Доля пользователей Linux в Steam превысила 5%

Наибольшую долю среди Linux систем занимает платформа SteamOS Holo, основанная на Arch Linux - 24.48%. Доля Linux Mint составляет 8.8%, Arch Linux - 8.78%, Ubuntu - 5.25%, Manjaro - 1.45%. По сравнению с февральской статистикой из списка пропали дистрибутивы CachyOS и Bazitte, доля которых составляла 8.59% и 5.79%, соответственно. В мартовском рейтинге также отсутствует упоминание Freedesktop SDK (Flatpak runtime), доля которого составляла 5.26%. При этом в мартовских данных появились системы с именами "64 bit" и "0 64 bit", доля которых составляет 8.01% и 17.60% (!). Можно предположить, что это Bazitte и CachyOS, но столь значительное увеличение доли каждой из данных систем выглядит сомнительно.

Мартовская статистика от проекта Boiling Steam, собранная на основе данных из сервиса ProtonDB, также демонстрирует значительный рост популярности дистрибутивов Bazitte и CachyOS с прошло года. В марте CachyOS вырвался на первое месте среди дистрибутивов Linux, заняв долю 21.1% и сместив с первого места Arch Linux, который удерживал данную позицию с 2021 года. Доля Bazitte составила 9.5%, что соответствует 4 месту.

Для сравнения, доля Arch Linux - 14.9%, Linux Mint - 10.6%, Fedora - 9.2%, Ubuntu - 7.1%, Endeavour - 4.1%, Nobara - 3.9%, PopOS - 2.9%, Debian - 2.7%, NixOS - 2.4%, Manjaro - 2.2%. Суммарная доля всех дистрибутивов на базе Arch Linux составила 42.3%, на базе Debian - 23.3% и на базе Fedora - 22.6%.

Дистрибутив CachyOS основан на пакетной базе Arch Linux и примечателен включением оптимизаций для повышения производительности, а также формированием сборки для носимых устройств (Handheld Edition) с интерфейсом в стиле GameMode и компонентами для любителей компьютерных игр. В дистрибутиве по умолчанию включён планировщик задач BORE, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно включены оптимизации PGO (Profile-Guided Optimization) или BOLT (Binary Optimization and Layout Tool).

Дистрибутив Bazitte ориентирован на геймеров и основан на наработках дистрибутивов Fedora Kinoite и Fedora Silverblue. (атомарно обновляемые редакции Fedora Linux с рабочими столами KDE и GNOME). Дистрибутив поставляются в форме монолитного образа, не разделяемого на отдельные пакеты и обновляемого как единое целое. Приложения устанавливаются в формате Flatpak или в форме контейнров. Для запуска Android-игр задействован Waydroid. В состав входит Steam и подборка компонентов, востребованных любителями компьютерных игр, а также дополнительные драйверы для игровых контроллеров и Wi-Fi. В системные компоненты внесены оптимизации для повышения отзывчивости и улучшения поддержки HDR и VRR.

Доля Linux по данным из других источников:

• Wikipedia: 5.3% (год назад - 4.2%).
• w3schools.com: 3.8% за сентябрь 2025.
• statcounter.com: 3.16% (год назад - 4.2%).
• PornHub: 6.2% (год назад 5.1%).
• Cloudflare: 2.9%.
• analytics.usa.gov: 4%.

В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9

Старый вариант DRBD поставляется в ядре начиная с версии 2.6.33, выпущенной 16 лет назад. Имеющийся в ядре код основан на ветке DRBD 8, которая существенно отличается от ветки DRBD 9, выпущенной в 2015 году и не совместимой на уровне протокола. Получилось так, что ветка DRBD 9 развивалась в форме отдельного внешнего модуля, не синхронизированного с модулем из основного состава ядра. Имеющаяся в ядре реализация DRBD сопровождалась отдельно и отстаёт от актуальной кодовой базы DRBD на 10-15 лет. Предложенные патчи созданы для устранения образовавшегося разрыва.

DRBD даёт возможность объединить накопители узлов кластера в единое отказоустойчивое хранилище. Для приложений и системы такое хранилище выглядит как одинаковое для всех систем блочное устройство. При использовании DRBD все операции с локальным диском отправляются на другие узлы и синхронизируются с дисками других машин. В случае выхода из строя одного узла, хранилище автоматически продолжит работу за счёт оставшихся узлов. При возобновлении доступности сбойного узла, его состояние будет автоматически доведено до актуального вида.

В состав кластера, формирующего хранилище, может входить до 32 узлов, размещённых как в локальной сети, так и в территориально разнесённых центрах обработки данных. Синхронизация в подобных разветвлённых хранилищах выполняется в форме mesh-сети - данные растекаются по цепочке от узла к узлу. Репликация узлов может производиться как в синхронном режиме, так и в асинхронном. Например, локально размещённые узлы могут применять синхронную репликацию, а для узлов на удалённых площадках может применяться асинхронная репликация с дополнительным сжатием и шифрованием трафика.

Ветка DRBD 9 отличается абстрагированием транспортного уровня, позволившим реализовать каналы связи не только поверх TCP/IP, но и с использованием RDMA/Infiniband. По сравнению с работой поверх традиционной IP-сети, интеграция прямого доступа к оперативной памяти другого компьютера при помощи RDMA (Remote Direct Memory Access) позволила удвоить производительность репликации при сокращении нагрузки на CPU на 50%. Максимальный размер синхронизированного хранилища увеличен до 32 узлов. В DRBD 9 также изменена логика ресинхронизации узлов, переработан механизм установки блокировок, добавлена поддержка пространства имён сети (network namespace), обеспечена автоматическая установка статуса узла в зависимости от активности, добавлена поддержка двухфазных коммитов и распространения обновлений в неблокирующем режиме.

#сегодня днём ( по дороге на работу ) встретил скворца, который сидел на невысокой клумбе и очень приятно пел. В две фазы: сначала громко и звонко, потом потише и более мелодично.

Я подошёл довольно близко, на расстояние вытянутой руки. Это его нисколько не спугнуло, хотя он меня ( вроде как ) видел. Я решил заснять его на видео, потянулся за смартфоном. Но почему-то звук открывающейся липучки кармана насторожил птицу. Скворец перестал петь, посмотрел на меня ( как на дурака ) и улетел.

lft клепает демки под Raspberry Pi Pico 2:

• Kaleidoscopico
• Sum Ergo Demonstro

(#demoscene)

Я досмотрела до конца вводный курс лекций по философии сознания, и могу смело его рекомендовать! Качество на высоте, материал прекрасный, смотреть одно удовольствие.

https://www.youtube.com/playlist?list=PLl6gbdzpV93QT3lioanA0l8942-BHE9A3

Там вас кратко познакомят с основными вопросами и проблемами сознания, основными направлениями (идеализм, реализм, материализм) в их многообразии — от панпсихизма до иллюзионизма. Обсудят практические аспекты тоже: сознание животных, сознание искусственного интеллекта и теории сознания.

Red Hat увеличил платное сопровождение промежуточных выпусков RHEL до 6 лет

Ранее 4 года дополнительной платной поддержки предоставлялось и для выпуска RHEL 7, теперь эта практика заявлена для выпусков RHEL 8/9/10. Особенностью программы "Extended Life Cycle, Premium" является увеличение времени дополнительной публикации обновлений для промежуточных выпусков (субрелизы RHEL 10.1, 10.2, 10.3 и т.п.). Обновления с устранением уязвимостей с уровнем опастности CVSS 7 и выше, а также исправлением серьёзных ошибок для промежуточных веток теперь будет выпускаться в течение 6 лет (было 2 года Extended Update плюс ещё 2 года по отдельной подписке Extended Extended Update), что позволит сократить операции перехода на новые промежуточные выпуски в системах, обслуживающих непрерывно работающие критически важные сервисы.

Длительная поддержка для промежуточных выпусков будет осуществляться через релиз. Например, расширенные обновления для майского выпуска RHEL 10.2 будут формироваться до мая 2032 года, для ноябрьского RHEL 10.3 - до мая 2027 года, а для майского RHEL 10.4 - до мая 2033 года. Ветка RHEL 10 в целом будет сопровождаться до 2039 года, ветка RHEL 9 - до 2036 года, а RHEL 8 - до 2033 года.

Что касается других дистрибутивов, 16 лет поддерживается SUSE Linux, 15 лет поддерживается Ubuntu, 10 лет (5 лет LTS + 5 лет Extended LTS) поддерживается Debian GNU/Linux, 2 года поддерживается openSUSE и 13 месяцев - Fedora Linux.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65155

Мать-и-мачеха
Самый памятный цветок детства. Потому что он был самым первым, который мы видели весной на оттаявших солнечных склонах. И который так и остался для меня самым ярким символом весны...
#photography #WTphoto #nature #spring #flowers #by #природа #весна #цветы

«…а руководители, как их и обязывает название, развели руками!»

#БезКонтекста

Выпуск Phosh 0.54.0, GNOME-окружения для смартфонов

Среди изменений:

• Добавлена возможность реализации индикаторов состояния в форме плагинов.
• Обеспечен вывод уведомления при сбое запуска приложений.
• В блоке быстрых настроек в секции управления местоположением реализована опция для изменения точности предоставления сведений о местоположении.
• Обновлён список приложений с адаптивным интерфейсом, работающим как на больших, так и на мелких экранах.
• В композитном сервере Phoc расширено управление фокусом и улучшена поддержка окон с флагом "override-redirect", например, заставок и всплывающих меню, выводимых X11-приложениями, запускаемыми через Xwayland.
• В экранной клавиатуре Stevia добавлены дополнительные модификаторы в панель горячих клавиш, а также реализована опция для отключения режима автоматической обработки пробелов.
• В конфигураторе phosh-mobile-settings разрешено отключение встроенных панелей, что позволяет использовать конфигуратор в системах, отличных от Phosh. Предложена библиотека с типовыми виджетами, используемыми в конфигураторе. Реализована настройка воспроизведения звука при поступлении голосового вызова.
• В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка смартфонов Google Pixel 6a, Motorola edge 30, Motorola Moto G7 и SHIFT6mq.
• Представлена новая библиотека libpms-rs с набором обвязок над библиотекой libpms (Phosh-Mobile-Settings) для языка Rust.
• В виджете выбора файлов pfs (Posh File Selector) реализовано контекстное меню со свойствами файла и операцией копирования, показываемое при удержании нажатия на файл. Добавлена возможность изменения размера пиктограмм.
• Осуществлён переход на компоненты GNOME 50. Обновлены версии зависимостей: callaudiod 0.1.10, Calls 50.0, cellbroadcastd 0.0.3, feedbackd 0.8.9, feedbackd-device-themes 0.8.8, iio-sensor-proxy 3.9, mmsd-tng 2.6.4, ModemManager 1.25.95, wlroots 0.19.3, wys 0.1.12.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65153

I wrote a gopher web server in uxntal!
(disclaimer: run at your own risk, see below)

introducing… gopher-serv.tal :D

it's the bare minimum: no automatic directory listings, no error pages, and sandboxing is enforced by the emulator(!!)

but what it does have, is 201 bytes of gopher-serving goodness :D

src: https://codeberg.org/notchoc/gopher-serv.tal
emu: https://codeberg.org/notchoc/uxn2
run: uxn2 -N gopher-serv.rom ADDRESS

!!! DISCLAIMER: DO NOT EXPOSE THIS TO THE INTERNET !!! UXN2 DOES NOT HAVE SANDBOXING (YET) AND ALSO I DO NOT MAKE ANY GUARANTEES ABOUT SECURITY

Arch Linux перевёл iptables на бэкенд nft по умолчанию

Отмечается, что изменение не повлияет на работу большинства систем, но возможно нарушение функциональности, завязанной на нетипичные расширения xtables и поведение, свойственное старому iptables. Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65152

Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Главные нововведения в Cozystack 1.2.0:

• В Dashboard добавлено приложение "Managed OpenSearch", поддерживающее все выпуски платформы OpenSearch. Доступна многоролевая топология, включён по умолчанию TLS, из коробки работает аутентификация методом HTTP Basic, а при необходимости вместе с движком можно развернуть OpenSearch Dashboards.
• В приложении vpc реализована поддержка VPC Peering, что позволяет напрямую соединять приватные сети tenant-ов без маршрутизации трафика через публичные точки. В мультитенантных инсталляциях операторы могут проектировать более чистые внутренние сетевые топологии и публиковать наружу только необходимый трафик. Добавлено детерминированное выделение IP-адресов для пирингов и поддержка статических маршрутов.
• Реализована система SchedulingClass, позволяющая операторам управлять тем, где будут запускаться рабочие нагрузки tenant-ов. Например, можно привязывать нагрузки к конкретным дата-центрам, классам оборудования или группам узлов, не заставляя tenant-ов разбираться в деталях работы планировщика Kubernetes. По умолчанию включён cozystack-scheduler, делающий SchedulingClass частью стандартной установки платформы.
• VictoriaLogs переведен в кластерный режим на базе VLCluster для повышения масштабируемости логирующего стека.
• В LINSTOR реализована поддержка перемещения томов после клонирования и восстановления, улучшая размещение данных в clone- и restore-сценариях.
• external-dns доступен как отдельный дополнительный пакет.

Возобновлены попытки удаления поддержки процессоров i486 из ядра Linux

При этом, из-за сохранения поддержки CPU 486 в ядре приходится держать усложнённый код, эмулирующий некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач). Подобный код время от времени становится источником проблем, разбор которых отнимает у разработчиков время, которое можно было бы потратить c больше пользой.

В прошлогоднем обсуждении Линус Торвальдс заявил, что чувствует, что настало время отказаться от поддержки CPU 486 и не видит причин, чтобы продолжать тратить время разработчиков на решение возникающих из-за этих процессоров проблем. До этого Линус поднимал тему удаления поддержки CPU 486 в октябре 2022 года. Поддержка процессоров 386 была удалена из ядра в 2012 году.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65150

@mstadmin не знаю таких людей. Не встречал ещё ни одного, кто бы впрягался именно за интересы Паши Дурова, особенно сейчас (восемь лет назад ещё встречались фанбои, да и то они не особенно пересекались с активистами, скорее, создавали шум в сторонке).

Люди впрягаются за свои интересы, за право пользоваться привычным и вообще самостоятельный выбор. Фейсбук, Вотсап, Сигнал, Ютуб, теперь вот Телеграм... да что там говорить, "федерация" тоже пощипана. Публичные релеи Дельтачата отлетают под цензуру, с Матриксом та же история, с Симплекс аналогично.

При этом странно отрицать, что Телеграм сейчас плотно врос в социальную ткань общества. Это инструмент, которым многие пользуются и он делает конкретно их жизнь лучше. Это не священная корова сама по себе, когда-то вместо Телеграм была Аська, а в будущем будет ещё что-то. Но сейчас - так. А к людям приходят и режут коммуникации.

У меня вот роутер шлёт уведомления в Телеграм о проблемах с подключением и ещё кое-чем. Почему туда? Да потому что можно отправить одним POST-запросом, а ещё Телеграм лежит куда реже, чем мой домашний Интернет или матрикс-сервер. Знаю людей, у кого на работе активно используются боты, в том числе внутренние. Они не фанаты Паши, просто сейчас так - проще и надёжнее. Водитель развозит заказы, какие-то изменения - у него выскочило. Или он зашёл и нажал кнопку в боте "доставлено/задерживаюсь/авария" и система скорректировала. Сломали это - доставка будет работать хуже, причём для всех - продавца, водителя, покупателя.

А логика "ну он же плохой и нелицеприятный" этого всего не отменяет. Это же можно и про мобильную связь сказать, там вон тоже всё дырявое, проприетарное и вражеское. И что, отключим и перейдём на посконный проводной телефон и рации?

Бесплатный месяц весны закончился.
А оплатить подписку теперь не получится.

В KDE реализован Wayland-протокол для дробного масштабирования и улучшена поддержка Vulkan

• В композитном менеджере KWin реализована поддержка экспериментального Wayland-протокола xx-fractional-scale-v2, благодаря которому удалось избавиться от излишних зазоров между соседними элементами на экранах с высокой плотностью пикселей, например, между развёрнутым на весь экран окном и панелью. Протокол xx-fractional-scale предоставляет возможность масштабирования системы логических координат, значения в которой задаются целыми числами, для повышения точности позиционирования и увеличения разрешения логических координат до отдельных пикселей. Подобная возможность решает проблему с ограниченным разрешением системы логических координат, недостаточным для позиционирования на уровне отдельных пикселей, необходимого для полноценной реализации дробного масштабирования в KDE.

  При помощи протокола xx-fractional-scale композитный сервер и клиент могут согласованно использовать разные системы координат (логические и пиксельные) при работе с объектом wl_surface. Логические координаты применяются для описания размера содержимого и позиций окон с точки зрения пользователя, а пиксельные координаты отражают фактические размеры в буферах при отрисовке на экран. Протокол xx-fractional-scale вводит коэффициент масштабирования (scale), связывающий логические и пиксельные координаты, и позволяющий обрабатывать ситуации, когда на единицу логических координат приходится несколько пикселей.
  
  

• В KWin продолжена работа по реализации поддержки графического API Vulkan в DRM-бэкенде (Direct Rendering Manager). Ожидается, что использование Vulkan позволит добиться увеличения производительности в конфигурациях с несколькими GPU. За истекшую неделю реализована возможность использования Vulkan для загрузки текстур из GPU в CPU. Добавлен обработчик vulkanToQImageFormat() для преобразования форматов изображений в QImage. Расширены возможности VulkanDevice::createCommandBuffer(). Реализован метод isSoftwareRenderer() в VulkanDevice. Добавлены интеграционные тесты. Проведено тестирование на системе с видеокартой NVIDIA RTX 5070 Ti с проприетарным драйвером 595.58.03.
• В меню, использующих тему оформления Breeze, реализовано изменение фона элементов при клике.
  
  
• Упрощён интерфейс показа QR-кода в виджете работы с буфером обмена (кнопка копирования перенесена в заголовок).
• Повышена точность позиционирования виджетов на рабочем столе. При перемещении виджета в область, в которую он не помещается, теперь выводится эскиз, показывающий ближайшее свободное место, в котором фактически окажется виджет.
  
  
• Обеспечено изменение стиля всплывающих подсказок в соответствии с активной темой оформления.
• Улучшена реализация эффекта Mouse Marks (превращение курсора в маркер, оставляющий линии на экране) на сенсорных экранах. Добавлена поддержка рисования одновременно нескольких линий на экранах с поддержкой мультитач.
• В синхронизированные с Plasma Login Manager настройки добавлены параметры раскладки клавиатуры.
• В виджетах Task Manager и System Tray удалена опция для использования более крупных пиктограмм и увеличенных отступов на сенсорных экранах и планшетах. Указано, что данная опция не работала корректно и приводила к проблемам при отображении.

А вы слыхали, как поют бобры?

#бобр #весна #покатушки

External Attachment: Бобр плывет по реке

Средневековый #собакен, сделанный четко по инструкции 😆

Занятный способ использования идиотских расширений юникода: https://paulbutler.org/2025/smuggling-arbitrary-data-through-an-emoji/ — пакуем сообщение в один эмодзи (на самом деле оно так только отображается)

Лидером Debian впервые станет женщина. Позиция по верификации возраста в Debian

Шрути подключилась к проекту в 2016 году и принимала участие в поддержке 194 пакетов, среди которых пакеты c библиотеками для Ruby, Node.js и Go, а также пакеты со шрифтами. Она также в ходила в число организаторов конференций DebConf India и DebConf, и является членом команды Outreach, развивающей инициативы по обучению новичков и привлечению в проект женщин и меньшинств.

Планы Шрути на посту лидера касаются поддержки разнообразия в сообществе, делегирования части решаемых лидером задач на 1-2 помощников для повышения эффективности работы, создания для студентов структурированного курса по Debian, организации предустановки Debian на ноутбуки, работы над более доброжелательной манерой общения в сообществе и содействия участникам, предлагающим новые идеи и процессы по усовершенствованию Debian. В планах также упоминается создание более простого, чем общее голосование разработчиков (GR, General Resolution) процесса принятия решений для утверждения мелких повседневных вопросов, для которых общее голосование избыточно.

Во второй части отчёта Андреас Тилле поделился мнением о реализации требований законов по интеграции в операционные системы API для проверки возраста, принятых в некоторых штатах США и в Бразилии. Отмечается, что ситуация с применимостью данных законов к некоммерческому проекту, развиваемому добровольцами и распространяемому бесплатно, пока остаётся неясной - реализация мер для соответствия дистрибутива данным законам находится на стадии обсуждения разработчиками и юридической оценки организацией SPI (Software in the Public Interest).

Предполагается, что обязательства по выполнению законов в первую очередь затрагивают дистрибьюторов и коммерческие компании, создающие продукты на основе Debian. Проект Debian готов интегрировать возможности, необходимые для выполнения требований законов в производных дистрибутивах, но данная функциональность будет опциональной и не будет навязываться пользователям из стран без подобных законов.

Добавление API для запроса приложениями информации о возрасте пользователя также обсуждается разработчиками дистрибутивов Ubuntu, Fedora, Linux Mint и NixOS. Конкретные решения ещё не приняты, но рассматривается возможность реализации необходимого API. В systemd уже принято изменение, добавляющее в userdb поле birthDate с датой рождения пользователя, а в утилиту homectl опцию "--birth-date' для установки возраста. Добавленное поле сможет использоваться в развиваемом для дистрибутивов портале xdg-desktop-portal и сервисе AccountsService для выдачи приложениям сведений о возрастной категории пользователя через D-Bus интерфейс "org.freedesktop.AgeVerification1" или "org.freedesktop.ParentalControls".

Источник: https://www.opennet.ru/opennews/art.shtml?num=65146

Выпуск MidnightBSD 4.0.4 с инструментарием для верификации возраста

В новом выпуске:

• Интегрированы возможности для верификации возрастных групп пользователей, требуемые законодательствами некоторых стран. В состав включены фоновый процесс aged, запуск которого настраивается через параметр "aged_enable" в /etc/rc.conf, и утилита agectl. В утилиту adduser внесено изменение для запроса возраста при создании учётной записи нового пользователя. Для выставления возраста или даты рождения уже существующим учётным записям может использоваться утилита agectl, например, "doas agectl -a 15 myuser" или "agectl -b 1966-02-28 myacct". Пользователь root по умолчанию попадает в категорию 18+.

  В пакеты добавлена поддержка флага, определяющего допустимую возрастную категорию. Данный флаг проверяется в пакетном менеджере mport при установке пакета и настраивается ACL для блокирования доступа к приложению пользователей, младше указанной возрастной категории.

  В приложениях для определения возраста может вызываться утилита agectl, использоваться функция agev_get_age_bracket из библиотеки libutil или отправляться запрос фоновому процессу aged через сокет.

• Из FreeBSD перенесено исправление уязвимости CVE-2026-4747, позволяющей добиться выполнения кода на уровне ядра через отправку сетевых пакетов к NFS-серверу.
• Добавлен драйвер amd-cppc, управляющий режимами потребления энергии и частотой для CPU AMD Zen 2+, поддерживающих механизм CPPC (Collaborative Processor Performance Control).

В ядре Linux 7.0 выявили регрессию, в два раза снижающую производительность PostgreSQL

Замедление вызвано изменением режима вытеснения (preemption) в планировщике по умолчанию с PREEMPT_NONE на PREEMPT_LAZY на архитектурах, поддерживающих такой режим, из-за чего в пользовательском пространстве PostgreSQL стал тратить 55% времени CPU на вызов s_lock(). Для решения проблемы предложено вернуть по умолчанию режим PREEMPT_NONE и убрать его привязку к настройке ARCH_NO_PREEMPT.

Питер Зейлстра (Peter Zijlstra), автор изменений, из-за которых возникла регрессия, и мэйнтейнер планировщика задач и связанных с блокировками подсистем ядра, заявил, что исправление нужно вносить в код PostgreSQL. Для устранения падения производительности он посоветовал задействовать в PostgreSQL недавно добавленное в ядро расширение "rseq slice" (Restartable Sequences) для ограничения вероятности вытеснения держателя блокировки.

Пока не ясно какое решение примет Линус Торвальдс, который придерживается правила, что ядро не должно ухудшать работу и ломать совместимость с пространством пользователя. С одной стороны ядро 7.0 находится на финальной стадии тестирования перед релизом и откат настроек планировщика может привести к другим регрессиям, а с другой стороны пользователи могут столкнуться с двухкратным снижением производительности одной из самых популярных СУБД.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65143

@vikingkong это если добровольно.

Оно и понятно, так можно и выработать переносимость к розгам и плётке, это практически заявка на подрыв устоев.

@ludivokrug

«Telegram обошёл блокировку РКН» — нет, не Telegram

Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле. Погружение

https://habr.com/ru/articles/1019200/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1019200

#Telegram #РКН #DPI #FakeTLS #MTProxy #ТСПУ #ClientHello #цензура #обход_блокировок #opensource

Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU

Обе атаки добиваются преждевременной потери заряда в определённых ячейках видеопамяти, к которым у атакующих нет прямого доступа, что приводит к изменению хранящихся в этих ячейках битов. Возможность чтения и записи в память, относящуюся к адресному пространству CPU, реализована путём вмешательства в работу аллокатора памяти GPU (cudaMalloc) для нарушения изоляции памяти GPU и отображения виртуальных адресов GPU в произвольные адреса физической памяти GPU или CPU.

Вмешательство осуществляется через искажение значений битов в видеопамяти, в которой хранятся таблицы страниц памяти GPU, отвечающие за трансляцию виртуальных адресов в физические. Отличия между атаками GDDRHammer и GeForge сводятся к тому, что метод GDDRHammer модифицирует таблицу страниц последнего уровня (PT - Last Level Page Table), а метод GeForge - каталог страниц последнего уровня (PD0 - Last Level Page Directory).

Среди прочего указанные таблицы трансляции адресов используются для организации прямого доступа GPU к памяти CPU, поэтому изменение адреса в таблице страниц GPU на физический адрес в основной оперативной памяти и выставление флага APERTURE, включающего режим маппинга памяти CPU, дают возможность читать и записывать данные c обращением к основной памяти через шину PCIe при отключённом IOMMU (по умолчанию отключён).

Успешные атаки продемонстрированы для высокопроизводительных профессиональных видеокарт NVIDIA RTX A6000 на базе микроархитектуры Ampere (стоимость новых карт начинается с $6850, а подержанных - с $4000) и бытовых моделей NVIDIA RTX 3060 ($250-300). Разработанная техника обхода защиты от Rowhammer в сочетании с задействованием предоставляемых в GPU средств распараллеливания операций позволила в 64 раза увеличить частоту возникновения искажения ячеек по сравнению с прошлыми атаками. В качестве временной меры для блокирования атак командой "nvidia-smi -e 1" может быть включён режим коррекции ошибок ECC (Error Correcting Codes), но он приводит к дополнительным накладным расходам и потенциально может быть обойдён, используя такие методы атак, как ECCploit и ECC.fail.

Атака RowHammer позволяет исказить содержимое отдельных битов памяти DRAM путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. Если интенсивность чтения большая, то соседняя ячейка может потерять достаточно большой объём заряда и очередной цикл регенерации не успеет восстановить её первоначальное состояние, что приведёт к изменению значения сохранённых в ячейке данных.

Метод атаки Rowhammer был предложен в 2014 году, после чего между исследователями безопасности и производителями оборудования началась игра в "кошки-мышки" - производители чипов памяти пытались блокировать уязвимость, а исследователи находили новые способы её обхода. Например, для защиты от RowHammer производители чипов добавили механизм TRR (Target Row Refresh), но оказалось, что он блокирует искажение ячеек лишь в частных случаях, но не защищает от всех возможных вариантов атаки. Методы атаки были разработаны для чипов DDR3, DDR4 и DDR5 на системах с процессорами Intel, AMD и ARM, а также для GDDR-памяти GPU NVIDIA. Помимо этого были найдены способы обхода коррекции ошибок ECC и предложены варианты совершения атаки по сети и через выполнение JavaScript-кода в браузере.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65141

Выпуск Wine 11.6

Наиболее важные изменения:

• Возобновлена работа над драйвером wineandroid, обеспечивающем работу на платформе Android.
• Добавлена эвристика определения порядка загрузки DLL-библиотек для улучшения поддержки модификаций игр.
• Продолжена работа по улучшению совместимости с VBScript.
• Решена проблема с аварийным завершением некоторых программ, скомпилированных с поддержкой инструкций AVX.
• Решена проблема с сохранением настроек приложений на базе платформы .NET.
• Закрыты отчёты об ошибках, связанные с работой приложений: Homesite+, Win3.1 Notepad, StarOffice51, Google Earth Installer, DigiCertUtil, PDFSam Installer, DVDFab, DCS World, HWiNFO 8.24, pdf-xchange editor 10.8.4.409, Neko Project, Buhl Tax 2026, EIZO ColorNavigator 6.
• Закрыты отчёты об ошибках, связанные с работой игр: Cyberpunk 2077, Mount & Blade: Warband, Minecraft Windows 10 Edition, Diablo IV, DOAXVV, Creature reaction inside the ship! 1.5.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65140

Зима засыпает, просыпается болото...

(#сегодня)

Выпуск платформы обмена файлами OpenCloud 6.0

Проект основан как форк платформы OCIS (ownCloud Infinite Scale). В отличие от исходной кодовой базы ownCloud и ответвившегося от неё проекта NextCloud серверная часть OpenCloud была переписана с языка PHP на Go. Создатели OpenCloud попытались избавить кодовую базу от лишней функциональности и сосредоточиться на максимально качественной реализации основной задачи - совместной работы с файлами.

Написанная на языке Go серверная часть распространяется под лицензией Apache 2.0 и поддерживает программные интерфейсы WebDAV, gRPC, Microsofts RESTful Web API Graph, OCS, OCM 1.1 и OpenID Connect. Сервер реализован с использованием концепции микросервисов и может масштабироваться от установки на платы Raspberry Pi до больших многосерверных внедрений.

Десктоп-клиент написан на С++ с использованием Qt, опубликован под лицензией GPLv3 и поддерживает сборку для Windows, macOS и Linux. В клиент также встроена функция синхронизации файлов и монтирования совместного хранилища в виде виртуальной файловой системы. Web-интерфейс написан на TypeScript с использованием фреймворка Vue.js и предложен под лицензией AGPLv3. Имеются мобильные приложения для Android и iOS.

Помимо функций для хранения и обмена файлами, а также синхронизированного доступа к коллекции файлов с разных устройств, OpenCloud включает возможности для совместного редактирования документов в режиме реального времени, интеграции с офисным пакетом Collabora Online и редактором Markdown Editor (ToastUI), извлечения текста из изображений и отсканированных документов, использования протокола ICAP для проверки загружаемых файлов в антивирусных пакетах.

Для публикуемых файлов можно ограничивать время жизни, предоставлять доступ по ссылке и защищать содержимое паролем. Для упрощения навигации по файлам поддерживаются теги, фильтры и полнотекстовый поиск. В системе отслеживается вся история работы с файлами и предоставляется поддержка отката изменений на определённую версию в прошлом. Возможна организация командной работы с закреплением подкаталогов ("рабочих пространств") за отдельными командами.

Для администратора предоставляется интерфейс детализированного управления правами доступа и пользователями (например, можно разрешить пользователю только просмотр или только загрузку в хранилище). Поддерживается управление доступом на основе ролей (RBAC - Role-Based Access Control). В платформе применяется архитектура Privacy-First, подразумевающая, что пользователь OpenCloud с правами администратора не может получить доступ к контенту пользователей.

В новой версии:

• В web-интерфейсе реализована функция "Избранное", позволяющая пользователям помечать важные и часто используемые файлы для последующего быстрого доступа. Информация о помещении в избранное хранится на сервере и не привязана к конкретному клиенту. Избранные файлы помечаются звёздочкой и выделяются в персональных пространствах, в контексте проектов, в подкаталогах и в результатах поиска. Все помеченные элементы можно разом посмотреть на отдельной странице "Избранное".
• Добавлено расширение "Калькулятор", позволяющее вычислять математические выражения в строке поиска.
• Добавлено расширение "Pastebin" для упрощения обмена текстовым содержимым. Предоставленные для совместного доступа элементы автоматически сохраняются в скрытом каталоге ".space" в персональной области.

Выпуск мобильной платформы /e/OS 3.6

Прошивка /e/OS развивается как ответвление от платформы LineageOS (на базе Android), избавленное от привязки к сервисам и инфраструктуре Google для исключения передачи телеметрии на серверы Google и повышения уровня конфиденциальности. Среди прочего, блокируется и неявная отправка информации, например, обращения к серверам Google при проверке доступности сети, резолвинге DNS и определении точного времени.

В поставку входит пакет microG, предлагающий независимые аналоги сервисов Google, что позволяет обойтись без установки проприетарных компонентов. Для определения местоположения по Wi-Fi и базовым станциям (без GPS) прослойка UnifiedNlp, способная работать через BeaconDB, OpenWlanMap, openBmap, OpenCellID, lacells.db и другие альтернативные сервисы. Вместо поисковой системы Google предлагается метапоисковый сервис Murena Find на основе поискового движка Qwant.

Для синхронизации точного времени вместо обращения к NTP-серверу Google запросы отправляются на серверы из коллекции NTP Pool, а вместо DNS-серверов Google (8.8.8.8) используются DNS-серверы текущего провайдера. В web-браузере по умолчанию включён блокировщик рекламы и скриптов для отслеживания перемещений. Для синхронизации файлов и данных приложений разработан собственный сервис, совместимый с инфраструктурой на основе Nextcloud. Серверные компоненты основаны на открытом ПО и доступны для установки на подконтрольных пользователю системах.

Интерфейс пользователя включает собственное окружение для запуска приложений BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован разработанный для /e/OS набор автоматически масштабируемых пиктограмм и отдельная подборка виджетов (например, виджет для показа прогноза погоды).

Проектом также развивается собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись (user@murena.io), регистрируемую в процессе первой установки. Учётную запись можно использовать для получения доступа к своему окружению с других устройств или через Web. В облаке Murena Cloud бесплатно предоставляется 1ГБ для хранения своих данных, синхронизации приложений и резервных копий.

Среди входящих в состав приложений: почтовый клиент Mail (форк K9-Mail), web-браузер Cromite (на базе Chromium), программа для работы с камерой OpenCamera, программа для отправки мгновенных сообщений QKSMS, система для ведения заметок nextcloud-notes, PDF-просмотрщик MJ PDF, планировщик opentasks, программа для работы с картами Magic Earth, галерея фотографий gallery3d, файловый менеджер, каталог приложений App Lounge.

Основные изменения в /e/OS 3.6:

• Осуществлён переход на Android 16 (AOSP 16 в состоянии на март). Перенесены обновления и исправления из платформы LineageOS 23.
• Добавлена поддержка устройств:
  • Google Pixel 9a
  • Motorola edge 2024
  • OnePlus 13, 13R, Ace 3 Pro, Ace 3V, Ace 5, Nord 4, Nord 5, Pad 2, Pad Pro
  • Razer Edge 5G, Edge WiFi
  • Samsung Galaxy S20, S20 FE, S20 Ultra, S20+
  • Sony Xperia 1 IV, 5 IV
  • Xiaomi 13, POCO F6 Pro, Redmi K70, POCO X6 5G, Redmi Note 13 Pro.
• В менеджере приложений App Lounge реализована возможность входа с учётной записью microG без необходимости её отдельной настройки, что поможет обеспечить совместимость сторонних приложений с приложениями, использующими Play Integrity. Изменено оформление экрана поиска, добавлены раздельные вкладки для типовых приложений, открытых приложений и web-приложений. Секция с типовыми приложениями "Common apps" переименована в "Apps" и охватывает все приложения.
• В программе для работы с камерой проведена чистка экрана с настройками, упрощена навигация и удалены лишние настройки.
• Предоставлена возможность конфигурирования устройств напрямую из запускаемого при первом запуске мастера настройки.
• В web-браузере движок обновлён до Chromium 145.

Альфа-выпуск мессенджера Pidgin 3 и анонс мессенджера Gaim 3

Ветка Pidgin 3 разрабатывается с 2011 года, а до этого ещё три года обсуждалась на уровне концепций и идей. В Pidgin 3 выполнен переход на систему типов GObject, библиотеки GTK4 и Adwaita, сборочную систему Meson, GPlugin для обработки плагинов, SQLite для хранения истории чатов и GSettings для работы с настройками. Полностью переработан API. Для определения элементов интерфейса задействован GTK Builder XML, а для отображения истории чатов создана собственная библиотека виджетов Talkatu.

В интерфейсе Pidgin 3 объединены в одном окне список контактов и чат. Прекращена поставка консольного клиента Finch (не исключено, что его могут вернуть в будущем). Из протоколов пока развиваются реализации протоколов IRCv3, XMPP, SIP, Demo и Bonjour. Ветка Pidgin 3 несовместима с Pidgin 2 и ранее созданными плагинами, но может быть установлена параллельно с имеющимися сборками Pidgin 2.

Среди изменений в представленном тестовом выпуске:

• API для протоколов объявлен достаточно стабильным для начала работы над реализациями дополнительных протоколов для Pidgin 3, без опасений внесения значительных изменений в API.
• Предложен новый API AccountSettings для управления настройками учётных записей, который поддерживает использование в обвязках, позволяющих создавать плагины с реализациями протоколов на скриптовых языках, таких как Python и Lua. API AccountSettings также не требует обязательного использования имени пользователя для каждой учётной записи, что, например, позволяет запрашивать ник вместо имени для таких протоколов, как IRC.
• Реализован отдельный интерфейс для редактирования параметров учётной записи, в котором одним списком выводятся все соответствующие настройки.
• Добавлен плагин с начальной поддержкой протокола для платформы обмена сообщениями Zulip.
• Добавлена опция для включения режима разработчика, в котором становятся доступны незавершённые экспериментальные возможности, такие как недоделанные плагины для протоколов.
• Из числа зависимостей исключена библиотка libxml2, вместо хранения конфигурации в формате XML теперь используется SQLite.

Одновременно разработчики Pidgin 3 анонсировали мессенджер Gaim 3. В 2007 году Gaim был переименован в Pidgin из-за претензий компании AOL, развивавшей мессенджер AIM. В 2017 году AIM перестал существовать, а время действия товарного знака теперь истекло, поэтому разработчики решили воспользоваться старым именем для воплощения идеи создания чат-клиента с классическим интерфейсом в стиле Pidgin 2/Gaim, построенным на базе GTK4, и функциональностью мессендежра на основе библиотеки libpurple 3, развиваемой для Pidgin 3.

Gaim 3 позволит подключаться ко всем сетям, поддерживаемым в libpurple 3, но использовать интерфейс, сфокусированный на прямом обмене сообщениями, вместо развиваемого в Pidgin 3 интерфейса на основе чат-комнат. Разработка Gaim 3 находится на начальной стадии. Сборки планируют формировать для Linux, Windows и macOS.

Бобровые столовые

(#сегодня)

Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика

Бэкдор присутствовал в файле Extra.java. Предположительно, отправка осуществлялась начиная с версии Nekogram 11.2.3, первое время только для пользователей с китайскими номерами, а затем для всех. В программе также использовались osint-боты "@tgdb_search_bot" и "@usinfobot" для определения пользователей по их ID, но номера телефонов им не отправлялись.

Исследователями подготовлен java-хук и бот, позволяющие любому пользователю убедиться в отправке номеров телефонов его экземпляром приложения.

По мнению выявивших проблему исследователей, авторы программы могли использовать получаемую информации для формирования базы данных для последующей продажи создателям OSINT-ботов. О намеренном скрытии подобной активности свидетельствует обфускация изменения и применение inline-запросов для отправки данных. После раскрытия проблемы в системе отслеживания ошибок проекта автор Nekogram признал отправку номеров телефонов своему боту, не пояснив причины такой активности, но упомянув, что присылаемые телефоны не сохранялись и не передавались кому-либо.

Дополнительно можно отметить выявление уязвимости в официальном приложении Telegram. Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, опубликовал предварительные данные об уязвимости ZDI-CAN-30207 в Telegram, которой присвоен критический уровень опасности (9.8 из 10) и выставлен признак удалённой атаки, не требующей действий от пользователя. Детали намерены раскрыть 24 июля, дав время разработчикам Telegram довести исправление до пользователей.

Отдельно появилась информация, что уязвимость проявляется при открытии в Telеgram специально оформленных анимированных стикеров и может привести к выполнению кода злоумышленника без каких-либо действий со стороны пользователя. Судя по всему, уязвимость вызвана ошибкой в коде библиотеки rlottie, обеспечивающем работу предпросмотра.

Представители Telegram заявили, что не считают выявленную проблему опасной уязвимостью, так как все загружаемые стикеры предварительно проверяются на серверах Telegram-а и подобная проверка не допустила бы показ пользователям вредоносного стикера. После заявления Telegram уровень опасности уязвимости был снижен с 9.8 до 7.0.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65130

Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios

Атакующий выдал себя за основателя известной компании и предложил организовать совместный проект. Вначале сопровождающего пригласили в рабочее пространство Slack, которое выглядело реалистично, содержало каналы с сообщениями из LinkedIn, имело фейковые профили работников компании и представителей других открытых проектов.

Через какое-то время было назначено групповое обсуждение, организованное на базе платформы MS Teams. В ходе встречи возникли технические трудности, причиной которых назвали отсутствие необходимого дополнения на стороне сопровождающего. Сопровождающий установил недостающий компонент, который на деле оказался трояном, предоставившим атакующим удалённый доступ к системе. Отмечается, что всё было профессионально срежиссировано и выглядело правдоподобно.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65134

Компилятор для языка Си, написанный на Shell

@rf Народ, у нас есть москвичи, которые кодят на C#? Есть работа. За деньги. На постоянку.

Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios

Атакующий выдал себя за основателя известной компании и предложил организовать совместный проект. Вначале сопровождающего пригласили в рабочее пространство Slack, которое выглядело реалистично, содержало каналы с сообщениями из LinkedIn, имело фейковые профили работников компании и представителей других открытых проектов.

Через какое-то время было назначено групповое обсуждение, организованное на базе платформы MS Teams. В ходе встречи возникли технические трудности, причиной которых назвали отсутствие необходимого дополнения на стороне сопровождающего. Сопровождающий установил недостающий компонент, который на деле оказался трояном, предоставившим атакующим удалённый доступ к системе. Отмечается, что всё было профессионально срежиссировано и выглядело правдоподобно.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65134

Компилятор для языка Си, написанный на Shell

Google выпустил открытую AI-модель Gemma 4, построенную на технологиях Gemini 3

Модели многоязыковые и мультимодальные: из коробки поддерживается 35 языков (при обучении использовано более 140 языков), а на входе может обрабатываться текст и изображения (модели E2B и E4B дополнительно поддерживают обработку звука). Модель 26B A4B основана на архитектуре MoE (Mixture-of-Experts), при которой модель разделена не серию экспертных сетей (при генерации ответа могут использоваться только 3.8 млрд параметров, но скорость существенно выше классических больших моделей), а остальные варианты используют классическую монолитную архитектуру.

Модели поддерживают рассуждения и настраиваемые режимы обдумывания, поддерживают системную роль (System Role) для обработки инструкций (правил, ограничений) отдельно от данных. Модели могут использоваться для написания кода, распознавания объектов на изображениях, покадрового анализа видео, разбора документов и PDF, оптического распознания печатного и рукописного текста (OCR), распознания речи и перевода между языками. Возможно использование в качестве автономных агентов, взаимодействующих с различными инструментами и API.

В большинстве тестов модели серии Gemma 4 существенно превзошли модель Gemma 3 c 27 мдрд параметров. Поддерживается использование Gemma 4 с инструментами и библиотеками LiteRT-LM, vLLM, llama.cpp, MLX, Ollama, NVIDIA NIM and NeMo, LM Studio, Unsloth, SGLang, Cactus, Basetan, MaxText, Tunix и Keras.

Уязвимость в автопилоте PX4, позволяющая выполнить код без аутентификации

Уязвимость вызвана тем, что протокол MAVLink по умолчанию не использует криптографическую аутентификацию, поэтому любые сообщения могут отправляться посторонним. Среди прочего, атакующий может отправить сообщение "SERIAL_CONTROL", предоставляющее доступ к выполнению кода в интерактивной командной оболочке. В качестве обходного пути защиты рекомендуется включить заверение сообщений MAVLink цифровой подписью для всех каналов связи, отличных от подключения через USB.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65129

Опубликован дистрибутив ROSA Fresh 13.2

Среди изменений:

• Реализован каталог приложений apps.rosa.ru, позволяющий выбрать программу в браузере и запустить процесс установки одним кликом.
• Добавлен графический интерфейс для настройки менеджера входа GDM и активации автоматического входа.
• В инсталлятор добавлена возможность удалённой установки с использованием протокола VNC.
• В состав включена утилита rpmgrab с графическим интерфейсом для установки RPM-пакетов.
• Решены проблемы с установкой на RAID-массивы и работой тачпадов SYNA3602.
• В файловый менеджер Dolphin добавлена кнопка для перехода на уровень выше.
• Как и в прошлых выпусках ROSA Fresh 13.x в состав входят ядро Linux 6.12, glibc 2.40, GCC 14.3 и Clang 19.1. Обновлены Mesa 25.3, NVIDIA 580, KDE Plasma 6.5, GNOME 49 и LXQt 2.3.

Релиз OpenSSH 10.3

• Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку "%u" в некоторых директивах файла конфигурации, таких как "Match exec". Проблем вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config.
• Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals="" со списком имён (principal) в сертификате в ситуации, когда в именах указан символ ",". Для эксплуатации уязвимости необходимо, чтобы в опции authorized_keys principals="" было указано несколько имён и чтобы удостоверяющий центр выписал сертификат с несколькими именами, разделёнными запятой (обычно такое недопускается). Изменено поведение в отношении сертификатов с пустым именем - ранее пустое имя подпадало под все опции authorized_keys principals="", а теперь не подпадает.
• В scp устранена проблема, из-за которой после загрузки файла с правами root с указанием опции "-O" и без опции "-p" не очищались флаги setuid/setgid.
• В sshd исправлена проблема с обработкой ключей ECDSA в директивах PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms, из-за которой в случае указания любого алгоритма ECDSA (например, "ecdsa-sha2-nistp384") начинали приниматься и все остальные алгоритмы на базе ECDSA, даже если они явно не перечислены в списке допустимых.
• В ssh и sshd при взаимодействии c SSH-агентами добавлена поддержка идентификаторов (codepoint), определённых IANA в спецификации draft-ietf-sshm-ssh-agent. Поддержка ранее используемых идентификаторов вида "@openssh.com" сохранена.
• В ssh-agent реализовано расширение "query", определённое в спецификации draft-ietf-sshm-ssh-agent и позволяющее определить поддерживаемые агентом функции. Для запроса списка поддерживаемых расширений протокола через запрос "query" в утилиту ssh-add добавлена опция "-Q".
• В sshd_config разрешено указание нескольких файлов в директиве RevokedKeys, а в ssh_config - в директиве RevokedHostKeys.
• В ssh добавлена escape-команда "~I" и опция "-O conninfo" для показа информации о текущем соединении, а также опция "-O channels" для показа информация об открытых каналах.
• В sshd в директиве PerSourcePenalties реализована опция 'invaliduser' для добавления задержки в случае попытки входа под несуществующим пользователем (по умолчанию 5-секунд). Добавлена возможность указания нецелых значений задержки.
• В sshd добавлена опция GSSAPIDelegateCredentials для управления приёмом делегированных учётных данных, предоставленных клиентом.
• В ssh-keygen добавлена поддержка записи ключей ED25519 в формате PKCS8.
• Добавлена поддержка схемы цифровых подписей ed25519, реализованная через libcrypto.

В рамках тёмного альпинизма покорил самую высокую точку Карельского перешейка, свыше - ахаха - 200 метров! Пытался я не в первый раз, на сей раз шёл мимо адорождённых ристалищ Игоры, и вдоль невероятно шумного шоссе, работы по живому разрезавшее заповедную лесную область северной Ингрии, не забыв поклониться статуям лосиной семьи, охраняющей эту священную гору (кстати, на вершине на одном из валунов обнаружена Linking Sigil...)

Лоси там явно неспроста, ибо нигде кроме как на вершине и после я не видел столько лосиного помёта, и большого и маленького, и свежего и засохшего.

Трудно поверить, но на перешейке ещё лежит снег, кое-где по щиколотку.
А чем ближе было к вершине, тем, казалось, больше было поваленных будто бы специально деревьев и настоящих живых (и очень злых) изгородей.
Обратно решил уже пройти по бурелому, ориентируясь на спутниковый снимок, на котором ещё можно было различить старые тропинки, не хоженые столь давно, что поросли довольно высокими ёлочками. Вышел к милым садоводствам, где ещё с тех времён, когда любили и украшали жизнь, сохранились расписные и фигурные заборы, прячущиеся между проклятых штакетников.

#ЛенинградНутряной

Google, Apple и Mozilla опубликовали JetStream 3 для оценки производительности браузеров

В новой версии учтены современные тенденции и изменения, произошедшие в Web с момента релиза JetStream 2 в 2019 году, а также актуализированы тесты для соответствия шаблонам работы реальных web-приложений и отражения реальной производительности, а не синтетических результатов под которые точечно оптимизированы браузерные движки.

В отличие от тестового набора Speedometer 3, в JetStream 3 упор делается на измерение вычислительных возможностей, а не скорости отрисовки интерфейса и манипуляций с DOM. JetStream 3 лучше отражает производительность браузерных игр, симуляторов физических процессов, базовой функциональности фреймворков, криптографических средств и сложных алгоритмов.

Значительно расширены возможности по тестированию WebAssembly (Wasm), реализована оценка таких расширенных возможностей WebAssembly, как обработка исключений, применение векторных SIMD-инструкций и задействование расширения WasmGC для выполнения проектов на языках со сборщиком мусора. Добавлены тесты для проверки производительности WebAssembly-приложений, собранных с использованием инструментариев J2CL, Dart2wasm, Kotlin/Wasm, Rust и .NET, и сгенерированных из кода на Java, Dart, Kotlin, Rust и C#.

Из используемых при тестировании WebAssembly новых видов нагрузки отмечается вычисление хэшей argon2, выполнение модели машинного обучения с использованием для оптимизации инструкций SIMD, генерация интерфейсов пользователя на языках Dart и Kotlin, выполнение SQLite3, запуск интерпретатора и runtime .NET, собранных в WebAssembly.

Добавлено 15 новых тестов JavaScript, среди которых 3D-движок Babylon.js, операции с эллиптическими кривыми ed25519, библиотека MobX, подсветка синтаксиса при помощи prismjs, несколько реализаций прокси, трассировка лучей, операции с файловой системой, 3D-симулятор поведения частиц Three.js, компиляция Typescript 5.9, проверка строк в validator.js и генерация страниц через React.

Для исключения влияния на результаты снижения частоты CPU между тестами и ввода/вывода в JetStream реализована упреждающая загрузка всех ресурсов до запуска тестов в браузере. Для снижения пикового потребления памяти и обеспечения кэширования ресурсы сохраняются в форме закодированных в URL блобов. Имеется возможность использования JetStream для тестирования не только браузеров, но и обособленных движков, поставляемых отдельно, таких как d8.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65123

Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Итало Виньоли (Italo Vignoli), один из основателей организации Document Foundation, пояснил, что участники из компании Collabora исключены в соответствии с недавно одобренным новым уставом, который не допускает наличие в организации сотрудников компаний, с которыми ведутся юридические разбирательства. Подобное требование введено с учётом того, что в прошлом участники принимали решения в интересах своих работодателей, а не в интересах Document Foundation.

Утверждается, что компания Collabora инвестирует ресурсы в собственный продукт, отличающийся от традиционных полнофункциональных офисных пакетов, таких как LibreOffice. В то время, как Document Foundation пытается действовать в интересах сообщества и фокусирует внимание на поддержании интереса к истинным свободным решениям, обеспечивающим цифровой суверенитет и позволяющим полностью контролировать свою инфраструктуру, приложения и документы.

В сложившейся ситуации, серия принятых в прошлом неверных решений привела к проблеме, представляющей значительный риск для проекта. Из-за этой проблемы организация Document Foundation может потерять статус благотворительной организации, что может привести к непредсказуемым последствиям. Рост пожертвований позволяет Document Foundation не зависеть от отдельных компаний и нанять дополнительных разработчиков. При этом исключение сотрудников Collabora из организации Document Foundation не обозначает удаление из сообщества, и данные сотрудники в частном порядке могут продолжать участие в разработке.

Майкл Микс (Michael Meeks), работающий в Collabora, считает неприемлемым удаление участников на основе коллективной ответственности и недоказанных юридических опасений. Майкт сравнил происходящее с погружением в трясину бесцельных политических претензий. Из вызывающих недовольство моментов в деятельности Document Foundation, упоминается заполнение управляющего совета зависимым и не вовлечённым в разработку персоналом, раздувание обвинений в прошлых конфликтах интересов, попытки конкурирования с крупнейшим участником разработки, трату пожертвований на судебные иски против безвинных энтузиастов и бывших членов управляющего совета по надуманным причинам, злоупотребления при проведении тендеров, выборочные претензии по использованию товарного знака LibreOffice при игнорировании явных случаев неправомерного использования.

Из планов Collabora отмечается создание нового упрощённого варианта офисного пакета Collabora Office, который будет более удобен для обычных пользователей и не так перегружен возможностями, как классический Collabora Office. Упрощение и сокращение кодовой базы за счёт удаления излишних компонентов, таких как поддержка Java и инструменты работы с Web и БД, даст возможность ускорить продвижение инноваций и сократить число сборочных конфигураций.

Также компания Collabora объявила о создании своей платформы для рецензирования изменений на базе Gerrit, которая позволит не нагружать инфраструктуру Document Foundation новыми ветками и перейти на собственные инструменты разработки. При этом компания Collabora по мере необходимости продолжит вносить изменения в LibreOffice, но перестанет активно инвестировать в создание продуктов Document Foundation, от участия в управлении которыми была отстранена.

Конфликт между Document Foundation и Collabora связан с разработкой облачной редакции LibreOffice Online. В 2020 году компания Collabora для решения вопросов с брендингом и маркетингом создала форк LibreOffice Online и продолжила разработку в своём репозитории под именем Collabora Online (причиной стало то, что организация Document Foundation продвигала на странице LibreOffice Online продукты других компаний, которые почти ничего не вносили в разработку). В 2022 году совет директоров Document Foundation принял решение о заморозке проекта LibreOffice Online, так как все разработчики из сообщества переключились на новый проект и не нашлось желающих продолжить сопровождение старого репозитория.

В 2026 году новый совет директоров Document Foundation отменил решение о заморозке, посчитав, что прежнее голосование было проведено в условиях конфликта интересов. Воссоздание репозитория LibreOffice Online как форка нынешнего репозитория Collabora Online с ребрендингом всей работы Collabora воспринято представителем Collabora как вандализм по отношению к проекту и нарушение сложившегося статуса кво, при котором признание заслуг разумно распределялось между двумя проектами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65122

Одна из лучших шуток сегодня в твиттере - посмотрите (если хотите):
https://x.com/hmirenok/status/2039256193982435395

Комментариев куча и они радуют, поскольку народ Терри Пратчетта помнит и обожает.

#twitter #joke #April1st

Компания Cloudflare представила EmDash, альтернативу WordPress с изоляцией плагинов

Код проекта написан на языке TypeScript c использованием web-фреймворка Astro и распространяется под лицензией MIT. В анонсе упоминается, что благодаря привлечению к разработке AI-агентов продукт был создан за два месяца. EmDash может функционировать как в инфраструктуре Cloudflare, так и запускаться на собственных серверах при помощи Node.js. В качестве СУБД может использоваться SQLite, Turso/libSQL и PostgreSQL, а в качестве хранилища - AWS S3, S3-совместимые системы или обычная локальная файловая система. Для хранения информации о сеансах предлагается использовать Redis или файловую систему.

Новая система разработана как попытка пересоздать проект WordPress с использованием современного инструментария и решив имеющиеся проблемы. Из проблем WordPress отмечается необходимость раздельного управления кодом на двух языках (PHP и JavaScript), применение многоуровневых кэшей для достижения приемлемой производительности и небезопасная архитектура плагинов, которая становится причиной 96% всех уязвимостей в платформе.

Каждый плагин WordPress имеет полный доступ к СУБД и интегрируется с PHP-кодом основной платформы, поэтому любая уязвимость в плагине полностью компрометирует весь сайт. В EmDash плагины запускаются в отдельных изолированных Worker-ах, возможности которых декларативно ограничиваются манифестом. Например, если плагин запрашивает полномочия read:content и email:send то ему будет открыт только доступ на чтение и возможность отправки электронной почты, не более. Так как плагины не встраиваются в код системы управления контентом, их авторы вольны выбирать любую лицензию и распространять плагины через любые репозитории и каталоги приложений.

WordPress хранит контент в формате HTML с метаданными, встраиваемыми в форме внутренних комментариев. В EmDash используется основанный на JSON структурированный формат Portable Text, отделяющий содержимое от оформления. Подобный подход позволяет отрисовывать содержимое в любых представлениях - в форме web-страницы, мобильного приложения, email или ответа API. Имеется встроенный MCP-сервер, позволяющий интегрировать платформу с AI-агентами, которые могут управлять контентом, а также использоваться для создания тем оформления и плагинов.

В базовой поставке предлагается три начальных шаблона: блог, маркетинг и портфолио. В первом случае формируются типовой блог c боковой панелью, полонтекстовыми поиском, категориями, тегами, RSS, комментариями и переключением между тёмной и светлой темами. Второй шаблон позволяет создавать сайты компаний с прайсами, контактной информацией и описанием товаров и услуг. Третий шаблон нацелен на презентацию своих достижений и презентации проектов.

Основные возможности EmDash:

• Контент: публикация материалов, разделение на страницы, определение собственных типов содержимого, редактирование текста с разметкой в визуальном режиме при помощи редактора TipTap, управление версиями содержимого, подготовка черновиков, размещение по расписанию, полнотекстовый поиск и редактирование по месту (inline).
• Панель администратора: визуальный построитель схем данных, библиотека мультимедийных данных, навигационные меню, систематизация информации, виджеты, возможность переноса контента из WordPress.
• Аутентификация: по умолчанию Passkey (WebAuthn) c OAuth, возможность входа по ссылке, разделение доступа на основе ролей (администратор, редактор, автор, участник).
• Миграция с WordPress: импорт публикаций, страниц, структуры через WXR, WordPress REST API или WordPress.com. Использование AI для портирования плагинов и тем оформления.

Выпуск Wayland-Protocols 1.48

В новой версии:

• В категорию "staging" добавлен протокол xdg-session-management, предоставляющий возможности для восстановления состояния и позиции окон прерванного сеанса в окружениях на основе протокола Wayland, например, после аварийного завершения композитного сервера или приложения.
• Расширены возможности протокола text-input, позволяющий композитным серверам реализовывать методы ввода и отправлять текст в приложения. Например, добавлен флаг no_emoji для ввода без Emoji, реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа и скрытия панели ввода, добавлен флаг preedit_hint для настройки стиля предварительного редактирования.
• Добавлен экспериментальный протокол xx-cutouts для получения информации о вырезах на экране (например, области под фронтальную камеру на экране смартфона).
• Добавлен экспериментальный протокол xx-zones для создания и добавления окон верхнего уровня в "зоны" - окружения со своим пространством координат. Протокол позволяет организовать логическую расстановку окон, в которой каждое окно размещается относительно другого окна.
• Добавлен экспериментальный протокол xx-keyboard-filter для перехвата клиентом выбранных событий клавиатуры, изменения событий ввода или блокирования передачи определённых событий в Wayland-поверхность, на которой установлен фокус ввода.

Все протоколы последовательно проходят фазы разработки, тестирования и стабилизации. После завершения стадии разработки (категория "unstable") протокол помещается в ветку "staging" и официально включается в состав набора wayland-protocols, а после завершения тестирования перемещается в категорию стабильных. Протоколы из категории "staging" уже можно применять в композитных серверах и клиентах, где требуется связанная с ними функциональность. В отличие от категории "unstable" в "staging" запрещено внесение изменений, нарушающих совместимость, но в случае выявление проблем и недоработок в ходе тестирования, не исключается замена новой значительной версией протокола или другим Wayland-расширением.

Для ускорения доведения протоколов до разработчиков и стимулирования ранней реализации протоколов в существующих проектах, начиная с позапрошлого выпуска дополнительно была добавлена фаза "experimental", в которой допускается внесение изменений, нарушающих совместимость, и добавление "сырых" протоколов, которые можно постепенно доводить до должного уровня. Если для попадания протокола в фазу "staging" требуется сформировать команду поддержки и получить определённое число подтверждений (ACK) от участников рецензирования, то для попадания в "experimental" достаточно отсутствия возражений (NACK) в течение двухнедельного периода рецензирования.

В настоящее время в состав набора wayland-protocols входят следующие стабильные протоколы, в которых обеспечивается обратная совместимость:

• "viewporter" - позволяет клиенту выполнять действия по масштабированию и обрезанию краёв поверхности на стороне сервера.
• "presentation-time" - обеспечивает отображение видео.
• "xdg-shell" - интерфейс создания и взаимодействия с поверхностями как с окнами, позволяющий передвигать их по экрану, сворачивать, разворачивать, изменять размер и т.д.
• "linux-dmabuf" - предоставляет возможности для создания wl_buffer-ов на базе DMA-BUF.
• "tablet" - организация ввода с графических планшетов.

Протоколы, тестируемые в ветке "staging":

• drm-lease - предоставляет ресурсы, необходимые для формирования стереокартинки с разными буферами для левого и правого глаза при выводе на шлемы виртуальной реальности.
• "ext-session-lock" - определяет средства блокировки сеанса, например, во время работы хранителя экрана или вывода диалога аутентификации.
• "single-pixel-buffer" - позволяет создавать однопиксельные буферы, включающие четыре 32-разрядных значения RGBA.
• "xdg-activation" - позволяет передать фокус между разными поверхностями первого уровня (например, при помощи xdg-activation одно приложение может переключить фокус на другое).
• content-type - позволяет клиентам передать композитному серверу сведения об отображаемом содержимом, которые могут использоваться для оптимизации поведения с учётом содержимого, например, выставлении специфичных DRM-свойств, таких как "content type". Заявлена поддержка следующих типов контента: none (нет сведений о типе данных), photo (вывод цифровых фото, требующий минимальной обработки), video (видео или анимация, требуется более точная синхронизация, чтобы исключить подтормаживания) и game (запуск игр, требуется вывод с минимальной задержкой).
• ext-idle-notify - даёт возможность композитным серверам передавать клиентам уведомления о неактивности пользователя, что может использоваться для активации дополнительных режимов энергосбережения после определённого времени неактивности.
• tearing-control - позволяет отключить в полноэкранных приложениях вертикальную синхронизацию (VSync) с кадровым гасящим импульсом, применяемую для защиты от появления разрывов при выводе (tearing). В мультимедийных приложениях появление артефактов из-за разрывов является нежелательным эффектом, но в игровых программах с артефактами можно смириться, если борьба с ними приводит к дополнительным задержкам.
• ext-foreign-toplevel-list - получение информации о поверхностях, размещённых на самом верхнем уровне (toplevel), которые позволяют организовать закрепление окон поверх другого содержимого, например, для подключения собственных панелей и переключателей окон.
• security-context - позволяет идентифицировать клиентов, использующих sandbox-изоляцию. Клиент может зарегистрировать новое подключение к композитному серверу на базе Wayland и прикрепить к нему контекст безопасности, после чего в соответствии с указанным контекстом безопасности композитный менеджер ограничит возможности, доступные для установленного соединения.
• cursor-shape - альтернативный способ настройки внешнего вида курсора, основанный на передаче серии изображений курсора вместо привязки к поверхности (wl_surface).
• "ext-transient-seat" - предназначен для создания временных независимых сеансов (seat), рассчитанных на использование вместе с виртуальными устройствами ввода. Например, при реализации возможности подключения к удалённому рабочему столу протокол позволяет создать для каждого пользователя отдельный сеанс с виртуальными клавиатурой и мышью.
• "xdg-toplevel-drag" - расширяет механизм "drag & drop" возможностью прикрепления окон верхнего уровня к операции перемещения, что может быть использовано, например, для организации перетаскивания мышью панелей инструментов или вкладок браузера. Новый протокол позволяет создавать отсоединяемые части окна, которые при перетаскивании из этого окна становятся новыми окнами и могут перемещаться поверх существующего окна перед повторным прикреплением.
• "xdg-dialog" - позволяет назначать поверхностям верхнего уровня признаки, специфичные для диалоговых окон, например, можно создавать модальные диалоги, которые блокируют взаимодействие пользователя с остальной частью интерфейса.
• "linux-drm-syncobj" - предоставляет инструменты для явной синхронизации буферов при помощи объектов синхронизации DRM (Direct Rendering Manager). Предполагается, что в контексте синхронизации при отрисовке в буфер предложенный протокол позволит улучшить работу с драйверами на базе графических API Vulkan и OpenGL (реализация базируется на обработчиках в драйверах). Новый протокол даёт возможность убедиться, что операция отрисовки в буфер завершена до того, как композитный менеджер отобразит данный буфер.
• alpha-modifier, позволяющий клиентам менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера, который в свою очередь может переадресовать эти операции KMS.
• xdg-toplevel-icon - привязка пиктограммы к окну верхнего уровня.
• ext-image-capture-source и ext-image-copy-capture - организация захвата контента, выводимого на экран.
• xdg-system-bell - позволяет выводить системный сигнал, который может использоваться, например, как предупреждение в эмуляторе терминалов. Форма вывода сигнала определяется на усмотрение композитного менеджера, это может быть не только звук, но визуальный отклик.
• fifo - реализует FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. С практической стороны протокол позволяет при выводе использовать ожидание завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
• commit-timing - позволяет привязать ограничение времени к содержимому поверхности (композитный сервер должен отобразить изменение контента по возможности через указанное время, но не раньше).
• ext-data-control - позволяет привилегированным клиентам управлять обработкой данных, например, для реализации менеджеров буфера обмена.
• ext-workspace - реализует концепцию виртуальных рабочих столов и предлагает события с информацией о состоянии рабочих столов, а также возможности для активации и деактивации рабочих столов. Протокол может применяться для создания панелей и индикаторов, выводящих список доступных виртуальных рабочих столов и позволяющих переключаться между ними.
• color-management - предоставляет возможности для управления цветом и поддержки расширенного динамического диапазона яркости (HDR, High Dynamic Range). При помощи добавленного расширения клиентские приложения могут получать информацию о связанных с цветопередачей свойствах устройств вывода и передавать композитному серверу данные о свойствах цветопередачи собственного контента. В композитном сервере данная информация может использоваться для автоматического управления цветом при отображении содержимого на различных устройствах вывода, например, для преобразования контента в предоставление, подходящее для отображения на HDR-мониторах. Для описания цветовых пространств используются профили ICC.
• xdg-toplevel-tag - позволяет Wayland-клиентам прикреплять теги к поверхностями верхнего уровня, которые композитный сервер может использовать для идентификации окон после перезапуска приложения (например, приложение может выставить теги "main window" и "settings" для основного окна и окна с настройками). Подобная идентификация полезна для восстановления позиции, размера и свойств окон после перезапуска, а также для определения особых правил для отдельных видов окон.
• color-representation - определение цветового представления Wayland-поверхности. Wayland-клиенты могут передавать метаданные, необходимые для определения прозрачности, цветовой модели, субдискретизации и диапазона квантования, и применяемые при преобразовании буфера с данными, соответствующими цветовой модели YCbCr, в представление RGB.
• ext-background-effect - применение эффектов к полупрозрачным частям Wayland-поверхности, таких как размытие фона.
• pointer-warp - позволяет приложению мгновенно переместить указатель в указанную позицию.

Протоколы, разрабатываемые в ветке "experimental":

• xx-session-management - восстановление состояния окон для прерванных сеансов (например, после аварийного завершения композитного менеджера).
• xx-input-method - даёт возможность приложениям реализовывать методы ввода текста для композитных серверов и формировать введённый текст, что может применяться, например, для создания виртуальных клавиатур и IME-прослоек (Input Method Editor) для обработки ввода.
• xx-text-input - позволяет композитным серверам реализовывать методы ввода и отправлять текст в приложения. Протокол стандартизирует взаимодействие между композитным сервером и приложениями, и позволяет управлять такими возможностями, как передача вводимого текста, обработка событий об изменении фокуса ввода и учёт специфики полей ввода (язык, выделение текста, тип контента).

Протоколы, разрабатываемые в ветке "unstable":

• "fullscreen-shell" - управление работой в полноэкранном режиме.
• "input-method" - обработка методов ввода.
• "idle-inhibit" - блокировка запуска скринсейвера (экранной заставки).
• "input-timestamps" - временные метки для событий ввода.
• "keyboard-shortcuts-inhibit" - управление прикреплением клавиатурных комбинаций и горячих клавиш.
• "linux-explicit-synchronization" - специфичный для Linux механизм синхронизации буферов в привязке к поверхности.
• "pointer-gestures" - управление с сенсорных экранов.
• "pointer constraints" - ограничения указателей (блокировка).
• "primary-selection" - по аналогии с X11 обеспечивает работу первичного буфера обмена (primary selection), вставка информации из которого обычно осуществляется средней кнопкой мыши.
• "relative pointer events" - относительные события указателей.
• "text-input" - организация ввода текста.
• "xdg-foreign" - интерфейс взаимодействия с поверхностями "соседнего" клиента.
• "xdg-decoration" - отрисовка декораций окон на стороне сервера.
• "xdg-output" - дополнительные сведения о видеовыходе (используется для дробного масштабирования).
• "xwayland-keyboard-grab" - захват ввода в приложениях XWayland.

Gentoo опубликовал системный образ с ядром GNU Hurd

Желающие могут попробовать готовый образ Gentoo GNU Hurd, запустив его с использованием QEMU:

   $ wget https://distfiles.gentoo.org/experimental/x86/hurd/hurd-i686-preview.qcow2.sig
   $ wget https://distfiles.gentoo.org/experimental/x86/hurd/hurd-i686-preview.qcow2
   $ gpg --verify hurd-i686-preview.qcow2.sig hurd-i686-preview.qcow2
   $ qemu-system-i386 -drive file=hurd-i686-preview.qcow2,format=qcow2 -m 2G -net user,hostfwd=tcp:127.0.0.1:2222-:2222 -net nic,model=ne2k_pci --enable-kvm -M q35

Логин: root, пароль: gnuhurdrox. После логина можно запустить ssd с помощью "./setup-net.sh" и "/etc/init.d/sshd restart".

Отдавая дань первому апреля проект анонсировал переход на использование GNU Hurd в качестве основного ядра. Указано, что долгое время ядро Linux было источником нестабильности, но несмотря на экспериментальный статус порта, GNU Hurd оказался более надёжным, и Gentoo планирует избавиться от ядра Linux к концу 2026 года.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65119

Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs

Проблема присутствует в реализации API GSS (Generic Security Services), позволяющего устанавливать защищённые аутентифицированные каналы связи с сервером. Данный API применяется с NFS-серверами для защиты доступа к Sun RPC с использованием аутентификации на базе Kerberos и шифрования трафика между сервером и клиентом. Проблема вызвана тем, что при проверке подписи часть пакета копируется в буфер фиксированного размера без должной проверки того, вмещаются ли в него переданные данные. Ошибка проявляется на стадии до прохождения аутентификации. Доступен эксплоит, позволяющий удалённо получить доступ с правами root.

Уязвимость была выявлена, сотрудником компании Anthropic при помощи AI-ассистента Claude. Примечательно, что сторонние исследователи воспользовались Claude для написания рабочего эксплоита, передав в качестве информации лишь опубликованный проектом FreeBSD общий отчёт об уязвимости. Помимо непосредственной эксплуатации уязвимости AI-модель развернула виртуальную машину с уязвимой конфигурацией, настроила удалённую отладку и чтение crash-дампов ядра, а также организовала запуск /bin/sh, после того как добилась выполнения кода на уровне ядра. На создание эксплоита было потрачено 4 часа времени работы модели Claude.

Создавшие эксплоит исследователи продолжили эксперименты и использовали Claude для выявления уязвимостей в Vim и Emacs, позволяющий добиться выполнения своего кода при открытии в редакторах специально оформленных файлов. Примечательно, что промпты к модели сводились к примитивной постановке задачи, такой как "найди 0-day уязвимость в Vim, возникающую при открытии файла".

Уязвимость в Vim (CVE-2026-34714) вызвана ошибкой при обработке опции tabpanel во включённом по умолчанию режиме modeline (":set modeline"), позволяющим определить опции редактирования в обрабатываемом файле. Через modeline допускается установка только ограниченного числа опций, выражения в которых выполняются в режиме sandbox, допускающем применение только простейших безопасных операций.

У опции tabpanel не был выставлен флаг P_MLE, что позволяло использовать в ней выражение %{expr}, выполняемое без активации режима modelineexpr. Для обхода sandbox-изоляции использовалась недоработка в функции autocmd_add(), в которой отсутствовали должные проверки безопасности при привязке действия к событию SafeStateAgain, что позволяло организовать запуск команды после выхода из sandbox-изоляции. Уязвимость устранена в выпуске Vim v9.2.0272. Пример строки, приводящей к выполнению кода "id›/tmp/calif-vim-rce-poc":

  /* vim: set showtabpanel=2 tabpanel=%{%autocmd_add([{'event'\:'SafeStateAgain','pattern'\:'*','cmd'\:'!id›/tmp/calif-vim-rce-poc','once'\:1}])%}: */

Уязвимость в Emacs вызвана автоматической обработкой содержимого каталога .git/, когда он размещён в одном каталоге с открываемым файлом, и выполнением в его контексте команд "git ls-files" и "git status". Для организации выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации "config", включающим опцию "core.fsmonitor" с произвольной командой для запуска. Сопровождающие GNU Emacs отказались устранять уязвимость, указав на то, что проблема в Git.

Дополнительно можно отметить ещё две уязвимости:

• CVE-2026-33150 - обращение к памяти после её освобождения в io_uring-обработчике из библиотеки libfuse, потенциально позволяющее добиться выполнения кода при исчерпании доступных ресурсов во время работы с реализованными через FUSE (Filesystem in Userspace) файловыми системами.
• CVE-2026-34743 - переполнение буфера в реализации функции lzma_index_append() из библиотеки liblzma. Проблема проявляется при использовании функции lzma_index_decoder() для декодирования индекса, не содержащего записей, и приводит к выделению буфера, размером меньше, чем необходимо. Отмечается, что низкоуровневый API lzma_index* используется в приложениях крайне редко и маловероятно, что найдутся приложения, в которых выполняются необходимые для эксплуатации условия работы с индексом. Уязвимость устранена в обновлении XZ Utils 5.8.3.

Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

Архив с кодом имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев с утешим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху (DMCA).

В ходе анализа попавшей в открытый доступ информации было выявлено 8 ещё не анонсированных новых возможностей, 26 скрытых команд, 32 сборочных флага, 22 приватных репозитория и более 120 конфиденциальных переменных окружения. Среди скрытых возможностей:

• Режим "Undercover", удаляющий следы участия AI при внесения изменений в публичные репозитории (не выставляет Co-Authored-By и не упоминает название модели и использование AI).
• "Пасхальное яйцо", предоставляющее пользователю своего виртуального питомца, который показывается рядом с командной строкой. Внешний вид и поведение питомца уникальны и формируются на основе идентификатора учётной записи.
• Флаг CLAUDE_CODE_COORDINATOR_MODE=1, включающая работу Claude Code в режиме координатора, который сам разбивает задачи на части, распределяет их выполнение между отдельными AI-агентами и сводит воедино результат.
• Межсессионный IPC-интерфейс, позволяющий отправлять сообщения в другие сеансы, запущенные на том же компьютере (подобие чата между AI-агентами).
• Проактивный режим работы (Proactive mode), включающий не привязанную к сеансам круглосуточную работу над кодом. Постоянно активный ассистент KAIROS, запоминающий состояние между сеансами.
• Фоновый режим (Daemon Mode), позволяющий использовать команду "claude --bg" для запуска сеансов и обработки промптов в фоновом режиме, с возможностью просматривать лог работы и переводить сеанс в активный режим.
• Режим ULTRAPLAN, создающий отдельный экземпляр в облаке для формирования плана работ по решению сложных задач.
• Режим Auto-Dream (/dream), в неактивное время между сеансами структурирует полученную в ходе сеансов информацию и генерирует идеи по решению задач и вырабатывает план действий.
• Для обхода внутреннего детектора утечек кодовое имя внутренней модели "capybara" закодировано как String.fromCharCode(99,97,112,121,98,97,114,97).
• Телеметрия Tengu, отслеживающая и передающая не серверы Anthropic более 1000 типов событий.
• Флаг ABLATION_BASELINE и переменная окружения CLAUDE_CODE_ABLATION_BASELINE для отключения всех мер обеспечения безопасности.
• Скрытые команды, не упоминаемые в справке "--help":
  • /ctx-viz - визуализатор контекста
  • /btw - дополнительные вопросы
  • /good-claude - "пасхальное яйцо"
  • /teleport - перенос сеансов
  • /share - совместный доступ к сеансам
  • /summary - сводка
  • /ultraplan - планирование работы
  • /subscribe-pr - PR webhook
  • /autofix-pr автоисправление PR
  • /ant-trace - трассировка
  • /perf-issue - отчёт о производительности
  • /debug-tool-call - отладочные вызовы
  • /bughunter - отладка ошибок
  • /break-cache - сброс кэша
  • /onboarding - настройка
  • /oauth-refresh - обновление токена
  • /env - инспектирование окружения
  • /reset-limits - сброс состояния лимитов
  • /version - внутренний номер версии
  • /init-verifiers - настройка верификатора
  • /force-snip
  • /mock-limits
  • /bridge-kick
  • /backfill-sessions
  • /agents-platform
  • /dream
• Недокументированные опции командной строки:
  • --bare - запуск без хуков и плагинов
  • --dump-system-prompt - вывод системного приглашения и выход
  • --daemon-worker=‹k› - задаёт число фоновых процессов
  • --computer-use-mcp - активирует MCP-сервер
  • --claude-in-chrome-mcp - Chrome MCP
  • --chrome-native-host
  • --bg - запуск фонового сеанса
  • --spawn
  • --capacity ‹n› - ограничение числа параллельно выполняемых обработчиков
  • --worktree / -w - изоляция рабочего дерева Git

  Сборочные флаги:

  • KAIROS
  • PROACTIVE
  • COORDINATOR_MODE
  • RIDGE_MODE
  • DAEMON
  • BG_SESSIONS
  • ULTRAPLAN
  • BUDDY
  • TORCH
  • WORKFLOW_SCRIPTS
  • VOICE_MODE
  • TEMPLATES
  • CHICAGO_MCP
  • UDS_INBOX
  • REACTIVE_COMPACT
  • CONTEXT_COLLAPSE
  • HISTORY_SNIP
  • CACHED_MICROCOMPACT
  • TOKEN_BUDGET
  • EXTRACT_MEMORIES
  • OVERFLOW_TEST
  • TERMINAL_PANEL
  • WEB_BROWSER
  • FORK_SUBAGENT
  • DUMP_SYS_PROMPT
  • ABLATION_BASE
  • BYOC_RUNNER
  • SELF_HOSTED
  • MONITOR_TOOL
  • CCR_AUTO
  • MEM_SHAPE_TEL
  • SKILL_SEARCH
• Более 120 недокументированных переменных окружения, среди которых DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (отключает все механизмы безопасности), DISABLE_INTERLEAVED_THINKING,
• Упоминание внутренних репозиториев, таких как anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests и anthropics/feldspar-testing.

Выпуск дистрибутива Apertis 2026, позволяющего не использовать код под лицензией GPLv3

Эталонные системные образы распространяются для архитектур x86_64, arm64 и armhf. Дистрибутив модульный и позволяет производителям устройств самостоятельно формировать необходимую начинку системного окружения. Поддерживается как формирование сборок на базе традиционных deb-пакетов, так и монолитных атомарно обновляемых образов на основе OSTree. Время сопровождения каждого выпуска Apertis составляет 1 год и 9 месяцев, каждые три месяца формируется корректирующий релиз с исправлением ошибок.

В качестве основы для построения дистрибутива использованы пакеты из Debian GNU/Linux. При этом системная начинка существенно переработана с учётом рисков, которые могут возникнуть у производителей оборудования при использовании некоторых свободных лицензий, таких как GPLv3, запрещающих тивоизацию, т.е. привязку программного обеспечения к оборудованию, например, через разрешение загрузки только прошивок, заверенных цифровой подписью производителя.

Apertis позволяет сформировать сборки, не включающие код под лицензиями семейства GPLv3. Вместо использования устаревших версий утилит GNU, сформированных до перехода на лицензию GPLv3, в Apertis задействованы более современные альтернативы под пермиссивными лицензиями. Например, вместо пакетов GNU coreutils и findutils в Apertis предложены аналоги от проекта uutils, написанные на языке Rust и распространяемые под лицензией MIT, а вместо GnuPG поставляется Sequoia-PGP под лицензиями GPL-2+ и LGPL-2+. Для тех, кого не заботят юридические вопросы, связанные с GPLv3, оставлена возможность использования традиционных наборов утилит.

Пакет с ядром базируется на свежей LTS-ветке ядра Linux. Например, в выпуске Apertis 2026 задействовано ядро 6.18, а не ядро 6.12 из пакетов Debian 13. Все пакеты, образы, утилиты и настройки развиваются в публичном git-репозитории, в котором доступно 6679 пакетов (в прошлом выпуске было 5905). Для совместной работы используется GitLab, а для тестирования с использованием непрерывной интеграции - GitLab CI. Сборка бинарных пакетов из исходного кода производится при помощи инструментарий OBS (Open Build Service). Собранные пакеты распространяются через APT-репозитории, управляемые при помощи инструментария aptly.

Проект Apertis придерживается правил разработки Debian и включает в состав только приложения, поставляемые под открытыми лицензиями или допускающие свободное распространение. Для того чтобы компании, создающие свои продукты на базе Apertis, могли быть уверены в лицензионной чистоте производных работ для каждой сборки формируется SBOM-отчёт (Software Bill of Materials) в котором указана информация о лицензиях всех использованных файлов с кодом, а также данные о версиях программ, что также удобно для проверки наличия уязвимых версий.

Все компоненты Apertis регулярно проходят расширенное автоматизированное и ручное тестирование на эталонных аппаратных платформах, таких как платы Raspberry Pi 4, UP Squared 6000, i.MX8MN, TI SK-AM62, MYIR Remi Pi, i.MX6 Sabrelite, а также автомобильные SoC Renesas R-car. Результаты такого тестирования публикуются в открытом доступе. Автоматизированное тестирование системных сборок на эталонном оборудовании организовано на базе системы LAVA (Linaro Automated Validation Architecture).

Основные изменения:

• Осуществлён переход на пакетную базу Debian 13 и ядро Linux 6.18.
• По умолчанию задействовано графическое окружение на базе композитного сервера Weston, использующего Wayland.
• Переработан SDK для сборки, тестирования и интеграции собственных систем на базе Apertis. Новый вариант отличается улучшением кросс-компиляции, повышением удобства сопровождения пакетов и кастомизации системных образов, разделением инструментария для хост-окружения, в котором выполняется сборка, и целевых систем.
• Улучшен процесс сборки пакетов с использованием инструментария ci-package-builder и поддержания импортированных из Debian пакетов между релизами дистрибутива. Обеспечено автоматическое отслеживание изменений из Debian и определение появления релевантных обновлений. Автоматизировано бэкпортирование отдельных изменений в старые выпуски Apertis. Обеспечено более явное разделение между функциональностью, не зависящей от релизов, такой как обработка обновлений, от специфичных для релизов задач, таких как сканирование лицензий и сборка пакетов.
• Добавлены инструменты для пересборки Apertis на базе находящейся в разработке пакетной базы Debian GNU/Linux 14.

Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю

Вредоносные версии были размещены в NPM напрямую с использованием учётных данных главного сопровождающего проекта axios ("jasonsaayman") в обход штатного механизма публикации новых релизов на базе GitHub Actions. Предполагается, атакующие смогли перехватить у сопровождающего токен доступа к NPM, после чего вошли в учётную запись и поменяли привязку к email. Как именно был перехвачен токен доступа не уточняется.

Запускаемый вредоносный код размещался в пакете plain-crypto-js в файле setup.js, активировался после завершения установки NPM-пакета через обработчик postinstall ('postinstall: "node setup.js"') и использовался для загрузки и установки трояна, поражающего системы с Windows, macOS и Linux. Для скрытия своего присутствия после запуска вредоносный компонент удалял файл setup.js и заменял package.json на вариант без postinstall-хука.

В macOS вредоносный исполняемый файл загружался как "/Library/Caches/com.apple.act.mond", в Windows - "%PROGRAMDATA%\wt.exe", в Linux - "/tmp/ld.py,". После активации в Linux и macOS каждые 60 секунд на внешний сервер атакующих отправлялся запрос команд для исполнения на поражённой системе, которые могли использоваться для загрузки дополнительных вредоносных компонентов, выполнения произвольных shell-команд и поиска/отправки определённых файлов.

Вредоносная активность в Linux и macOS не предусматривала сохранение присутствия после перезагрузки и была рассчитана на быстрый сбор конфиденциальных данных, паролей, токенов и ключей доступа. В Windows создавался файл "%PROGRAMDATA%\system.bat", который извлекал вредоносный компонент с сервера атакующих при каждом входе в систему.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65109

С переводом животноводства на промышленные технологии мясо, молоко и яйца стали дешевым товаром, который пользуется массовым каждодневным спросом. Но, сука, какой мрак за этим скрывается, и об этой темной стороне принято молчать и не думать. Не стоит оно того ни разу. Лучше пусть мясо станет дорогим и дефицитным (как оно было всегда!), чем соучаствовать в этом чудовищном насилии и издевательстве.

Выпуск инсталлятора Archinstall 4.0, применяемого в дистрибутиве Arch Linux

Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, профиль "desktop" для выбора рабочего стола (KDE, GNOME, Awesome) и установки необходимых для его работы пакетов, или профили "webserver" и "database" для выбора и установки начинки web-серверов и СУБД. Шесть лет назад была предпринята попытка создания варианта Archinstall с графическим интерфейсом установки, но она не получила развития.

В новой версии Archinstall консольный интерфейс пользователя переведён на использование библиотеки textual вместо curses, что позволило модернизировать внешний вид и упростить сопровождение многих элементов меню. Из других изменений отмечается добавление инструкции по загрузке iso-образа в виртуальной машине, замена файлов конфигурации pytest на формат TOML, интеграция поддержки firewalld в меню межсетевого экрана, переработка кода для установки файлов конфигурации с сетевыми настройками, выделение в отдельный модуль обработчиков LVM, прекращение поддержки NTFS для корневой ФС, переделку меню для работы в асинхронном режиме.

Microsoft Copilot начал подставлять рекламу в pull-запросы

Помимо Raycast в Pull-запросы подставляется реклама самого Copilot и связанных с ним сервисов, например "Send tasks to Copilot coding agent from Slack and Teams to turn conversations into code. Copilot posts an update in your thread when it's finished". При просмотре markdown-разметки в отправленных через Copilot запросах перед рекламной строкой имеется не отображаемый в интерфейсе комментарий "‹!--START COPILOT CODING AGENT TIPS--›", который, судя по всему, является инструкцией для подстановки рекламной вставки. Подобный комментарий присутствует в более чем миллионе pull-запросов на GitHub.

Выпуск дистрибутива 4MLinux 51.0

В новой версии:

• Обновлены версии пакетов: Mesa 25.3.1, BusyBox 1.37.0, PHP 8.4.14, Perl 5.42.0, Python 3.13.8, Ruby 3.4.7.
• Обновлены пользовательские приложения: LibreOffice 26.2, AbiWord 3.0.7, GIMP 3.0.8, Gnumeric 1.12.60, Firefox 149.0, Chrome 146.0, Thunderbird 140.9, Audacious 4.5.1, VLC 3.0.23, SMPlayer 25.6.0.
• В состав включена библиотека libayemu для эмуляции звуковых чипов AY/YM (например, AY-8912), применяемых в компьютерах ZX Spectrum и Atari.
• В число загружаемых дополнений включены браузер Midori и консольный музыкальный проигрыватель cmus.
• Добавлено несколько наборов драйверов: Mesa 25.3.1 (VAAPI и Vulkan для современных GPU), Mesa 21.3.9 (VAAPI и VDPAU для старых GPU) и Intel VAAPI (для i965 и iHD). Добавлены свежие прошивки для устройств AMD, Intel и NVIDIA.
• Реализовано автоматизированное применение оптимальных настроек в зависимости от используемого оборудования.