отвечает эмпатичными пассажами. Как твой лучший друг, только лучше: он всегда онлайн, ему можно доверить самое сокровенное, он никогда не осудит и всегда поддержит. Зачем тогда общаться с живым человеком? Зачем даже пытаться завести знакомства? Эпидемия одиночества существовала и до ИИ-бума, но теперь рискует стать глобальной проблемой и окончательно разрушить социальные связи между людьми. Я недавно пересмотрел фильм Her, снятый в 2013-м, когда никакого ИИ в современном смысле ещё не было. И чёто эта сказочная история про чувака, влюбившегося в операционную систему, настолько пугающе похоже на то, что мы имеем в 2026-м, что я прямо долго не мог от этого отойти.

Мне нравится как кто-то придумал, когда слышишь словосочентание «искусственный интеллект», мысленно заменять его на «кокаин». С кокаином я чувствую, будто моя продуктивность улетела в небеса. У нас в организации все используют кокаин. Если ты не используешь кокаин, ты рискуешь остаться позади.

В общем, я не использую ИИ. Если совсем откровенно, то даже если когда-нибудь это будет стоить мне работы, мне всё равно, я не хочу быть частью этого, не хочу отдавать своё мышление на аутсорс. Пойду работать веломехаником.

Фонд СПО призвал ONLYOFFICE удалить ограничения, добавленные сверх лицензии AGPL

Более того, указано, что если проект ONLYOFFICE намерен продолжить использование AGPLv3 в будущих выпусках, он должен явно указать, что кодовая база распространяется под лицензией AGPLv3 и удалить упоминание всех ограничений из документации и исходного кода. Действия ONLYOFFICE, связанные с добавлением дополнительных ограничений в текст лицензии AGPLv3, названы вводящими пользователей в заблуждение и не соответствующими духу свободного ПО.

В текст лицензии AGPLv3, под которой распространяется код ONLYOFFICE, в 2021 году были добавлены дополнительные условия, требующие сохранения в производных продуктах оригинального логотипа ONLYOFFICE. Раздел 7(b) лицензии AGPL допускает добавление дополнительных требований об указании авторства и разработчики ONLYOFFICE считают, что логотип подпадает под данное разрешение. Представители Фонда СПО не согласны с этим и утверждают, что логотип является элементом товарного знака и бренда, напрямую не связанным с упоминанием автора.

Пункт о логотипе воспринят Фондом СПО как введение ограничения, несовместимого со свободами, которые предоставляет лицензия AGPLv3. Раздел 7 лицензии AGPLv3 предоставляет пользователям право удалять ограничения, внесённые сверх условий, определённых в разделах 7(a)-7(f). ONLYOFFICE может создать на основе текста AGPL собственную лицензию с дополнительными условиями, но в этом случае не должен упоминать, что код продолжает поставляться под лицензией AGPLv3.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65217

The Alpine Linux project is pleased to announce the availability of new stable releases:

3.20.10
3.21.7
3.22.4
3.23.4

These releases include security fixes across core components.

musl (2 CVEs)
openssl (6 CVEs)
zlib (2 CVEs)

See https://alpinelinux.org/posts/Alpine-3.20.10-3.21.7-3.22.4-3.23.4-released.html for more details

#AlpineLinux

Выпуск дистрибутива Альт Рабочая станция К 11.3

Свободно использовать загруженную версию могут только физические лица, в том числе – индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать дистрибутив, но для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме.

Основные изменения:

• Пользовательское окружение обновлено до KDE Plasma 6.5, KDE Gear 25.12 и KDE Frameworks 6.23.
• В экране входа в систему LightDM KDE Greeter по умолчанию задействован протокол Wayland.
• Реализовано автоматическое переключение между светлой и темной темами оформления в зависимости от времени суток.
• В состав включены приложения: RSI Break для организации перерывов в работе и Stapler (stplr) для подключения пользовательских репозиториев и установки сторонних программ.
• На системах с гибридной графикой (встроенный GPU + дискретная видеокарта) в главном меню предоставлена возможность задействования дискретной видеокарты в запускаемых приложениях.
• В поставку включены 32-разрядные библиотеки драйвера NVIDIA для совместимости со старыми приложениями и играми.
• Добавлена возможность выбора сервиса "Яндекс Карты" в качестве вызываемого по умолчанию картографического приложения.
• Из базовой поставки удалена программа управления коллекцией фотографий digiKam.

Для #playdate есть эмулятор музыкальной шкатулки

External Attachment:

rpki-client 9.8 released

The announcement reads,

List:       openbsd-announce
Subject:    rpki-client 9.8 released
From:       Sebastian Benoit <benno () openbsd ! org>
Date:       2026-04-14 23:20:42


rpki-client 9.8 has just been released and will be available in the
rpki-client directory of any OpenBSD mirror soon. It is recommended
that all users upgrade to this version for improved reliability.

Read more…

Новая версия Raspberry Pi OS

Ключевые изменения:

• По умолчанию отключён режим выполнения утилиты sudo без ввода пароля - любые разрешённые операции через sudo теперь требуют ввода пароля текущего пользователя. После успешного ввода пароля в течение 5 минут sudo не требует повторного подтверждения действий.
• Выполнение привилегированных операций в конфигураторе Control Centre также теперь требуют ввода пароля текущего пользователя для подтверждения.
• В конфигуратор Control Centre в секцию системных настроек и в утииту raspi-config добавлены опции для возвращения старого поведения.
• В конфигуратор Control Centre добавлена вкладка для редактирования основного меню. Поставка отдельного редактора меню alacarte прекращена.
• Для запуска приложений из основного меню задействована утилита gtk-launch.
• Операции завершения работы и ручного запуска программ реализованы в меню через внешние приложения-обработчики, вместо использования встроенной функциональности.
• Для панели реализованы новые плагины со списком задач и лаунчером.
• По умолчанию в пакет с браузером Chromium предустановлены дополнения uBlock Origin Lite и h264ify. В систему добавлен пакет libpam-gnome-keyring для использования системного пароля при разблокировке доступа к встроенному в Chromium менеджеру паролей.
• Вместо автоматического запуска сервиса обнаружения принтеров (cups-browsed), он теперь вручную запускается и останавливается через конфигуратор Control Centre.
• В конфигуратор добавлена опция для показа на рабочем столе домашнего каталога вместо каталога с документами.
• Из поставки по умолчанию исключён звуковой сервер Pulseaudio, поддержка которого также удалена из утилиты raspi-config. В мастер начальной настройки добавлены возможности для управления мультимедийным сервером Pipewire.
• Ядро Linux обновлено до версии 6.12.75.

Обновление X.Org Server 21.1.22 с устранением 5 уязвимостей

Исправленные уязвимости:

• CVE-2026-34001 - обращение к памяти после её освобождения (Use-after-free) в функции miSyncTriggerFence(). Уязвимость проявляется с выпуска xorg-server 1.9.0 (2010 год).
• CVE-2026-33999 - целочисленное переполнение через нижнюю границу (underflow) в функции XkbSetCompatMap(), приводящее к чтению данных из области вне буфера при обработке специально оформленных запросов. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
• CVE-2026-34000 - чтение из области вне буфера в функции XkbAddGeomKeyAlias, вызванная отсутствием проверки соответствия размера переданного названия клавиши с выделенным буфером. Уязвимость проявляется с выпусков xorg-server 21.1.4 и xwayland 22.1.3 (2022 год).
• CVE-2026-34002 - чтение из области вне буфера в функции CheckModifierMap() из-за отсутствия проверки соответствия числа указанных в запросе клавиш с фактическим числом переданных параметров. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
• CVE-2026-34003 - переполнение буфера в XKB-функции CheckKeyTypes(), приводящее к чтению данных из области вне буфера из-за отсутствия проверки соответствия размера буфера переданным в запросе данным. Уязвимость проявляется с выпуска X11R6.6 (2001 год).

Из ядра Linux 7.1 удалены опции сборки для процессоров i486

Причины удаления поддержки процессоров i486 связаны с необходимостью сопровождать в ядре усложнённый код, эмулирующий некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач). Подобный код время от времени становится источником проблем, разбор которых отнимает у разработчиков время, которое можно было бы потратить c большей пользой. При этом мало кто использует современные ветки ядра Linux на устаревших 32-разрядных CPU - ни осталось ни одного значимого дистрибутива, для которого продолжали бы публиковаться пакеты с ядром, собранные с опцией "M486=y".

В прошлом вопрос удаления поддержки CPU i486 поднимался разработчиками ядра Linux как минимум два раза. В октябре 2022 года Линус Торвальдс поднял тему удаления поддержки CPU i486, обсуждая проблему, возникшую из-за ошибки в коде эмуляции инструкции "CX8". Линус отметил, что процессоры i486 становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. В 2025 году после выявления очередной проблемы, проявляющейся при эмуляции инструкции "CX8", обсуждение возобновилось и Линус Торвальдс заявил, что чувствует, что настало время отказаться от поддержки CPU i486 и не видит причин, чтобы продолжать тратить время разработчиков на решение возникающих из-за этих процессоров проблем.

Поддержка процессоров i386 была удалена из ядра в 2012 году. Прекращение поддержки классических i486 не затронет выпускавшиеся до 2019 года встроенные процессоры Intel Quark, а также продолжающие производиться SoC Vortex86DX, так как данные процессоры хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65209

Selectively block cores from the scheduler with sysctl hw.blockcpu

We're a little late reporting it but…

The familiar safeguard sysctl hw.smt is now deprecated, having been replaced by a more flexible mechanism which allows discriminating between different varieties of core type.

First, Theo de Raadt (deraadt@) enabled the mechanism for OpenBSD/amd64 in this commit:

CVSROOT:	/cvs
Module name:	src
Changes by:	deraadt@cvs.openbsd.org	2026/03/31 10:46:22

Modified files:
	sys/sys        : sched.h sysctl.h 
	sys/kern       : kern_sched.c kern_sysctl.c 
	sys/arch/amd64/amd64: identcpu.c machdep.c 
	sys/arch/amd64/include: cpu.h 
	lib/libc/sys   : sysctl.2 

Log message:
Some new intel machines have a new 3rd tier of cpus called LP-E which are
E-core (Atom) without L3 cache.  These v are Lethargic, and it sucks
when processes migrate to them.

Read more…

Выпуск криптографической библиотеки OpenSSL 4.0.0

Основные новшества:

• Добавлена поддержка TLS-расширения ECH (Encrypted ClientHello, RFC 9849), предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. В отличие от расширения ESNI (Encrypted Server Name Indication) в ECH вместо шифрования на уровне отдельных полей, целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key).
• Добавлена поддержка определённых в RFC 8998 алгоритмов, использующих стандартизированный в Китае набор криптоалгоритмов SM2: алгоритма формирования цифровой подписи sm2sig_sm3, группы обмена ключами curveSM2 и постквантовой группы curveSM2MLKEM768.
• Добавлена криптографическая функция хэширования cSHAKE, основанная на алгоритме SHA-3 и позволяющая формировать разные хэши на основе одинаковых входных данных для защиты от атак, манипулирующих повторным использованием данных.
• Добавлен гибридный алгоритм "ML-DSA-MU", сочетающий постквантовый алгоритм формирования цифровой подписи ML-DSA (CRYSTALS-Dilithium) с классической хеш-функцией SHAKE256.
• Добавлена поддержка функций формирования ключей SNMP KDF на основе HMAC-SHA и SRTP KDF на основе AES-CM, используемых в сетевых протоколах SNMPv3 и SRTP.
• В команду "openssl fipsinstall" добавлена опция "-defer_tests", позволяющая отложить запуск тестов при установке FIPS-модулей.
• Для платформы Windows реализована поддержка статического или динамического связывания с Visual C++ Runtime.
• В TLS 1.2 добавлена поддержка согласуемого обмена ключами на основе алгоритма FFDHE (Finite Field Diffie-Hellman Ephemeral), соответствующая RFC 7919.
• Прекращена поддержка SSLv3 и SSLv2 Client Hello.
• Удалена поддержка динамически загружаемых движков, вместо которых для расширения функциональности OpenSSL следует использовать концепцию подключаемых провайдеров.
• В TLS на этапе компиляции отключена поддержка устаревших эллиптических кривых. Для возвращения можно использовать опцию "enable-tls-deprecated-ec".
• Удалена утилита c_rehash, вместо которой следуют использовать команду "openssl rehash".
• Из команды "openssl ca" удалена устаревшая опция "msie-hack".
• Удалена поддержка собственных методов EVP_CIPHER, EVP_MD, EVP_PKEY и EVP_PKEY_ASN1.
• Удалены устаревшие функции SSL/TLS, привязанные к фиксированным версиями протоколов, например, "TLSv1_client_method()".
• Удалены устаревшие функции ERR_get_state(), ERR_remove_state() и ERR_remove_thread_state().
• Прекращена поддержка целевых платформ darwin-i386{,-cc} и darwin-ppc{,64}{,-cc}.

Релиз StartWine-Launcher 420, программы для запуска Windows-приложений и игр в Linux

Основные изменения:

• В интерфейс StartWine интегрированы авторизация и игровые библиотеки сервисов GOG.COM и Epic Games Store.
• Добавлена подсистема WOW64 для лучшей совместимости с 32-битными приложениями.
• Добавлена виртуальная клавиатура для геймпада.
• Добавлен Wine Proton EM.
• Добавлен деинсталлятор StartWine.
• Добавлена опция NTSYNC для повышения производительности.
• Добавлена опция драйвера Wine Wayland для запуска с использованием чистого Wayland.
• Добавлен алгоритм масштабирования без потерь для генерации кадров.
• Добавлена поддержка HDR. Если игра поддерживает HDR, переключатель в игре будет разблокирован.
• Для скачивания и установки добавлен репозиторий StartWine RU. Реализован автоматический выбор быстрого репозитория. Добавлена функция автоматической загрузки с самого быстрого сервера.
• Добавлены несколько анимаций для интерфейса.
• Добавлен образец цветовой схемы «Темная сторона».
• Добавлена система сборки StartWine из исходного кода.
• Часть кода переписана на Rust.
• В настройках реализована параметр для задания периода обновления резервных копий.
• По категориям сгруппирован список горячих клавиш.
• Некоторые файлы конфигурации перенесены в каталог кэша, чтобы сохранять пользовательские настройки после обновления StartWine.
• В StartWineShell добавлены цветовые схемы для интерфейса, реализована подсветка исполняемых файлов, возможности загружать Wine при запуске игры и запускать игры GOG и Epic, установленные через StartWine. Добавлена переменная окружения SW_EDITOR для установки текстового редактора по умолчанию.
• Обновлён список версий Wine, dxvk и vkd3d.
• Обновлены библиотеки в среде выполнения StartWine, резервная копия префикса по умолчанию, конфигурации префикса, локали, список DLL-файлов winetricks, библиотеки и драйверы в контейнере.

Выпуск nginx 1.30.0 и форка FreeNginx 1.30.0

В соответствии с февральским отчётом компании Netcraft под управлением nginx работает около 321 млн сайтов (год назад 245 млн, два года назад - 243 млн, три года назад 289 млн). Nginx используется на 16.08% всех активных сайтов (год назад 17.89%, два года назад 18.15%, три года назад 18.94%), что соответствует второму месту по популярности в данной категории (доля Apache соответствует 13.27% (год назад 16.03%, два года назад 20.09%, три года назад 20.52%), Cloudflare - 20.62% (17.81%, 14.12%, 11.32%), Google - 10.65% (9.89%, 10.41%, 9.89%).

При рассмотрении всех сайтов nginx сохраняет лидерство и занимает 22.65% рынка (год назад 20.48%, два года назад - 22.31%, три года назад - 25.94%), в то время как доля Apache соответствует 12.19% (16.03%, 20.17%, 20.58%), Cloudflare - 15.27% (12.87%, 11.24%, 10.17%), OpenResty (платформа на базе nginx и LuaJIT) - 8.01% (9.36%, 7.93%, 7.94%).

Среди миллиона самых посещаемых сайтов в мире nginx занимает второе место с долей 19.85% (год назад 20.37%, два года назад 20.63%, три года назад 21.37%). Первое место удерживает Cloudflare - 26.84% (22.32%, 22.59%, 21.62%). Доля Apache httpd - 15.84% (17.95%, 20.09%, 21.18%).

По данным W3Techs nginx используется на 32.8% сайтов из миллиона самых посещаемых (в апреле прошлого года этот показатель составлял 33.8%, позапрошлого - 34.3%). Доля Apache за год снизилась с 26.3% до 23.9%, доля Microsoft IIS снизилась с 4% до 3.4%, а доля Caddy с 0.3% до 0.2%. Доля Node.js увеличилась с 4.4% до 6.0%, а доля LiteSpeed с 14.6% до 15.2%.

Наиболее заметные улучшения, добавленные в процессе формирования основной ветки 1.29.x:

• Добавлена поддержка TLS-расширения ECH (Encrypted ClientHello), продолжающего развитие расширения ESNI (Encrypted Server Name Indication) и используемого для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Использование ECH включается через указание в директиве "ssl_ech_file" файла конфигурации ECHConfig в формате PEM. Поддержка доступна при использовании сборок OpenSSL с ECH.
• Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath".
• Добавлена возможность привязки сеансов клиентов к одним и тем же серверам в группе. Доступно три метода: "cookie" - передача данных о выбранном сервере через указанную Cookie; "route" - проксируемый сервер назначает клиенту маршрут при получении первого запроса; "learn" - nginx анализирует ответы от upstream-сервера и запоминает начатые сервером сеансы. Для настройки привязки в блок "upstream" модуля "http" добавлена директива "sticky", а в директиву "server" добавлены параметры "route" и "drain".
• Добавлена директива "early_hints" и реализована поддержка HTTP-кода 103 в ответах от бэкендов proxy и gRPC. Код 103 позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице css и javascript). Получив информацию о подобных ресурсах браузер приступит к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.
• Добавлены директивы add_header_inherit и add_trailer_inherit, позволяющие изменить правила наследования значений, указанных в директивах add_header и add_trailer. Параметр "off" отменяет наследование значений, а параметр "merge" включает добавление значений с предыдущего уровня к значениям на текущем уровне.
• Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
• Добавлена директива max_headers, ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.
• Добавлены переменные $request_port и $is_request_port. Первая переменная содержит номер порта из компонента URI или из заголовка "Host", а вторая содержит ":", если переменная $request_port не пустая.
• Добавлены переменные $ssl_sigalg и $ssl_client_sigalg, содержащие название алгоритма формирования цифровой подписи для TLS-соединения.
• В директиву "geo" добавлен параметр "volatile", отключающий кэширование переменной. Разрешено использовать маски в директиве "include", указанной внутри блока "geo".
• В блоке "upstream" активирована по умолчанию директива "keepalive". В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
• При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection").
• В модуль ngx_http_proxy добавлена поддержка протокола HTTP/2, что позволяет использовать HTTP/2 при обращении к бэкендам.
• Предоставлена возможность загрузки криптографических ключей из аппаратных токенов, используя в качестве провайдера библиотеку OpenSSL.
• В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
• Добавлена возможность сборки с криптографической библиотекой AWS-LC, развиваемой компанией Amazon.
• По умолчанию отключено сжатие сертификатов TLSv1.3.
• Обеспечена совместимость с библиотекой OpenSSL 4.0.

Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.30.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. Среди изменений в ветке FreeNginx 1.30: добавлена поддержка TLS-расширения ECH (Encrypted Client Hello); улучшена обработка директивы limit_rate; добавлены директивы send_min_rate и client_body_min_rate; реализована возможность ограничения числа соединений и интенсивности запросов в почтовом прокси; добавлена поддержка БД GeoIP2 в модуле GeoIP; усилена защита модуля XSLT.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65207

Распечатала кубик Рубика из PLA. Пока мой самый сложный проект на 3д принтере. Не ожидала, что все получится и кубик будет крутиться и не рассыпаться в процессе! Но ручонки оказались не настолько уж кривыми) распечатка и сборка заняли 2 дня, цветные лицевые грани пришлось допечатывать - сломала парочку. Смазала силиконовой смазкой, и минуты за 3 аккуратно собрала.

Теперь умею собирать кубик from the scratch ;-) не ожидала, что он так устроен - все грани, кроме 6 центральных, фактически, висят свободно, держась друг за друга!

#AsciiArt из питерского чата #meshtastic

(\ _/)
( . .)
c(")(")

Продолжение и окончание рассказа о главной легенде московского андеграунда 90-х
https://pc.st/e/xsG.4ghi3b

Первая часть рассказа о главной легенде московского андеграунда 90-х

https://podcast.ru/e/4KqvNj9k9UE

Уязвимость в Python-библиотеках lzma, bz2 и gzip, потенциально приводящая к выполнению кода

Проблема проявляется после завершении операции выделения памяти ошибкой, возникающей при нехватке памяти (для успешной эксплуатации уязвимости атакующий должен создать условия исчерпания доступной процессу памяти). Обращение к уже освобождённой памяти возникает в приложениях, повторно использующих экземпляр объекта после возвращения ошибки в процессе распаковки. Приложения при каждом вызове создающие новый экземпляр объекта уязвимости не подвержены.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65202

Уязвимость в Python-библиотеках lzma, bz2 и gzip, потенциально приводящая к выполнению кода

Проблема проявляется после завершении операции выделения памяти ошибкой, возникающей при нехватке памяти (для успешной эксплуатации уязвимости атакующий должен создать условия исчерпания доступной процессу памяти). Обращение к уже освобождённой памяти возникает в приложениях, повторно использующих экземпляр объекта после возвращения ошибки в процессе распаковки. Приложения при каждом вызове создающие новый экземпляр объекта уязвимости не подвержены.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65202

I think it's time for some #OpenBSD #79HYPE ​

After ~21 years, gcc 3.x has left the building, with the last remaining platform (OpenBSD/luna88k) ported to gcc4.

https://bsd.network/@brynet/115425313813361816

Jonathan Gray (jsg@) has updated the drm graphics drivers (inteldrm/radeondrm/amdgpu) in #OpenBSD 7.9 to Linux 6.18.y/6.18.22 from the 6.12.y/6.12.66 longterm support version.

https://bsd.network/@brynet/116201960048161449

https://freshbsd.org/openbsd/src?q=drm&committer[]=jsg

OpenBSD now supports "Delayed hibernation" on amd64: After waiting a number of seconds (up to 24 hrs) the machine will wake from S0ix/S3 idle sleep/suspend and hibernate to disk.

https://bsd.network/@brynet/116217813921273057

The OpenBSD kernel gains a new "parking mutex".. inspired by WebKit.

https://bsd.network/@brynet/115503876824188865

A long standing ACPI issue (boot delay) that has plagued several Intel Mac models has been fixed by jcs@

https://bsd.network/@brynet/115602160298028722

OpenBSD's EFI bootloader now supports loading files from the ESP, making it easier to e.g: copy & bootstrap a ramdisk kernel.

https://bsd.network/@brynet/114445047214287864

Improved support for running OpenBSD as a guest VM on Apple Silicon machines under macOS.

https://bsd.network/@brynet/115899206016337373

OpenBSD/amd64 now supports SMP on up to 255 CPUs, such as on AMD Threadripper/EYPC.

https://bsd.network/@brynet/115899248487624689

OpenBSD iwx(4) now supports additional Intel AX211 WiFi 6/6E models, as well as 160MHz channel support! ​

https://bsd.network/@brynet/116210371257002339

https://bsd.network/@brynet/116319563256899912

Important security refinements to both pledge(2) and unveil(2), fixing several early design issues.

https://bsd.network/@brynet/116136000669207850

https://bsd.network/@brynet/116197240853794609

https://bsd.network/@brynet/116217472157803716

Plus lots more to see in 7.9! Stay tuned! ​​

Доступна библиотека управления памятью jemalloc 5.3.1

В июне 2025 года автор проекта прекратил сопровождение и перевёл репозиторий jemalloc в архивный режим, но месяц назад разработку возобновила компания Meta, применяющая jemalloc в своей инфраструктуре. Изначально библиотека была разработана для FreeBSD и используется в данной ОС по умолчанию с 2005 года. Код библиотеки написан на Си и распространяется под лицензией BSD.

Среди изменений:

• Реализована функция pvalloc, которая может оказаться полезной при замене аллокатора памяти libc.
• В отладочных сборках включён режим обнаружения двойного вызова функции free(). Для настройки размера стека, в рамках которого выполняется сканирование, добавлен параметр debug_double_free_max_scan.
• Добавлена сборочная опция "--enable-pageid" для выставления тегов при маппинге памяти, используя prctl с флагом PR_SET_VMA. После включения маппинг можно отслеживать через /proc/‹pid›/maps.
• Добавлен параметр "prof_bt_max", позволяющая выставить максимальную глубину стека для профилирования.
• Добавлена сборочная опция "--enable-force-getenv" для использования в коде обычной функции getenv() вместо защищённой secure_getenv().
• Добавлена сборочная опция "--disable-dss" для отключения использования функции sbrk().
• Добавлен параметр "tcache_ncached_max" для ограничения числа элементов в кэше потоков.
• Добавлен параметр "calloc_madvise_threshold" для настройки использования механизма ядра madvise или функции memset для обнуления памяти, выделяемой через функцию calloc.
• Добавлена сборочная опция "--disable-user-config" для отключения загрузки настроек из файла /etc/malloc.conf или переменной окружения MALLOC_CONF.
• Добавлен параметр "process_madvise_max_batch" для ограничения числа блоков памяти для каждой batch-операции madvise.
• Добавлен параметр "disable_large_size_classes" для отключения нового алгоритма расчёта размера выделяемой памяти, снижающего накладные расходы при выделении блоков, размером более 4 страниц памяти.
• В утилиту mallctl добавлены опции: opt.prof_bt_max, arena.‹i›.name, thread.tcache.max, thread.tcache.ncached_max.write, thread.tcache.ncached_max.read_sizeclass, arenas.hugepage и approximate_stats.active.

Минздрав России собирается вносить в специальный реестр данные о гражданах, которые уклонились от каких-либо профилактических прививок.

#реестр

Выпуск OpenBGPD 9.1

Разработка OpenBGPD ведётся при поддержке регионального интернет-регистратора RIPE NCC, который заинтересован в доведении функциональности OpenBGPD до пригодности к использованию на серверах для маршрутизации в точках межоператорского обмена трафиком (IXP) и в создании полноценной альтернативы пакету BIRD (из открытых альтернатив с реализацией протокола BGP можно отметить проекты FRRouting, GoBGP, ExaBGP и Bio-Routing).

В проекте основное внимание уделяется обеспечению максимального уровня безопасности и надёжности. Для защиты применяется жёсткая проверка корректности всех параметров, средства для контроля соблюдения границ буферов, разделение привилегий и ограничение доступа к системным вызовам. Из достоинств также отмечается удобный синтаксис языка определения конфигурации, высокая производительность и эффективность работы с памятью (например, OpenBGPD может работать с таблицами маршрутизации, включающими сотни тысяч записей).

Ключевые изменения в новой версии:

• Повышена производительность фильтра исходящих маршрутов (outbound filter). Правила фильтрации теперь сохраняются в массиве, а повторяющиеся у разных пиров фильтры дедуплицируются.
• В процессе RDE (Route Decision Engine) повышена производительность обработки таблиц с фильтрами (filter_sets) - для повышения эффективности кэширования фильтры перемещены в линейный массив объектов. На серверах с большим числом маршрутов связанные с фильтрами оптимизации позволили сократить продолжительность начальной синхронизации более чем на 25%.
• Улучшено отражение в логе ошибок разбора атрибутов, приводящих к сбору сеанса.
• В команду 'show rib memory' добавлены дополнительные метрики для оценки потребления памяти.

Выпуск сборочной системы Meson 1.11.0

Ключевой целью развития Meson является обеспечение высокой скорости сборочного процесса в сочетании с удобством и простотой использования. Вместо утилиты make при сборке по умолчанию применяется инструментарий Ninja, но возможно применение и других бэкендов, таких как Xcode и Visual Studio. В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю (по задумке авторов разработчик должен тратить минимум времени на написание правил).

Поддерживается кросс-компиляция и сборка в Linux, Illumos/Solaris, FreeBSD, NetBSD, DragonFly BSD, Haiku, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов. Возможна сборка проектов на различных языках программирования, включая C, C++, Fortran, Java, D и Rust. Поддерживается инкрементальный режим сборки, при котором пересобираются только компоненты, напрямую связанные с изменениями, внесёнными с момента прошлой сборки. Meson можно использовать для формирования повторяемых сборок, при которых запуск сборки в разных окружениях приводит к генерации полностью идентичных исполняемых файлов.

Основные новшества Meson 1.11:

• При вызове в скриптах Meson метода rust.workspace() реализован разбор корневого файла Cargo.toml внутри проекта, для корректной активации при сборке feature-флагов, определённых в общем для всех рабочих пространств файле Cargo.toml. Кроме того, метод rust.workspace() теперь возвращает объект, через который можно получить список feature-флагов и зависимостей для подпроектов, а также запустить сборку целей, объявленных в файлах Cargo.toml.
• В команду "meson dist" добавлены опция "-j" (--num-processes) и переменная окружения MESON_NUM_PROCESSES для задания числа процессов, параллельно выполняемых при сборке и тестировании пакетов.
• Параметр should_fail, допускающий прохождении теста при возвращении ошибки, объявлен устаревшим и переименован в expected_fail. Добавлен параметр expected_exitcode для выставления кода успешного завершения теста, отличного от 0.
• В модуле external_project на платформе Windows задействована команда cygpath для преобразования специфичных для Windows файловых путей и Unix-подобные пути (например, из C:/path/to/configure в /path/to/configure).
• В команды install_man и install_headers добавлена поддержка аргумента install_tag для выбора устанавливаемых файлов по произвольным тегам, а не только по тегам man и devel.
• Добавлен параметр link_early_args, через который в командную строку при запуске компоновщика можно подставить опции (например, "-u" или "--defsym") до перечисления объектов и библиотек.
• Добавлена константа "~", заменяемая на домашний каталог в файлах описания среды (machine files).
• В команде "meson format" по умолчанию отключена сортировка файлов, указанных в числе аргументов функции files(). Для включения сортировки следует использовать опцию sort_files.
• Анонсировано прекращение поддержки версий Python до выпуска 3.10. Meson 1.11.0 является последним выпуском с поддержкой веток Python 3.7, 3.8 и 3.9.
• Добавлена поддержка новых возможностей C/C++ компилятора MPLAB XC32, появившихся в версии 5.0, таких как автоматическое включение LTO-оптимизаций и поддержка стандартов C2x и CPP23.

Новые версии свободного издательского пакета Scribus 1.6.6 и 1.7.3

Одновременно опубликован выпуск Scribus 1.7.3. Ветка 1.7 преподносится как экспериментальная - после проведения окончательной стабилизации и признания готовности для повсеместного внедрения на базе ветки 1.7 будет сформирован стабильный релиз Scribus 1.8.0. Ветка 1.7 примечательна портированием на Qt 6, поддержкой тёмной темы оформления, переводом пиктограмм на формат SVG, новой реализацией закрепляемых панелей инструментов, переработкой панели выбора цвета. Cборки сформированы для Linux (AppImage, Flatpak), macOS и Windows.

Среди изменений в версии Scribus 1.7.3:

• Переделан механизм проверки правописания во время работы с документом. Проверка теперь выполняется в отдельном потоке и подсвечивает ошибки по мере набора и редактирования текста. Возможен откат (undo) принятых правок. Обеспечена корректная проверка слов с непечатными символами.
• Переделан интерфейс поиска и замены, в котором реализован режим поиска по всем окнам, предоставлена поддержка скрытия расширенных настроек и добавлена возможность использования выделенного фрагмента в качестве поисковой маски.
• Добавлен инструмент для быстрого преобразования регистра символов в выделенном блоке текста. Доступны различные режимы, например, инвертирование.
• Модернизирован генератор штрих-кодов, в котором переделан интерфейс, добавлен полный доступ к опциям BWIPP (Barcode Writer in Pure Postscript), реализованы настройки форматирования текста и выставления границ, предоставлена возможность повторного редактирования объектов со штрих-кодом, добавлены функции для программной генерации штрих-кодов из скриптов.
• Значительно улучшен импорт изображений в формате JPEG XL.

OpenBSD -current has moved to version 7.9

OpenBSD 7.9 release cycle is entering its final phases…

With the following commit, Theo de Raadt (deraadt@) moved -current to version 7.9 (dropping the "-beta"):

CVSROOT:	/cvs
Module name:	src
Changes by:	deraadt@cvs.openbsd.org	2026/04/13 11:22:23

Modified files:
	sys/conf       : newvers.sh 

Log message:
move out of -beta

For those unfamiliar with the process:
this is not the 7.9 release, but is part of the standard build-up to the release.

Remember: It's time to start using "-D snap" with pkg_add(1) (and pkg_info(1)).

(Regular readers will know what comes next…)
This serves as an excellent reminder to upgrade snapshots frequently, test both base and ports, and report problems [plus, of course, donate!].

OpenBGPD 9.1 released

The OpenBGPD project have announced the availability of their newest release, version 9.1, with the following announcement:

List:       openbsd-announce
Subject:    OpenBGPD 9.1 released
From:       Claudio Jeker <claudio () openbsd ! org>
Date:       2026-04-13 14:37:12

We have released OpenBGPD 9.1, which will be arriving in the
OpenBGPD directory of your local OpenBSD mirror soon.

This release includes the following changes to the previous release:

Read more…

Выпуск браузерного движка Servo 0.1.0, который теперь доступен в форме crate-пакета

Servo 0.1.0 стал первым выпуском, для которого обеспечен длительный цикл поддержки (LTS). Новые LTS-ветки будут публиковать раз в 6 месяцев на основе очередного промежуточного выпуска. Поддержка LTS-выпусков будет осуществляться 9 месяцев (3 месяца даётся для перехода на новую LTS-ветку). От обычных выпусков LTS-ветка отличается публикацией обновлений с исправлениями уязвимостей в библиотеке servo, JavaScript-движке и зависимостях. Предполагается, что LTS-ветка будет полезна для разработчиков, встраивающих Servo в свои проекты и не желающих ежемесячно переходить на очередной промежуточный выпуск с возможными изменениями в API.

Выпуск Servo 0.1.0 LTS построен на основе сформированной несколько дней назад промежуточной версии 0.0.6, в которой были реализованы следующие новые возможности:

• В HTML-элементe "button" реализованы атрибуты "command" и "commandfor", которые можно использовать в кнопках вместо атрибутов "popovertargetaction" и "popovertarget" для декларативной настройки взаимодействия с меню, вызываемым при нажатии на кнопку.
• Добавлен CSS-селектор ":modal", позволяющий определить, что диалог, созданный через элемент ‹dialog›, является модальным.
• Реализовано CSS-правило @property, позволяющее регистрировать собственные CSS-свойства.
• Добавлены CSS-свойства "alignment-baseline" и "baseline-shift" для выравнивания текста по вертикали.
• Добавлена поддержка заголовка "Content-Security-Policy: base-uri", ограничивающего URL, которые могут использоваться в HTML-элементе ‹base›.
• Добавлена частичная поддержка отложенной загрузки iframe-блоков, при которой содержимое, находящееся вне видимой области, не загружается до тех пор, пока пользователь не прокрутит страницу в место, непосредственно предшествующее элементу. Включение отложенной загрузки страниц осуществляется через атрибут "loading=lazy" в теге iframe (‹iframe loading=lazy›).
• Добавлена частичная поддержка CSS-свойства "transform-style: preserve-3d" для позиционирования дочерних элементов в 3D-пространстве.
• Реализованы события pointermove, pointerdown, pointerup и pointercancel.
• Обеспечен поворот изображений на основе метаданных EXIF.
• Обеспечено использование переменной окружения LANG для выбора языка по умолчанию для заголовка "Accept-Language" и свойства navigator.language.
• Добавлены API Pointer Events и UserActivation.
• Реализованы методы import.meta.resolve(), formData(), toJSON(), createIndex(), deleteIndex() и index().
• В демонстрационном браузере servoshell для изменения настроек реализованы страницы servo:preferences (GUI конфигуратор) и servo:config (изменение отдельных параметров в стиле about:config). Добавлена поддержка перезагрузки страницы при нажатии F5.
• В инструментах для web-разработчиков в режиме инспектирования добавлена поддержка редактирования атрибутов DOM, в web-консоли обеспечен предпросмотр объектов, передаваемых через console.log(), в отладчике появилась возможность приостановки и возобновления выполнения скриптов.
  
  
• Расширен API для встраивания браузерного движка в приложения.

Движок Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65197

В OpenBSD переименовали поле в pfsync после ложного AI-отчёта об уязвимости

Тэо пояснил, что на раннем этапе разработки pfsync указанное поле было добавлено для хранения хэша набора правил с целью оптимизации проверки состояния. В конечном счёте от этой идеи отказались, но поле было оставлено для сохранения обратной совместимости и всегда оставалось заполненным нулями. В коде данное поле лишь упоминалось в структуре пакета, но не проверялось и не заполнялось.

В сгенерированном AI-отчёте утверждалось о наличии уязвимости, так как поле вычисляется при отправке пакета, но не проверяется при получении. В отчёте детально пояснялся принцип работы и источник проблемы, но на деле - это было AI-галлюцинацией, выдуманной лишь на основании использования в коде слов "pfcksum" и "PF_MD5_DIGEST_LENGTH". Человек, использовавший AI для поиска уязвимости, не потрудился проверить результат перед отправкой отчёта об уязвимости.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65196

unspecified horror

Студия перевода Vert Dider удаляет видео с лекциями Стэнфордского университета из-за того, что его признали нежелательной организацией

Game of Trees 0.124 released

Version 0.124 of Game of Trees has been released (and the port updated):

• make the chroot path directive in gotwebd.conf actually work
• fix a segfault in tog while using the & search feature
• plug a tree object leak in the gotd repo_write process
• fix gotd wrongly complaining about a missing gotsys.conf in pack files
• expand tabs in log messages displayed by tog diff to prevent misalignment
• prevent non-root users from blocking gotctl reload requests
• plug a memory leak in got-read-commit
• allow UTF-8 in gotsys.conf site owner names and repository descriptions
• reject non-UTF-8-encoded reference names in gotsys.conf
• make gotwebd display logged-in usernames in case of group-membership auth

The GotHub OpenBSD mirror mentioned in our report on the previous GoT release is now linked from the OpenBSD main page.

Неточный, но от слова нет.

Релиз ядра Linux 7.0

Номер 7.0 присвоен, так как в ветке 6.x накопилось достаточного выпусков для смены первого числа в номере версии (в своё время выпуск 6.0 был сформирован следом за 5.19). Смена нумерации осуществляется из эстетических соображений и является формальным шагом, снимающим дискомфорт из-за накопления большого числа выпусков в серии.

В новую версию принято 15624 исправления от 2477 разработчиков, размер патча - 56 МБ (изменения затронули 18053 файла, добавлено 704060 строк кода, удалено 278132 строки). В прошлом выпуске было 15657 исправлений от 2237 разработчиков, размер патча - 52 МБ. Около 51% всех представленных в 7.0 изменений связаны с драйверами устройств, примерно 11% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества в ядре 7.0 (1, 2, 3):

• Дисковая подсистема, ввод/вывод и файловые системы
  • Реализована инфраструктура fserror и добавлен API для получения информации об ошибках ввода/вывода и повреждении метаданных при работе с файлами. Предложенная инфраструктура унифицирует в файловых системах передачу сведений об ошибках в пространство пользователя через механизм fsnotify.
  • В XFS добавлены новые возможности для мониторинга за состоянием файловой системы из пространства пользователя. Предложена ioctl-операция XFS_IOC_HEALTH_MONITOR, возвращающая файловый дескриптор, через который можно получать сведения о сбоях, связанных с повреждением метаданных или возникновение ошибок при вводе/вывода, а также отслеживать изменение состояний ФС, таких как отмонтирование и завершение работы. Дополнительно предложен управляемый через systemd фоновый процесс xfs_healer, обрабатывающий события о состоянии ФС из пространства пользователя и при необходимости автоматически запускающий процедуры восстановления.
  • В файловую систему Btrfs добавлена экспериментальная поддержка структуры "дерево ремапинга" (remap tree), которая в будущем может быть задействована в качестве промежуточного слоя при выполнении операций ввода-вывода. Суть добавленной возможности в том, что после перемещения данных на накопителе вместо обновления всех связанных с этими данными структур в дополнительной структуре "remap tree" сохраняются старые и новые адреса данных, после чего при обращении к данным адреса подменяются. Новый подход преподносится как более надёжный и гибкий, а также упрощающий дальнейшее расширение функциональности Btrfs.
  • В Btrfs реализована поддержка прямого ввода/вывода в ситуациях, когда размер блока превышает размер страницы памяти в системе.
  • В состав включена новая файловая система "Nullfs", которую можно использовать в качестве заглушки для корневой ФС. Файловая система Nullfs всегда пустая, не содержит данных и не поддерживает изменения. Назначением Nullfs является использование в качестве начальной ФС для упрощения процесса загрузки системы - поверх Nullfs затем монтируются другие ФС и используется системный вызов pivot_root() для переключения корневой ФС вместо очистки содержимого initramfs и использования связанной с ним корневой ФС.
  • Реализовано обновление информации о времени модификации файлов в неблокирующем режиме. Ранее вызов file_update_time_flags() с флагом IOCB_NOWAIT возвращал ошибку "-EAGAIN", что не позволяло использовать операции прямой записи в неблокирующем режиме.
  • В файловых системах в разряд отдельно включаемых опций переведена поддержка уведомительных блокировок (lease). По умолчанию подобный механизм теперь не активируется из-за проблем с ФС, изначально не рассчитанных на его применение. Например, его не поддерживают ФС 9p и cephfs.
  • В файловой системе EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения, для сжатия по умолчанию задействован алгоритм LZMA. Опционально доступны алгоритмы DEFLATE и Zstandard, которые больше не помечены экспериментальными. Реализовано совместное использование записей в страничном кэше (page-cache) для идентичных файлов в отдельных ФС EROFS.
  • Удалён режим laptop_mode, экономящий энергопотребление за счёт откладывания и объединения операций записи на жёсткий диск с целью продления нахождения диска в спящем режиме и снижения числа пробуждений. Режим потерял актуальность, так как в современных мобильных устройствах жёсткие диски вытеснены твердотельными накопителями.
  • Файловая система F2FS переведена на использование больших фолиантов страниц памяти (large folios).
  • Возрождена работа над драйвером ntfs3, развиваемым компанией Paragon Software. Добавлена поддержка операций с файлами на базе iomap, реализованы опции llseek SEEK_DATA/SEEK_HOLE, добавлен режим delalloc для отложенного выделения блоков. Тем временем, в списке рассылки разработчиков ядра в феврале было одобрено включение в состав одной из будущих версий ядра новой реализации NTFS - ntfsplus, разработанной для замены ntfs3.
  • По умолчанию при сборке включена версия протокола NFS 4.1 (CONFIG_NFS_V4_1). Обеспечена блокировка экспорта через NFS специализированных псевдо-ФС, таких как pidfs и nsfs. В NFSD реализована экспериментальная возможность использования POSIX ACL и добавлена поддержка динамического изменения пула потоков (thread-pool) в зависимости от нагрузки.
• Память и системные сервисы
  • Утверждены официальные правила применения AI-ассистентов и включения в ядро автоматически сгенерированного содержимого. При передаче сгенерированного кода предписано помечать его через указание используемого AI-ассистента через тег "Assisted-by". AI-ассистентам запрещено добавлять тег "Signed-off-by" - человек, передавший патч, считается его автором, несёт ответственность за переданное изменение и ручается за его качество. Разработчикам предписано проводить ручное рецензирование полученного через AI кода и проверять соответствие результата лицензионным требованиям.
  • Поддержка Rust переведена из экспериментальных в основные возможности ядра.
  • Завершена интеграция в ядро механизма "Swap Table", позволяющего повысить производительность подкачки. Ускорение достигается благодаря уменьшению конкуренции за доступ к кэшу подкачки, более эффективного поиска в кэше и снижения фрагментации. Бэкенд на базе Swap Table задействован для кэширования подкачки вместо бэкенда XArray и позволил в тесте redis-benchmark с BGSAVE увеличить число обрабатываемых запросов на 22%.
  • Добавлена поддержка появившегося в Clang 22 расширения Thread Safety Analysis, позволяющего на этапе компиляции выявлять потенциальные состояния гонки и ошибки, вызванные некорректным выставлением блокировок. Расширение предлагает серию атрибутов, таких как GUARDED_BY(...), REQUIRES(...), RELEASE(...) и ACQUIRE(...), позволяющих отмечать охватываемые блокировками функции и разделять области действия блокировок (определять контекст). На этапе компиляции выполняется проверка корректности применения примитивов синхронизации, таких как мьютексы, на основе оценки активности или не активности, связанного с ними контекста.
  • В системный вызов open_tree добавлен флаг OPEN_TREE_NAMESPACE для упрощения настройки изолированных контейнеров и ускорения запуска контейнеров на системах с большим числом точек монтирования. По аналогии с OPEN_TREE_CLONE новый флаг копирует только указанное дерево точек монтирования (mount tree), но вместо локального файлового дескриптора возвращает файловый дескриптор в новом пространстве имён точек монтирования, в котором скопированное дерево монтируется поверх копии реальной корневой ФС. Флаг OPEN_TREE_NAMESPACE востребован для ухода от раздельного выполнения операций unshare(CLONE_NEWNS) и pivot_root(), применяемых при создании контейнеров.
  • В системный вызов rseq добавлен механизм расширения квантов времени (time slice), позволяющий получить дополнительное процессорное время для неразрывного выполнения критической секции. Идея в том, чтобы избежать прерывания планировщиком задач критической секции с выставленной блокировкой, приводящего к передаче управления другим потокам, использующим ресурс, на которых остаётся выставлена блокировка. Расширение кванта времени производится без дополнительных накладных расходов, но и без строгих гарантий, предоставляемых при полноценном регулировании приоритетов.
  • Для архитектур arm64, loongarch, powerpc, riscv, s390 и x86 режим вытеснения задач (preemption) в планировщике по умолчанию изменён с PREEMPT_NONE на PREEMPT_LAZY. Число возможных режимов сокращено с четырёх до двух - PREEMPT_FULL и PREEMPT_LAZY (режимы PREEMPT_NONE и PREEMPT_VOLUNTARY оставлены только для архитектур, не поддерживающих PREEMPT_FULL и PREEMPT_LAZY). Режим PREEMPT_LAZY применяет модель полного вытеснения (PREEMPT_FULL) для realtime-задач (RR/FIFO/DEADLINE), но задерживает вытеснение обычных задач (SCHED_NORMAL) до границы тика. Вносимая задержка приводит к сокращению случаев вытеснения держателей блокировок, что позволяет приблизить производительность к конфигурациям, использующим модель добровольного вытеснения (voluntary preemption), т.е. PREEMPT_LAZY позволяет сохранить возможности полного вытеснения в отношении realtime-задач, но сводит к минимуму проседание производительности для обычных задач.

    Включение PREEMPT_LAZY привело к серьёзной регрессии, в два раза снижающей производительность PostgreSQL на системах ARM64. Для устранения падения производительности разработчикам PostgreSQL предложено задействовать опцию PR_RSEQ_SLICE_EXTENSION для снижения вероятности вытеснения держателя блокировки.

  • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). Благодаря ранее интегрированной библиотеке "syn", упрощающей написание сложных макросов, удалось сократить размер Rust-кода в ядре за счёт упрощения определений имеющихся процедурных макросов. Расширены возможности библиотек kernel, macros и pin-init.
  • В систему асинхронного ввода/вывода io_uring добавлена опция для использования не кольцевых очередей (non-circular submission queue), более эффективно кэшируемых в ситуации, когда выполнение запроса завершается раньше возврата из системного вызова.
  • В подсистеме eBPF в механизме BTF (BPF Type Format), предоставляющем информацию для проверки типов в псевдокоде BPF, для поиска отладочной информации задействован бинарный поиск, что повысило эффективность загрузки BPF-программ. В eBPF добавлена поддержка неявных аргументов при вызове kfunc (функции ядра, доступные для использования в программах BPF), определённых с флагом KF_IMPLICIT_ARGS.
  • Удалён код для поддержки начального RAM-диска (initrd) на базе linuxrc, давно объявленный устаревшим. Оставшиеся реализации initrd планируют удалить в 2027 году. Вместо initrd следует использовать initramfs (разница в том, что initrd размещает начальное загрузочное окружение в дисковом образе, а initramfs - в файловой системе).
  • В блочном устройстве zram, применяемом для сжатого хранения раздела подкачки в памяти, изменена логика работы со сжатыми страницами памяти при опциональном перемещении данных в постоянное хранилище в случае заполнения доступной оперативной памяти. Ранее страницы памяти распаковывались перед записью на физический носитель, а теперь сохраняются как есть в сжатом виде, что снижает нагрузку на CPU и экономит энергию при автономной работе.
  • В утилиту timerlat, предназначенную для измерения задержек при работе планировщика задач, добавлена опция "--bpf-action" для запуска BPF-программ в случае превышения заданного порога.
  • В систему трассировки ftrace добавлена настройка "bitmask-list" для вывода битовых масок в читаемом виде (в форме списка битов, а не шестнадцатеричного числа). В tracefs добавлены возможности для аудита фильтров и триггеров. Добавлена команда "perf sched stats" для сбора и отображения статистики о работе планировщика задач.
  • Добавлены сборочные опции LOGO_LINUX_MONO_FILE, LOGO_LINUX_VGA16_FILE и LOGO_LINUX_CLUT224_FILE для определения файла с изображением логотипа, который будет показываться при загрузке ядра вместо штатного логотипа с пингвином Tux.
• Виртуализация и безопасность
  • В системе асинхронного ввода/вывода io_uring реализована возможность прикрепления BPF-программ с фильтрами, контролирующими, что могут делать конкретные SQE (Submission Queue Entry) операции (подобие системных вызовов в io_uring). Добавленная возможность является аналогом фильтров системных вызовов. Фильтры можно привязывать к определённым задачам и они наследуются при порождении других процессов после вызова fork(). При наличии активных фильтров, добавляемые поверх фильтры могут лишь прикреплять дополнительные ограничения, но не отключать имеющиеся. Реализованная возможность позволит блокировать методы обхода фильтрации системных вызовов в sandbox-окружениях, основанные на выполнении вместо системных вызовов аналогичных операций, предоставляемых в io_uring.
  • В SELinux добавлена возможность управления доступом к токенам BPF, позволяющим непривилегированным процессам выполнять некоторые привилегированные операции c BPF, например, загружать BPF-программы в ядро и создавать map-структуры.
  • Добавлена поддержка алгоритма формирования цифровых подписей ML-DSA (CRYSTALS-Dilithium), основанного на теории решёток и стойкого к подбору на квантовом компьютере. Предоставлена возможность использования ML-DSA для аутентификации модулей ядра.
  • Удалена возможность использования схем формирования цифровых подписей с алгоритмом SHA-1 для заверения модулей ядра (поддержка загрузки подписанных модулей сохранена).
  • В записи аудита NETFILTER_PKT добавлены поля 'sport' и 'dport' для инспектирования номеров сетевых портов, а не только IP-адресов.
  • Для систем с архитектурой RISC-V реализована поддержка расширений Zicfiss и Zicfilp, предоставляющих аппаратные возможности для применения защиты CFI (Control Flow Integrity), блокирующей нарушения нормального порядка выполнения инструкций (control flow) в результате применения эксплоитов, изменяющих хранимые в памяти указатели на функции.
  • В гипервизоре KVM реализована возможность передачи в гостевые системы информации о поддержке процессором расширения ERAPS (Enhanced Return Address Predictor Security), позволяющего обойтись без некоторых операций сброса состояния CPU при возвращении управления хосту гостевой системой. Кроме того, добавлена поддержка закрепления за гостевыми системами оборудования для отслеживания производительности (PMU, Performance Monitoring Unit), что позволяет повысить точность профилирования по сравнению с использованием эмулируемых PMU.
  • В драйвер для гипервизора Hyper-V добавлена поддержка интерфейса debugfs для просмотра статистики о работе гипервизора.
• Сетевая подсистема
  • Включено по умолчанию расширение AccECN (Accurate Explicit Congestion Notification), реализующее улучшенный вариант расширения ECN, позволяющего хостам в случае перегрузки маркировать IP-пакеты вместо их отбрасывания, что даёт возможность определять возникновение начальной стадии затора в каналах связи без потери пакетов. Исходное расширение ECN имеет ограничение, допускающее выставление только одного сигнала о перегрузке в рамках одного цикла приёма-передачи TCP (RTT, Round-Trip Time, отправка запроса и получение ответа). AccECN снимает данное ограничение и даёт возможность получателю передавать отправителю более одной метки о перегрузке в заголовке TCP-пакета. Алгоритмы управления перегрузкой могут использовать полученную информацию для более точного реагирования на перегрузки и не прибегать к резкому снижению интенсивности отправки пакетов при появлении незначительной перегрузки.
  • В реализацию алгоритма управления сетевыми очередями Cake добавлена возможность обработки нескольких очередей для распределения нагрузки на несколько ядер CPU. Алгоритм CAKE применяется для снижения негативного влияния промежуточной буферизации пакетов на граничном сетевом оборудовании, и нацелен на достижение максимально возможной пропускной способности и минимального уровня задержек даже на медленных каналах связи.
  • В сокеты VSOCK, используемые для взаимодействия с виртуальными машинами, добавлена поддержка сетевых пространств имён (network namespace).
  • Добавлена начальная реализация будущего стандарта WiFi 8 (802.11bn, Ultra High Reliability" WiFi).
  • Добавлены оптимизации, позволившие повысить производительность обработки входящих UDP-пакетов на 12% при проведении стресс-тестирования в 100-гигабитной сети.
• Оборудование
  • В драйвере AMDGPU реализована поддержка IP-блоков, используемых в новых GPU AMD, таких как SMUIO 15.x, PSP 15.x, IH 6.1.1/7.1, MMHUB 3.4/4.2, GC 11.5.4/12.1, SDMA 6.1.4/7.1/7.11.4 и JPEG 5.3.
  • В драйвере Nouveau улучшено управление частотой на системах Tegra 186+.
  • В драйвер i915 добавлена начальная поддержка дисплейного IP-блока Xe3p_LPD, применяемого в процессорах Intel Nova Lake-P.
  • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлен режим Multi Queue. Добавлены компоненты, необходимые для диагностики зависаний GPU в Mesa. Добавлена поддержка механизма MERT для управления доступом к памяти GPU.
  • Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. В новой версии проведена подготовка к реализации поддержки GPU на базе микроархитектуры Turing и внесены различные внутренние изменения.
  • Добавлена поддержка контроллеров и периферийных устройств с многоканальным интерфейсом SPI (Serial Peripheral Interface), позволяющим передавать данные в несколько параллельных потоков.
  • Добавлен драйвер для комбинированных коннекторов Type-C, применяемых на устройствах на чипах Apple Silicon и сочетающих интерфейсы USB3, DP-AltMode и Thunderbolt/USB4.
  • Добавлена поддержка звуковых подсистем чипов Tegra238, Minisforum V3 SE, iBasso DC04U, Intel Nova Lake, Nova Lake S и Focusrite Forte.
  • Добавлена поддержка ARM-плат, SoC и устройств: Arduino UnoQ, OrangePi 6 Plus, OrangePi CM5, Anbernic RG-DS, Realtek Kent, Qualcomm Kaanapali, Mediatek Ezurio, Facebook Anacapa, Microchip LAN9668, Khadas VIM1S, QNAP TS133, i.MX952, i.MX93, i.MX94, VHIP4 EvalBoard, TQ-Systems MBLS1028A, Agilex5, Radxa CM3J, Glymur,
  • Добавлена поддержка смартфонов и планшетов: Fairphone Gen 6 (SoC Qualcomm Milos/Snapdragon 7s Gen 3), Pixel 3/3 xl, Microsoft surface pro 11.

Одновременно латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 7.0 - Linux-libre 7.0-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 7.0 проведена чистка от блобов драйвера iwlwifi. Обновлён код чистки в драйверах amdgpu, adreno, TI PRUeth, air_en8811h, ath12k, TI VPE, rtw8852b, rt1320, rt5575 SPI, tas2783, Intel catpt. Выполнена чистка имён blob-ов в dts-файлах (devicetree) для ARM-чипов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65194

pfsync(4) Packet Header Field Renamed to Avoid AI Bug Report Noise

As a consequence of one such report, Theo de Raadt (deraadt@) committed a change to pfsync(4) to rename an otherwise unused field in the pfsync(4) packet header.

The commit message reads,

List:       openbsd-cvs
Subject:    CVS: cvs.openbsd.org: src
From:       Theo de Raadt <deraadt () cvs ! openbsd ! org>
Date:       2026-04-12 3:16:04

CVSROOT:	/cvs
Module name:	src
Changes by:	deraadt@cvs.openbsd.org	2026/04/11 21:16:04

Modified files:
	sys/net        : if_pfsync.c if_pfsync.h 

Log message:
The pfcksum[] field in the pfsync packet header is not a hash of the
packet.  It provides absolutely no security benefits, keep reading to
find out.

Read more…

Расстояние от дома до дома - выходные
#mosstodon

Сокращенное наименование учреждения: ГБУ ДЮЦ «ЦФКСиЗ».

Пока прошёл три поля, попал под два кратковременных дождя, град и снег. Апрель, одним словом. Но фотоловушка сама себя не поставит. Ещё одно поле перейду и буду на своём солонце, где не был год почти.
#пвд

STOP WAR! Typographie by Barbara Galińska

#Art

Стараюсь не посещать многочисленные экотропы, оопт, памятники природы и прочие места, куда суется щупальцами левиафан, а если посещать – то непременно вне дорог, походя, или не в сезон.
Так было решено и в этот раз, прогуляться до многовековой лиственничной рощи, волею судеб попавшей недавно в очередной реестр с подписью чиновника (забегая вперёд, сообщу, что каждое дерево в этой роще пронумеровано!)

Поход сразу начался славно: переправой по досочке над канавой.
Потом пошли по оврагам и полям, распугивая чибисов, отдыхая у каких-то придорожных столиков – я подозреваю, что это какой-то специальный знак, но выглядит как небольшой столик на двоих, где можно поставить рюмочки и сервировать лёгкую закуску на перерыве между полевых работ. А можно и просто присесть сверху отдохнуть. Очень удобная штука!

Потом забрели в лес с саркосцифами – давно не встречал эти чудесные грибы. Оттуда вышли уже к Путилово – посёлку с интереснейшими фасадами, и суровым населением. Как и все народы Южного Приладожья местные жители довольно неприветливы и непривычны к чужакам (не считая локальных праздников, см. H. P. Lovecraft. The Festival). Я думаю, им предстоит ещё пережить толпы "внутренних туристов" и баз отдыха, когда все традиционно красивые и более близкие к городу места будут поделены и огорожены.
Прямо над головами пролетеля стая гусей, никогда не видел их настолько близко, как и сидевшего прямо надо мной на ветке огромного чернейшего ворона. Снять ничего из этого, конечно же, не удалось, ну и ладно.

(#ленинграднутряной)

Стараюсь не посещать многочисленные экотропы, оопт, памятники природы и прочие места, куда суется щупальцами левиафан, а если посещать – то непременно вне дорог, походя, или не в сезон.
Так было решено и в этот раз, прогуляться до многовековой лиственничной рощи, волею судеб попавшей недавно в очередной реестр с подписью чиновника (забегая вперёд, сообщу, что каждое дерево в этой роще пронумеровано!)

Поход сразу начался славно: переправой по досочке над канавой.
Потом пошли по оврагам и полям, распугивая чибисов, отдыхая у каких-то придорожных столиков – я подозреваю, что это какой-то специальный знак, но выглядит как небольшой столик на двоих, где можно поставить рюмочки и сервировать лёгкую закуску на перерыве между полевых работ. А можно и просто присесть сверху отдохнуть. Очень удобная штука!

Потом забрели в лес с саркосцифами – давно не встречал эти чудесные грибы. Оттуда вышли уже к Путилово – посёлку с интереснейшими фасадами, и суровым населением. Как и все народы Южного Приладожья местные жители довольно неприветливы и непривычны к чужакам (не считая локальных праздников, см. H. P. Lovecraft. The Festival). Я думаю, им предстоит ещё пережить толпы "внутренних туристов" и баз отдыха, когда все традиционно красивые и более близкие к городу места будут поделены и огорожены.
Прямо над головами пролетеля стая гусей, никогда не видел их настолько близко, как и сидевшего прямо надо мной на ветке огромного чернейшего ворона. Снять ничего из этого, конечно же, не удалось, ну и ладно.

(#ленинграднутряной)

Стараюсь не посещать многочисленные экотропы, оопт, памятники природы и прочие места, куда суется щупальцами левиафан, а если посещать – то непременно вне дорог, походя, или не в сезон.
Так было решено и в этот раз, прогуляться до многовековой лиственничной рощи, волею судеб попавшей недавно в очередной реестр с подписью чиновника (забегая вперёд, сообщу, что каждое дерево в этой роще пронумеровано!)

Поход сразу начался славно: переправой по досочке над канавой.
Потом пошли по оврагам и полям, распугивая чибисов, отдыхая у каких-то придорожных столиков – я подозреваю, что это какой-то специальный знак, но выглядит как небольшой столик на двоих, где можно поставить рюмочки и сервировать лёгкую закуску на перерыве между полевых работ. А можно и просто присесть сверху отдохнуть. Очень удобная штука!

Потом забрели в лес с саркосцифами – давно не встречал эти чудесные грибы. Оттуда вышли уже к Путилово – посёлку с интереснейшими фасадами, и суровым населением. Как и все народы Южного Приладожья местные жители довольно неприветливы и непривычны к чужакам (не считая локальных праздников, см. H. P. Lovecraft. The Festival). Я думаю, им предстоит ещё пережить толпы "внутренних туристов" и баз отдыха, когда все традиционно красивые и более близкие к городу места будут поделены и огорожены.
Прямо над головами пролетеля стая гусей, никогда не видел их настолько близко, как и сидевшего прямо надо мной на ветке огромного чернейшего ворона. Снять ничего из этого, конечно же, не удалось, ну и ладно.

(#ленинграднутряной)

Доступен полностью свободный Linux-дистрибутив Trisquel 12.0

Дистрибутив примечателен исключением из поставки всех несвободных компонентов, таких как бинарные драйверы, прошивки и элементы графического оформления, распространяемые под несвободной лицензией или использующие зарегистрированные торговые марки. Несмотря на полный отказ от проприетарных компонентов, Trisquel совместим с Java (OpenJDK), поддерживает большинство аудио- и видео-форматов, включая работу с защищенными DVD, задействуя при этом только полностью свободные реализации данных технологий. В качестве рабочих столов предлагаются MATE (по умолчанию), LXDE и KDE.

В новом выпуске:

• Осуществлён переход с пакетной базы Ubuntu 22.04 на ветку Ubuntu 24.04.
• До версии 6.8 (была 5.15) обновлён полностью свободный вариант ядра Linux - Linux Libre, очищенный от проприетарных прошивок и драйверов, содержащих несвободные компоненты. Повышена модульность поставки ядра.
• С целью повышения безопасности переработаны правила AppArmor для графических окружений.
• Пакетный менеджер APT обновлён до ветки 3.0, а настройки репозиториев переведены на использование формата deb822.
• В состав включены web-браузеры GNU IceCat и ungoogled-chromium, помимо ранее поставляемого Abrowser (сборка Firefox от разработчиков Trisquel).
• Рабочий стол MATE обновлён до версии 1.26.1. Опционально для установки доступны пользовательские окружения LXDE 0.99.2, KDE Plasma 5.27 и Sugar 0.121 (обучающее окружение для детей).
• Обновлены версии программ, в том числе в бэкпортах доступны свежие версии LibreOffice, yt-dlp, Inkscape, Nextcloud Desktop, Kdenlive, Tuba, 0 A.D., fastfetch и многих других приложений.

Основные требования к полностью свободным дистрибутивам:

• Включение в состав дистрибутива ПО с одобренными FSF лицензиями;
• Недопустимость поставки бинарных прошивок (firmware) и любых бинарных компонентов драйверов;
• Непринятие неизменяемых функциональных компонентов, но возможность включения нефункциональных, при условии разрешения копировать и распространять их в коммерческих и некоммерческих целях (например, CC BY-ND-карты к GPL-игре);
• Недопустимость использования торговых марок, условия использования которых мешают свободному копированию и распространению всего дистрибутива или его части;
• Соблюдение лицензионной чистоты документации, недопустимость документации, рекомендующей установку проприетарного ПО для решения определённых задач.

В настоящее время помимо Trisque в список полностью свободных дистрибутивов GNU/Linux включены следующие проекты:

• Dragora - независимый дистрибутив, пропагандирующий идею максимального архитектурного упрощения;
• Dynebolic - специализированный дистрибутив для обработки видео и аудио данных (более не развивается - последний релиз был 8 сентября 2011 года);
• Guix - основан на пакетном менеджере Guix и системе инициализации GNU Shepherd (ранее известной как GNU dmd), написанными на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов.
• Hyperbola - основан на стабилизированных срезах пакетной базы Arch Linux с переносом из Debian некоторых патчей для повышения стабильности и безопасности. Проект развивается в соответствии с принципом KISS (Keep It Simple Stupid) и нацелен на предоставление пользователям простого, легковесного, стабильного и безопасного окружения.
• Parabola GNU/Linux - дистрибутив, основанный на наработках проекта Arch Linux;
• PureOS - основан на пакетной базе Debian и разрабатывается компанией Purism, развивающей смартфон Librem 5 и выпускающей ноутбуки, поставляемые с данным дистрибутивом и прошивкой на базе CoreBoot;
• libreCMC (libre Concurrent Machine Cluster), специализированный дистрибутив, рассчитанный на использование во встраиваемых устройствах, таких как беспроводные маршрутизаторы.
• ProteanOS - обособленный дистрибутив, развивающийся в направлении достижения как можно более компактного размера;