Тест: кто-то видит этот пост?

UPD:

• Странно.... как будто #honk не рассылает новые посты другим серверам...
• Откатился к honk-1.5.1

Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость

Flipper One - устройство-мультитул для хакеров с AI-движком, Wi-Fi рутером и сетевым анализатором

Демка на 16 байт, которая воспроизводит визуальные (текстовые) и звуковые эффекты. Обожаю такое.

wake up! 16b

In the demoscene, exploring what can be achieved within extreme constraints is a rewarding technical challenge. The following 16 bytes of x86 real-mode DOS assembly code represent a careful exercise in algorithmic density. When executed, it utilizes the computer's video memory as a calculation space to draw an infinite Sierpinski fractal, while simultaneously interpreting that geometry as audio data.

https://www.youtube.com/watch?v=MvycyU-kLjg

P.S. Что бы объяснить 16 байт машинного кода автору понадобилось более 9 тысяч символов текста (и ещё не стоит забывать про иллюстрации):

$ w3m https://hellmood.111mb.de/wake_up_16b_writeup.html -dump | wc -c
9943

(#demoscene)

В кое-каком районе кое-что в деревьях вызвало переполох.
Накануне в медиа рассказали об эвакуации жителей многоквартирного дома.
Фиксируется перекрытие движения. На месте работают оперативные службы.
В пресс-службе администрации района вопреки обыкновению ничего не сообщили о случившемся. В МЧС сказали, что вопрос не по адресу. В Росгвардии дали похожий ответ: случившееся не в их компетенции.

(#новояз)

Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов

Выпуск композитного сервера Wayland Maker 0.8

Релиз полностью свободного Linux-дистрибутива PureOS 11, используемого на смартфонах Librem

Цветёт всё как в последний раз, перед закрытием проекта!

Незаконно подключён к объектам жизнеобеспечения.

(#новояз)

Представлен обновлённый интерфейс Firefox

Релиз OpenBSD 7.9

Выпуск браузера Vivaldi 8.0

А у меня небольшой анонс!

В эту субботу, 23 мая в 17:15, я в поучаствую в ещё одной дискуссии, посвящённой видеоиграм и архитектуре: "Виртуальная архитектура: видеоигры как вызов архитекторам и музейщикам". Поговорим о влиянии игр и видеоигровой архитектуры на наше восприятие повседневности, о том как игры могут помочь сохранять культурное и архитектурное наследие, и как музеям и видеоиграм предстоит сотрудничать без конкуренции, чтобы обмениваться аудиторией и формировать новый взгляд на пространство.

Разговор в Инженерном корпусе Третьяковской галереи, так что если возникали сомнения, что игры - серьёзный медиум, давно проникший во все области, а классические институции формата музеев - слишком консервативны для игр, то эта дискуссия - отличный способ их развеять. В качестве иллюстрации к посту - мой снимок Индики, потому что невозможно говорить о сохранении наследия посредством видеоигр, не упоминая её.

Буду рада всех увидеть и поболтать :blobfoxbongo:
https://intermuseum.culture.ru/tproduct/1-602941092322-virtualnaya-arhitektura-videoigri-kak-vi

Релиз дистрибутива Red Hat Enterprise Linux 10.2

Пакеты RHEL не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, загруженных через клиентский портал, что создаёт юридические риски при использовании этих пакетов для создания производных дистрибутивов. Исходные тексты RHEL остаются доступны в репозитории CentOS Stream, но он не полностью синхронизирован с RHEL и версии пакетов в нём не всегда совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.

Обновлял вчера опёнка (до 7.9) на ноуте: отвалился openvpn до офиса.
В логах была ошибка, что на сервере используется TLS 1.0, а моя обновлённая ОС такое уже не поддерживает. Нашел в описании выпуска LibreSSL 4.3.1 следущее:

- In addition to what was done in LibreSSL 4.0 for the version handling, disable TLSv1.1 and lower also on the method level.

Благо в портах есть openvpn-mbedtls, установка которого решила проблему.

Сегодня попробую попинать людей, отвечающих за серверную инфраструктуру на работе. Ну негоже в 2026-ом TLS 1.0 использовать.

(#openbsd #openvpn #libressl)

Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.4, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

В Fedora решено удалить пакеты со средой рабочего стола Deepin

Создан виртуальный музей операционных систем

Для загрузки доступны две версии: полная (121 ГБ zip), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM.

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby). Для тестирования также доступны:

• Scheme A - первая ОС, выпущенная в 1951 году.
• IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.
• B5000 MCP - первая ОС на высокоуровневом языке.
• CTSS - первая многопользовательская ОС (1961-72).
• Multics - первая ОС с иерархической файловой системой (1964), предок Unix.
• Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).
• ОС для мэйнфреймов.
• Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.
• Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.
• Visi On (1983) - первый GUI для ПК.
• Разные редакции CP/M и DOS.
• Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.
• Пререлизы старых ОС Windows.
• EPOC, Palm OS - ОС для первых карманных ПК.
• Linux-дистрибутивы 1990-х и 2000-х годов.
• Ранние версии Android (2007-11).
• Операционные системы, развиваемые энтузиастами.

Создан виртуальный музей операционных систем

Для загрузки доступны две версии: полная (121 ГБ zip), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM.

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby). Для тестирования также доступны:

• Scheme A - первая ОС, выпущенная в 1951 году.
• IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.
• B5000 MCP - первая ОС на высокоуровневом языке.
• CTSS - первая многопользовательская ОС (1961-72).
• Multics - первая ОС с иерархической файловой системой (1964), предок Unix.
• Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).
• ОС для мэйнфреймов.
• Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.
• Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.
• Visi On (1983) - первый GUI для ПК.
• Разные редакции CP/M и DOS.
• Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.
• Пререлизы старых ОС Windows.
• EPOC, Palm OS - ОС для первых карманных ПК.
• Linux-дистрибутивы 1990-х и 2000-х годов.
• Ранние версии Android (2007-11).
• Операционные системы, развиваемые энтузиастами.

Релиз Firefox 151

Основные новшества в Firefox 151 (1, 2, 3, 4):

• Обновлено оформление страницы, показываемой при открытии новой вкладки (логотип перемещён в центр, смещена вниз строка поиска, включено фоновое изображение, которое можно сменить в настройках). Новый дизайн оптимизирован для интеграции на страницу новых возможностей (например, виджеты и улучшение работы с ярлыками), включение которых ожидается в следующем релизе.
• В режиме приватного просмотра реализована новая кнопка "End Private Session" (пиктограмма с изображением огня справа от адресной строки), через которую можно мгновенно очистить все данные текущего приватного сеанса, не закрывая при этом окно браузера (сайты, до этого открытые в режиме приватного просмотра, закрываются и остаётся пустой сеанс).
• Во встроенном просморщике PDF реализована функция объединения нескольких страниц в документе.
• Встроенный интерфейс перевода с одного языка на другой теперь доступен для вызова через секцию "More Tools" в основном меню.
• Строка поиска в конфигураторе (about:preferences) расширена и теперь занимает всю доступную ширину.
• В сборках для Linux реализована поддержка резервного копирования профилей, позволяющая сохранить выбранный профиль в файл, после чего использовать этот файл для восстановления настроек на другой системе. Ранее данная функция была доступна только в Windows.
• При переносе каталога с профилем Firefox в другие части ФС или на системы с другими операционными системами обеспечено восстановление установленных дополнений и тем оформления.
• Усилена защита от скрытой идентификации пользователя (Fingerprinting Protection), применяемая при включении стандартной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Standard). Отмечается, что внесённые изменения позволили в среднем на 14% (49% для macOS) снизить долю пользователей, идентифицируемых с помощью типовых методов скрытой идентификации по сравнению с ранее имевшейся защитой.
• В интегрированный бесплатный VPN-сервис Firefox VPN добавлена возможность выбора страны используемого VPN-сервера. Сервис позволяет обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.
• При запросе web-приложением доступа к данным о местоположении на платформе Windows теперь учитываются системные настройки предоставления подобного доступа.
• Добавлена возможность использования API Web Serial для управления микроконтроллерами, подключаемыми через последовательный порт. Например, после подтверждения полномочий можно из web-приложения программировать ESP чипы, платы Raspberry Pi Picos, 3D-принтеры и оборудование с ЧПУ. API Web Serial также можно использовать в браузерных дополнениях, но не из контекста moz-extension.
• Для всех пользователей включено применение спецификации LNA (Local Network Access) для ограничения обращений к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. Для обращения к внутренним ресурсам пользователь должен предоставить web-приложению специальные полномочия, так как подобная активность используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети. Ранее подобная защита действовала только при включении режима усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict).
• Реализован API Fullscreen Keyboard Lock, добавляющий в метод requestFullscreen аргумент keyboardLock, позволяющий полноэкранным web-приложениям перехватывать обработку некоторых клавиш и клавиатурных комбинаций, например, можно перехватить обработку нажатия на клавишу Esc (в этом случае для выхода из полноэкранного режима потребуется не нажатие, а удержание Esc).
• Улучшена отрисовка элементов с абсолютным позиционированием внутри многоколоночных блоков или при выводе на печать.
• В правилах "@container" разрешено одновременное перечисление нескольких условий по аналогии с медиа-запросами.
• Внутри правил @container разрешено использование функции style() для проверки вычисленных значений CSS-свойств контейнера.
• Добавлено свойство CSSContainerRule.conditions, содержащие список всех условий контейнерного запроса. Старые свойства CSSContainerRule.containerName и CSSContainerRule.containerQuery объявлены устаревшими.
• Изменено поведение якорного позиционирования в CSS (CSS Anchor Positioning). Свойство position-anchor теперь по умолчанию принимает значением "normal", а при использовании свойства position-area неявные якоря применяются автоматически. Всплывающие окна (popovers), использующие anchor() или anchor-center, теперь требуют явного указания свойства "position-anchor: auto".
• Добавлена поддержка API Document Picture-in-Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через новый API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
• В API Permissions обеспечена корректная обработка временных полномочий, предоставленных сайту.
• Предоставлена возможность использования декларативного синтаксиса для определения того, как элементы распределяются в слоты внутри Shadow DOM.
• В Firefox для Android добавлена поддержка быстрого переключения между вкладками, используя вертикальный скользящий жест в области панели. В конфигуратор по аналогии с десктоп-версией добавлен переключатель для отключения всех функций, использующих AI, а также реализованы настройки для выборочного включения отдельных AI-функций.

Кроме новшеств и исправления ошибок в Firefox 151 устранено 154 уязвимости (65 собрано под CVE-2026-8973, 54 под CVE-2026-8974 и 7 под CVE-2026-8975). 146 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В ночных сборках Firefox началось тестирование переделанного интерфейса конфигуратора, в котором расширены средства для поиска настроек, улучшена навигация, обновлены метки и описание настроек.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65481

#сегодня в городе удивительный коктейль запахов: цветут барбарис, акация и сирень.
И это буквально какие-нибудь сотни метров от метро до офиса.

(#спб)

Как деревенский простак в сказке, который всеми силами старался вызвать нечистого, а когда тот явился ему, -- лишился языка от страха и со всех ног бросился бежать; так и знатные господа Франции: на протяжении многих лет они нарушали все заповеди, читали отче-наш наоборот, творили бесовские заклинания и всячески вызывали дьявола, а когда он явился им во всей своей адской силе, бросились бежать без оглядки, не помня себя от страха.

Чарльз Диккенс. Повесть о двух городах

cc: @litclub

(#чтопочитать #федичитает)

Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI - системы сотрудников данной компании также были поражены вредоносным ПО в апреле после установки вредоносного релиза NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65484

Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 26

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Задействована новая система сборки на базе инструментария Chisel, позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.
• Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.
• Обеспечено выполнение требований европейского закона CRA (Cyber Resilience Act), который вводит юридическую ответственность за несоблюдение требований безопасности.
• Добавлена возможность применения технологии Livepatch для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.
• Обеспечена интеграция с инструментарием COS (Canonical Observability Stack), основанным на движке оркестровки Juju и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.
• Добавлена поддержка компонентов, позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.
• В Snapd REST API обеспечена совместимость со спецификацией OpenAPI.
• В дисплейный сервер Ubuntu Frame, позволяющий создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.
• Добавлена системная настройка interface.allow-auto-connection для определения правил автоматического подключения интерфейсов.
• Добавлена поддержка механизма Confdb для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.
• Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина.

OpenBSD 7.9 Released

The OpenBSD project has announced OpenBSD 7.9, its 60^th release.

The new release contains a number of significant improvements, including but certainly not limited to:

• MAXCPU value on OpenBSD/amd64 increased to 255 [See earlier report]
• Preparations for supporting 52 disk partitions [See earlier report]
• Introduced selective blocking of cores from the scheduler with sysctl hw.blockcpu [See earlier report]
• Delayed hibernation support on OpenBSD/amd64 laptops [See earlier report]
• On amd64, implemented delayed hiberation [See earlier report]
• Parallel fault handling enabled on amd64 and arm64 platforms
• drm(4) code updated to linux 6.18.16 [See earlier report]
• Added sysctl(8) machdep.vmmode to indicate status as a host or guest [See commit]
• Added vmboot (on amd64), a tiny kernel for booting SEV VMs, which allows sysupgrade(8) to work [See commit]
• Made OpenBSD run as a guest under Apple Hypervisor [See earlier report]
• Converted vmd(8)'s virtio scsi device to a subprocess [See earlier report]
• Added nhi(4), a driver for USB4 controllers, which allows modern laptops with AMD CPUs to reach the appropriate low power idle states during S0ix suspend. [See commit]
• Added basic implementation of the low-level FUSE API
• Improved sysugprade(8) handling of low disk space in /usr [See earlier report]
• fw_update(8) now checks dmesg(8) output in addition to dmesg.boot [See earlier report]
• On amd64, added support for loading kernels from the EFI system partition [See commit]
• The pledge(2) "tmppath" promise has been retired [See earlier reports]
• Enabled IPv6 autoconf [SLAAC] by default in installer [See commit]
• Private VLAN (PVLAN) support added to veb(4) [See commit]
• LACP support removed from trunk(4) [See earlier report]
• Multiple pf(4) enhancements:
  • Source and state limiters introduced [See earlier report]
  • Print both nat-to and rdr-to in pfctl -s rules
• Added httpd.conf(5) "no banner" configuration directive to suppress generation of "Server" header [See commit]
• In relayd(8), added support for PROXY protocol in TCP relays
• In acme-client(1), added support for IP Address certificates
• OpenBGPD 9.1 [See earlier reports on releases of versions 9.0 & 9.1]
• rpki-client 9.8 [See earlier reports on releases of versions 9.7 & 9.8]
• LibreSSL 4.3.1 [See earlier report]
• OpenSSH 10.3 [See earlier report]
  • Several security enhancements were added
  • Added ssh(1) escape ~I showing information about the current SSH connection [See commit]
• chromium (and derivatives) gained VA-API support [See earlier report]
• chromium (and derivatives) gained (Open) Widevine support support [See earlier report]

See the full changelog for more details of the changes made over this latest six month development cycle.

The Installation Guide details how to get the system up and running with a fresh install, while those who already run earlier releases should follow the Upgrade Guide, in most cases using sysupgrade(8).

Readers are encouraged to celebrate the new release by donating to the project to support further development of our favourite OS!

Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux

Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать ветку Azure Linux 3. Готовые сборки пока не предоставляются, но имеется инструкция по сборке. Специфичные для дистрибутива изменения поставляются под лицензией MIT.

При формировании дистрибутива вместо создания форка Fedora в Azure Linux 4 применён декларативный подход, позволяющий пересобирать RPM-пакеты с необходимыми изменениями и настройками из штатных репозиториев Fedora, используя конфигурационные файлы в формате TOML. Дополнительная функциональность определяется в форме оверлеев, позволяющих генерировать специфичные для Azure Linux spec-файлы пакетов на основе штатных SRPM-пакетов из Fedora Linux. Оверлеи определяют изменения, вносимые поверх пакетов Fedora, такие как дополнительные конструкции в spec-файлах, патчи и параметры сборки.

Пакетной единицей в Azure Linux 4 являются "компоненты" (исходный пакет), которые по большей части импортируются из Fedora через dist-git и могут формировать один или несколько RPM-пакетов. Все компоненты собираются из исходного кода, бинарные пакеты из Fedora не переносятся. Для генерации результирующих RPM-пакетов на основе оверлеев применяется инструментарий azldev, написанный на языке Go и поставляемый под лицензией MIT.

Из особенностей Azure Linux 4 отмечается поставка ядра Linux с дополнительными оптимизациями, защита от атак через зависимости (supply chain), предсказуемый цикл поддержки и выпуска обновлений, встроенные возможности для интеграции с облаком Azure, изменения для усиления безопасности. Система сборки Azure Linux позволяет генерировать как установочные окружения с RPM-пакетами, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа.

Из применяемых в Azure Linux мер по повышению безопасности:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
• Поставка минимально необходимых пакетов, без активации лишних сервисов.

Выпуск fheroes2 1.1.16, открытого движка Heroes of Might and Magic 2

Основные изменения:

• Прокладка дорог и рек теперь поддерживает рисование кистью с зажатой левой кнопкой мыши.
• Добавлена возможность передвигать и копировать мышью объекты на карте.
• В настройках объекта "Великий Артефакт" можно выбрать, какие именно артефакты может получить герой при раскопках.
• Неинтерактивные объекты можно размещать частично за пределами границ карты.
• Исправлена анимация разворота героя на карте приключений.
• Закрыто свыше 20 уведомлений об ошибках и предложений по улучшению проекта.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65478

Тридцатиградусная жара, адская вонь набережных, особенно у газпромовских строек, где, кажется, расчленили и оставили разлагаться тушки детёнышей Ктулху или Дагона, целые автобусы приезжих разных рас и континентов рядом с центрами легализации, люди в МАСАЧКАХ, надутые девки из администрации, красующиеся у ненастоящей ратуши с пластиковыми колоннами (напротив такой же ненастоящий сквер и ненастоящий жилой дом с ненастоящими жильцами), какой-то загаженный центр, весь перекрытый мусорными баками, авторитетными мигалками, с ремонтами и перекрытиями через каждые сто метров (не помню, чтобы раньше перекрывали всю улицу для прохода), приезжие из Самарканда, удивляющиеся тому, что до перехода к реке надо идти пару километров по жаре.

#ЛенинградНутряной

PinTheft - шестая уязвимость класса Copy Fail, предоставляющая права root в Linux

Уязвимость присутствует в реализации сетевого протокола RDS (Reliable Datagram Sockets), предназначенного для высокоскоростного обмена сообщениями между узлами в кластере, с минимальной задержкой и гарантированной доставкой. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0) и ядром, собранным с опциями CONFIG_RDS, CONFIG_RDS_TCP и CONFIG_IO_URING. Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root.

Для автоматической загрузки модуля ядра rds_tcp эксплоит запрашивает отправку данных через RDS с использованием транспорта SO_RDS_TRANSPORT=2. Отмечается, что среди протестированных дистрибутивов Linux в конфигурации по умолчанию модуль ядра rds предоставляется только в Arch Linux. Для блокирования уязвимости обходным путём можно заблокировать автозагрузку модулей ядра rds и rds_tcp:

   rmmod rds_tcp rds
   printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции rds_message_zcopy_from_user(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. В случае сбоя не производилась очистка поля rm->data.op_nents, из-за чего выполнялось двойное освобождение буфера (double-free). Появление некорректного значения в счётчике ссылок удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на фиксированный буфер io_uring.

В остальном механизм эксплуатации типичен для всех уязвимостей данного класса - атакующий добивается оседания файла программы с флагом suid root в страничном кэше, после чего подставляет в ELF-заголовок код для запуска /usr/bin/sh. После данной манипуляции запуск программы приводит к загрузке в память не оригинального исполняемого файла с накопителя, а изменённой копии из страничного кэша. В отличие от прошлых эксплоитов, новый вариант адаптирован для только для атаки на утилиту "su", но и может применяться при наличии в системе таких suid-программ, как mount, passwd, chsh, newgrp, umount и pkexec.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65476

IncidentRelay - открытая система для организации дежурств и маршрутизации оповещений

IncidentRelay принимает события из систем мониторинга, сопоставляет их с правилами маршрутизации и доставляет уведомления ответственным дежурным или командам. В системе реализованы расписания дежурств, ротации, переопределения смен, подтверждение получения инцидента, перевод инцидента в resolved, напоминания, эскалации и silences для подавления известных или плановых срабатываний.

Поддерживается приём событий из Prometheus Alertmanager, Zabbix и произвольных webhook-ов. Для отправки уведомлений предусмотрены каналы Mattermost, Telegram, email, webhook и голосовые провайдеры. В Mattermost и Telegram уведомления могут содержать действия для подтверждения и решения проблемы, что позволяет обрабатывать инцидент без перехода в отдельный интерфейс.

В IncidentRelay предусмотрена модель разделения доступа по группам и командам. Это позволяет разграничить видимость расписаний, маршрутов, каналов уведомлений и алертов между различными командами. Для автоматизации доступен HTTP API, а для интеграций используются bearer-токены и route-токены.

Проект может применяться как промежуточный слой между системами мониторинга и каналами уведомлений: Alertmanager или Zabbix отправляет событие в IncidentRelay, после чего система определяет команду, текущего дежурного, применяет правила маршрутизации и отправляет уведомление в нужный канал. Для неподтверждённых инцидентов могут выполняться повторные напоминания и эскалация на следующего участника ротации.

OpenBSD 7.9 Released

The OpenBSD project has announced OpenBSD 7.9, its 60^th release.

The new release contains a number of significant improvements, including but certainly not limited to:

• MAXCPU value on OpenBSD/amd64 increased to 255 [See earlier report]
• Preparations for supporting 52 disk partitions [See earlier report]
• Introduced selective blocking of cores from the scheduler with sysctl hw.blockcpu [See earlier report]
• Delayed hibernation support on OpenBSD/amd64 laptops [See earlier report]
• On amd64, implemented delayed hiberation [See earlier report]
• Parallel fault handling enabled on amd64 and arm64 platforms
• drm(4) code updated to linux 6.18.16 [See earlier report]
• Added sysctl(8) machdep.vmmode to indicate status as a host or guest [See commit]
• Added vmboot (on amd64), a tiny kernel for booting SEV VMs, which allows sysupgrade(8) to work [See commit]
• Made OpenBSD run as a guest under Apple Hypervisor [See earlier report]
• Converted vmd(8)'s virtio scsi device to a subprocess [See earlier report]
• Added nhi(4), a driver for USB4 controllers, which allows modern laptops with AMD CPUs to reach the appropriate low power idle states during S0ix suspend. [See commit]
• Added basic implementation of the low-level FUSE API
• Improved sysugprade(8) handling of low disk space in /usr [See earlier report]
• fw_update(8) now checks dmesg(8) output in addition to dmesg.boot [See earlier report]
• On amd64, added support for loading kernels from the EFI system partition [See commit]
• The pledge(2) "tmppath" promise has been retired [See earlier reports]
• Enabled IPv6 autoconf [SLAAC] by default in installer [See commit]
• Private VLAN (PVLAN) support added to veb(4) [See commit]
• LACP support removed from trunk(4) [See earlier report]
• Multiple pf(4) enhancements:
  • Source and state limiters introduced [See earlier report]
  • Print both nat-to and rdr-to in pfctl -s rules
• Added httpd.conf(5) "no banner" configuration directive to suppress generation of "Server" header [See commit]
• In relayd(8), added support for PROXY protocol in TCP relays
• In acme-client(1), added support for IP Address certificates
• OpenBGPD 9.1 [See earlier reports on releases of versions 9.0 & 9.1]
• rpki-client 9.8 [See earlier reports on releases of versions 9.7 & 9.8]
• LibreSSL 4.3.1 [See earlier report]
• OpenSSH 10.3 [See earlier report]
  • Several security enhancements were added
  • Added ssh(1) escape ~I showing information about the current SSH connection [See commit]
• chromium (and derivatives) gained VA-API support [See earlier report]
• chromium (and derivatives) gained (Open) Widevine support support [See earlier report]

See the full changelog for more details of the changes made over this latest six month development cycle.

The Installation Guide details how to get the system up and running with a fresh install, while those who already run earlier releases should follow the Upgrade Guide, in most cases using sysupgrade(8).

Readers are encouraged to celebrate the new release by donating to the project to support further development of our favourite OS!

Выпуск ForgeZero 1.9.0, инструмента сборки для C и ассемблера

ForgeZero определяет тип файла и автоматически выбирает необходимый бэкенд. Каждый файл с кодом собирается в объектный файл, после чего выполняется проверка дублирующихся глобальных символов во всех объектах и осуществляется компоновка в единых исполняемый файл. Скомпилированные файлы кэшируются и повторно пересобираются только после внесения изменений в связанные с ними файлы с кодом. Возможно опциональное отслеживание изменений в ФС и пересборка после обновления файлов с кодом.

Поддерживаются компиляторы GCC, Clang, G++, Clang++; ассемблеры NASM, GAS, FASM; компоновщики LD, GCC, Clang; архиватор AR. Обязательные предупреждения для C и C++: "-Wall -Wextra -Werror -Wpedantic -Wshadow -Wconversion". По умолчанию включены санитайзеры AddressSanitizer и UndefinedBehaviorSanitizer (отключаются флагом -sanitize=false). Поддерживаются платформы Linux, macOS, Windows (WSL2 и экспериментально нативно).

Основные изменения в версии 1.9.0:

• Добавлен флаг "-target" ‹triple›, позволяющий выполнять кросс-компиляцию для произвольной архитектуры при наличии соответствующего префиксного инструментария. fz самостоятельно определяет имена компилятора, компоновщика и архиватора по указанному идентификатору (например, "arm-linux-gnueabihf-gcc"). Поддерживаются любые стандартные целевые платформы GNU, в том числе arm-linux-gnueabihf, aarch64-linux-gnu и riscv64-linux-gnu.
• Реализована поддержка поддержка протокола LSP (Language Server Protocol). Флаг "-compile-commands" генерирует файл compile_commands.json (Compilation Database) в корне проекта. Файл считывается языковыми серверами clangd и ccls, обеспечивая работу автодополнения, навигации по коду и диагностики в редакторах с поддержкой LSP (Neovim, VSCode, CLion, Emacs и др.).
• Команда fz "-update" перед установкой новой версии теперь сохраняет текущий бинарный файл в /usr/local/bin/fz.old, что позволяет откатиться к предыдущей версии без переустановки.
• Устранена ошибка, при которой в мультидиректорных проектах файлы с одинаковыми базовыми именами из разных подкаталогов перезаписывали объектные файлы друг друга. Имена объектных файлов теперь формируются на основе полного относительного пути к исходному файлу.
• Реализован интерактивный режим "fz -shell" для сборки одиночных файлов.
• Добавлено тестовое покрытие для команд SplitCommand, CmdSet и CmdBuild. Покрытие тестами пакета компоновщика увеличено с 17% до 60%, а покрытие всех пакетов превысило 40%.
• Добавлен механизм подмены CheckTool для тестирования сценариев с отсутствующими компонентами тулчейна.

Изменения предыдущих выпусков:

• В версии 1.8.0 реализована сборка статических библиотек (-type static / -lib), обеспечена уникальность имён объектных файлов в мультидиректорных проектах, исправлены ошибки в подсистеме сборки, связанные с обходом пути "..".
• В версии 1.7.0 добавлена параллельная компиляция (-j N, 0 — автоопределение числа ядер), поддержка линкер-скриптов (-T) и адреса точки входа (-Ttext), интерактивный режим (fz -shell), явный выбор формата вывода (elf32, elf64, bin), компиляция файлов C++ (.cpp, .cc, .cxx) с теми же строгими флагами предупреждений, что и для C.
• В версии 1.6.0 добавлены инициализация проекта (fz -init, создаёт .fz.yaml, .fzignore, README.md), поддержка формата bin (-format bin) для загрузчиков и прошивок, конфигурационные поля libs, flags.cc, flags.asm, flags.ld.
• В версии 1.5.0 реализованы множественные директории источников (source_dirs), явные списки файлов (source_files), шаблоны include/exclude, поле libs для библиотек компоновщика, файл .fzignore, многоуровневое слияние конфигурационных файлов.

DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux

CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию внутри эксплоита, в нём используется уязвимость CVE-2026-31635, исправление для которой было принято в ядро в апреле и вошло в состав ветки 7.0.0 и сформированного 18 апреля выпуска 6.18.23. Проблема проявляется начиная с ядра 6.16.

Как и в случае с серией уязвимостей Dirty Frag новая уязвимость присутствует в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Проблема вызвана ошибкой при проверке размера данных в функции rxgk_verify_response() - вместо проверки "if (auth_len › len)" в коде было указано "if (auth_len ‹ len)", что приводило к передаче в функцию rxgk_decrypt_skb() данных с размером, больше допустимого. При выполнении функции rxgk_decrypt_skb() расшифровка данных осуществлялась с подстановкой изменений напрямую в страничный кэш для исключения лишней буферизации. Из-за неверной проверки размера возникала возможность перезаписи данных в страничном кэше по выбранному смещению.

Эксплуатация уязвимости сводится к чтению файла программы с флагом suid root (для его оседании в страничном кэше) и замене в страничном кэше части кода программы кодом для запуска /usr/bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполнядолжен бытьемый файл с накопителя, а изменённая копия из страничного кэша. В качестве suid-программ в эксплоите предусмотрена возможность использования "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" и "/usr/bin/chsh".

Для эксплуатации уязвимости при сборке ядра должна быть активна опция CONFIG_RXGK, а для автозагрузки доступен модуль ядра rxrpc.ko (в некоторых системах он не собирается). Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модуля ядра rxrpc:

   sh -c "printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"

Дополнительно можно отметить публикацию в списке рассылки разработчиков ядра Linux патчей, полностью отключающих в crypto API (AF_ALG) оптимизации, использующие прямое обращение к страничному кэшу при расшифровке с использованием алгоритмов "skcipher" и "aead". Оптимизации исключают лишнюю буферизацию данных, но создают риски возникновения серьёзных уязвимостей. Предполагается, что их отключение приведёт лишь к незначительному снижению производительности из-за появления дополнительной операции копирования в отдельный буфер. Патчи приняты сопровождающим подсистему crypto API и включены в ветку "cryptodev", в которой развиваются возможности для передачи в основной состав будущих выпусков ядра Linux.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65473

Релиз MyCompany 6.2, открытой платформы для автоматизации малого бизнеса

Основные изменения:

• В производственном модуле появилась система управления рабочими центрами и рабочими заданиями. Рабочие центры описывают производственные участки, а рабочие задания привязываются к производственным заказам и хранят назначенный рабочий центр, плановые дату и время начала и длительность. Добавлен интерактивный дашборд загрузки рабочих центров, на котором планировщик видит загрузку по дням и участкам и может корректировать длительность заданий. Для рабочих заданий реализован цикл статусов «Готово» -> «В работе» -> «Выполнено» с действиями перехода (в том числе массовыми), цветовой подсветкой, фильтрами по статусу, дате, рабочему центру и товару, мультивыбором, историей и комментариями.
• В спецификациях (BoM) появились производственные операции с указанием рабочего центра, времени начала и длительности. Рабочие задания теперь автоматически формируются из операций спецификации при пересчёте строк производственного заказа, включая операции вложенных промежуточных спецификаций, с сохранением связи с исходной спецификацией. Операции и рабочие задания копируются вместе со спецификациями и производственными заказами, а операции можно копировать из других спецификаций прямо на вкладке «Операции». Для компонентов спецификации добавлен поиск по товару и штрихкоду.
• Автозаполнение заказа на закупку теперь учитывает не только потребность отгрузок, но и потребность в материалах для производства. Заказы на закупку можно создавать сразу из выбранных производственных заказов — по ещё не закупленным материалам, с группировкой по поставщику. Служебные затраты из счетов поставщиков можно распределять не только между строками счёта, но и на производственные заказы (по сумме, весу, объёму, количеству и т.п.). В производственном заказе можно вручную указать строку заказа на продажу, а в типе производственного заказа появилась опция увеличения доступного остатка за счёт планового выпуска для заказов в статусах «Ожидание», «Готово» и «В работе». Для типов заказов на продажу и закупку добавлены настраиваемые ограничения на закрытие — пока заказ не полностью отгружён/получен или не оплачен.
• В расчётные листки добавлены типы (например, обычный, премия, аванс) с собственной нумерацией для каждого типа. При формировании пакета расчётных листков выполняется проверка того, что все сотрудники принадлежат компании пакета. Реализована история часовых ставок сотрудников с датами вступления в силу: расчёты за прошлые периоды используют корректные исторические ставки, а ставка для записей времени выбирается по приоритету (назначение на проект -> команда -> историческая ставка сотрудника -> базовая ставка). В карточку сотрудника добавлен блок вложенных файлов (договоры, сканы, сертификаты) и отдельное действие смены пароля вместо встроенного поля.
• В табеле руководителя список сотрудников ограничен активными сотрудниками выбранного проекта; сотрудники с записями времени за период отображаются всегда. В детализации по сотруднику и дате можно скопировать существующую запись времени и создать на её основе новую.
• Реализована поддержка корректировок счетов поставщиков двух типов: «замена» — счёт отражает итоговое исправленное состояние документа, и «разница» — счёт отражает только отклонение от исходного. Добавлен отчёт «Платёжный календарь» с динамикой задолженности по дням, прогнозом остатка денежных средств, разбивкой по типу и партнёру, drill-down к задолженностям и графиком прогноза. Реализован импорт платежей (EnterpriseData). При изменении общей суммы счёта поставщика или счёта на оплату цены строк автоматически пересчитываются. Для заказов и счетов добавлен явный признак включения налога в цену. В тип счёта поставщика добавлен товар по умолчанию, который подставляется в новые строки. Для типа счёта-фактуры добавлена опция, управляющая созданием плановой или фактической отгрузки.
• В CRM добавлен модуль маркетинга для отслеживания источников лидов по измерениям «Кампания», «Канал» и «Источник» — новые поля доступны в карточке и списке лидов, а отчёты по лидам расширены маркетинговыми разрезами; часть значений каналов и источников заполняется по умолчанию. В лид добавлено поле «Товар»: при создании заказа на продажу из такого лида автоматически создаётся строка заказа с указанным товаром и суммой, равной ожидаемой выручке.
• Добавлен отчёт по ценам с возможностью сравнения цен на две даты, цветовой индикацией изменений, фильтром по типам цен и отображением остатков на выбранном складе. В форму автопарка по каждому транспортному средству выведены последние договоры и данные о техобслуживании в разрезе типов. В систему встроен просмотрщик документации в формате Markdown с историей навигации и автоматическим выбором языка. В формы отгрузок, приходов, счетов поставщиков, счетов и заказов добавлены поле и фильтры по коду партнёра, а к счетам партнёров — поле ответственного сотрудника.

Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода

GenCAD - генератор моделей для САПР на основе изображений и эскизов

К обсуждению проекта подключился энтузиаст, который заявил, что создание моделей для САПР может осуществляться без специализированных моделей машинного обучения, используя обычные AI-ассистенты, такие как Aider, OpenClaw и QwenCode, с типовыми AI-сервисами. В качестве примера опубликована коллекция промптов, позволяющих на основе описания, перечня желаемых характеристик и изображений с визуальными примерами генерировать программы для платформы OpenSCAD, формирующие CAD-модели в формате STL или OFF с параметризованной конфигурацией.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65470

Суровые жители города Госрезерва настолько суровы, что даже Озон у них работает в режиме автолавки, и других магазинов нет. Несмотря на то, что госрезерв вряд ли хранит какой-то хлебный резерв на крайний случай, а территория давно окружена новостройками и вссякими псевдомедицинскими и псевдорегилигиозными центрами и явно просится под застройку, аборигены до сих пристально следят за туристами, и шансов пройти незамеченным посетителям городка не оставляют. Необычные двухэтажные сарайчики с двускатными крышами хранят неизвестные артефакты для таинственных фестивале. Вокруг в уничтоженных садоводствах стоят загаженные сараи и теплицы, цветут покинутые сады.
Водопадики Каменки доживают последние дни, уже размеченные под очередную стройку. Карьеры с бесчисленными островами неподалёку служат пристанищем для сотен чаек, чьи крики разносятся далеко над водой при прохождении очередного сап-сёрфера, а ароматные шашлычные дымы застилают горизонт, который можно разглядеть лишь с ближайшего мусорного террикона.

#ленинграднутряной

Выпуск Phosh 0.55.0, GNOME-окружения для смартфонов

Среди изменений:

• Добавлен новый компонент syncbus с реализацией сервера для доступа через D-Bus к функциональности P2P-системы синхронизации файлов Syncthing. На базе библиотеки Adwaita подготовлен начальный прототип мобильного клиента для Syncthing. Код написан на Rust.
• В блок быстрых настроек добавлена кнопка для включения и отключения синхронизации файлов через Syncthing.
• Добавлен интерфейс phosh-first-boot, вызываемый во время первой загрузки для создания пользователя и настройки его окружения. Код написан на Rust.
• На устройствах без датчика освещённости отключена функциональность автоматического изменения яркости и затемнения экрана.
• В композитном сервере Phoc задействованы Wayland-протоколы: "xdg-dialog" для создания модальных диалогов, блокирующих взаимодействие пользователя с остальной частью интерфейса, и ext-data-control-manager-v1 для реализации менеджера буфера обмена. Улучшена реализация модальных диалогов, используя Wayland-протоколы xdg-dialog-v1 и gtk-shell. Добавлен отступ при мозаичной компонентов слева или справа. Улучшена обработка операций сброса GPU.

  Осуществлён переход на выпуск библиотеки wlroots 0.20, в котором реализована поддержка определения цветового представления Wayland-поверхности, управления цветом и использования HDR при помощи протоколов color-representation-v1 и color-management-v1 при использовании бэкенда отрисовки через API Vulkan. Добавлена поддержка Wayland-протоколов cursor-shape-v1 для настройки внешнего вида курсора, ext-workspace-v1 для использования концепции виртуальных рабочих столов и xdg-toplevel-tag-v1 для идентификации окон/поверхностей через привязку тегов.

• В конфигураторе phosh-mobile-settings добавлена новая панель с настройками языка. В настройки экранной клавиатуры добавлена опция для автоматической подстановки пробелов.
• Виджет выбора файлов pfs (Phosh File selector) обновлён до версии 0.1, в которой реализована поддержка закладок. В xdg-desktop-portal-phosh добавлен портал для добавления и использования закладок на файлы и каталоги.
• В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка дисплейных панелей устройств MacBook 14 M1 Pro (2021), MacBook 14 M2 Pro (2023) и Xiaomi Redmi Note 10 Pro.
• Осуществлён переход на компоненты GNOME 50. Обновлены версии зависимостей: ModemManager 1.25.95, wys 0.1.12, callaudiod 0.1.10, Calls 50.0, cellbroadcastd 0.0.3, feedbackd 0.8.9, feedbackd-device-themes 0.8.9, iio-sensor-proxy 3.9, mmsd-tng 2.6.4.

Размер кодовой базы KDE достиг 8 млн строк кода

16.2% от актуального кода приходится на KDE PIM (Personal Information Management), 15.8% на KDE Plasma, 14% - KDE Frameworks, 9.6% - KOffice/Caligra.

Линус Торвальдс раскритиковал приватный разбор отчётов об уязвимостях, созданных через AI

Список рассылки "security@kernel.org" является закрытым и сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать отчёты, отправленные другими участниками, и их обсуждение разработчиками ядра. Приватный разбор созданных через AI-инструменты проблем признан пустой тратой времени, как для сопровождающих, тратящих ресурсы на отсеивание дубликатов, так и для разработчиков, впустую анализирующих проблемы, о которых уже сообщил кто-то другой.

В связи с этим предписано сообщать об уязвимостях, выявленных при помощи AI, только через публичные списки рассылки, за исключением особо критических проблем. Исследователям безопасности рекомендуется не заниматься бездумной переотправкой того, что выдаёт AI-ассистент, а проанализировать проблему, убедиться в её существовании, изучить документацию по отправке отчётов об ошибках, подготовить патч и тщательно проверить, не исправлена ли уже проблема в актуальной кодовой базе ядра, чтобы сопровождающие не отвлекались на написание ответов о том, что проблема уже исправлена неделю или месяц назад.

По мнению Линуса AI-инструменты великолепны, но только когда действительно помогают, а не создают лишнюю головную боль и бессмысленную имитацию работы. Использование AI-инструментов при разработке ядра допустимо, но так, чтобы это приводило к результату и делало работу приятнее.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65467

ModuleJail для блокировки неиспользуемых модулей ядра Linux

В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется под лицензией GPLv3.

Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл /etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобны подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.

При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65466

@vovanium @Revertron @ag причём книга жалоб - это вообще крайний случай. Отрицательная обратная связь, что всё плохо.
А чаевые - положительная обратная связь.

Суровые жители города Госрезерва настолько суровы, что даже Озон у них работает в режиме автолавки, и других магазинов нет. Несмотря на то, что госрезерв вряд ли хранит какой-то хлебный резерв на крайний случай, а территория давно окружена новостройками и вссякими псевдомедицинскими и псевдорегилигиозными центрами и явно просится под застройку, аборигены до сих пристально следят за туристами, и шансов пройти незамеченным посетителям городка не оставляют. Необычные двухэтажные сарайчики с двускатными крышами хранят неизвестные артефакты для таинственных фестивале. Вокруг в уничтоженных садоводствах стоят загаженные сараи и теплицы, цветут покинутые сады.
Водопадики Каменки доживают последние дни, уже размеченные под очередную стройку. Карьеры с бесчисленными островами неподалёку служат пристанищем для сотен чаек, чьи крики разносятся далеко над водой при прохождении очередного сап-сёрфера, а ароматные шашлычные дымы застилают горизонт, который можно разглядеть лишь с ближайшего мусорного террикона.

#ленинграднутряной

@Revertron@zhub.link @fili@mastodon.moscow @ag@zhub.link Зачем такая длинная цепочка обратной связи? Простая схема «ты что-то сделал кому-то хорошо — тебя этот кто-то вознаградил» работает гораздо лучше.

Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine

При запуске Adobe Lightroom CC отображает синхронизированный с облаком каталог и позволяет использовать модуль редактирования с панелью инструментов (освещение, цвета, эффекты, геометрия, оптика, детализация и т.п.). Среди прочего работают инструменты кадрирования/изменения геометрии и удаления/восстановления объектов, что позволяет, например, выровнять горизонт и удалить случайно попавших в кадр людей. Из ещё неработающих возможностей отмечены аварийные завершения при попытке открытия некоторых диалогов, таких как "What's New", и не полное задействование средств для ускорения операций при помощи GPU. В остальном основные функции редактирования работоспособны.

Изменения подготовлены автономно моделью Claude Opus 4.7, используемой через AI-ассистент Claude Code. Модель циклично запускала Adobe Lightroom CC при помощи Wine, анализировала crash-дапмы и логи Wine, изучала исполняемые файлы Adobe при помощи winedump, objdump и разбор сктруктур в формате PE, сравнивала эталонные и предоставляемые в Wine и Proton библиотеки для выявления недостающих функций, модифицировала исполняемые файлы, создавала DLL с заглушками и выполняла проверку работы через анализ скриншотов.

Ну что ж, с первой парной баней в электричке!

Выпуск системы тестирования памяти Memtest86+ 8.10

Основные новшества:

• Добавлен опционально включаемый тёмный режим интерфейса.
• Реализована поддержка новых моделей CPU AMD и Intel.
• Ускорено определение многоядерных CPU.
• Добавлен вывод информации с датчиков температуры памяти DDR5.
• Решены проблемы с проверкой разогнанной памяти DDR5 XMP 3.0 (Extreme Memory Profile).
• Улучшена поддержка шаблонов BadRAM для исключения дефектных областей памяти из адресного пространства.
• Улучшено определение SPD (Serial Presence Detect) на старых чипах ICH (I/O Controller Hub).
• Улучшена поддержка консоли VTxxx.
• Улучшена поддержка архитектуры Loongson.
• Добавлена поддержка сборки с использованием компилятора CLang и компоновщика LLD.
• Обеспечена сборка единого исполняемого файла для UEFI и старых методов загрузки.

На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Windows 11 и AI-агентов

Суммарный размер выплаченных вознаграждений составил более $1.2 миллиона долларов США ($1,298,250). Наиболее успешная команда DEVCORE сумела заработать на соревнованиях 505 тысяч долларов США. Обладатели второго места (STARLabs SG) получили 242 тысяч долларов, а третьего (Out Of Bounds) - 95 тысяч долларов.

Осуществлённые атаки:

• Red Hat Enterprise Linux: 4 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения, состоянием гонки и использованием неинициализированной памяти. Участникам выплачено $20,000, $10,000, $7,000 и $5,000.
• Windows 11: 5 успешные атаки, позволившие получить права администратора. Уязвимости вызваны целочисленным переполнением, переполнением буфера, обращением к памяти после освобождения и некорректным управлением доступом. Участникам выплачено $30,000, две премии по $15,000 и две премии по $7,500.
  
  
  
• VMware ESX: атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено $200,000.
• NV Container Toolkit: 2 успешные атаки, позволившие обойти изоляцию контейнера. Проблемы вызваны обращением к памяти после освобождения. Участникам выплачено $25,000 и $50,000
  
  
  
• Microsoft Edge: Удалённое выполнение кода c обходом sandbox. Участникам выплачено $175,000.
• Microsoft SharePoint: Удалённое выполнение кода. Участникам выплачено $100,000.
• Microsoft Exchange: Удалённое выполнение кода с правами SYSTEM. Участникам выплачено $200,000.
  
  
  
• OpenAI Codex: 4 успешных взлома. Выплачено: $40,000, две премии по $20,000 и $10,000.
• NVIDIA Megatron Bridge: 4 успешных взлома. Выплачено: $20,000, две премии по $10,000, $2,500.
• Anthropic Claude Code: 3 успешных взлома. Выплачены три премии по $20,000.
• LM Studio: 2 успешных взлома. Выплачено: $40,000 и $20,000.
• Cursor: 2 успешных взлома. Выплачено: $30,000 и $15,000.
• LiteLLM: 3 успешных взлома. Выплачено: $17,750, $40,000 и $8,000.
• Chroma: Один взлом, выплачено $20,000.
• Ollama: Один взлом, выплачено $28,000.
• Anthropic Claude Desktop: Один взлом, выплачено $10,000.

Кроме вышеотмеченных успешных атак, 7 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома VMware ESXi, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux, Firefox, OpenAI Codex, Oracle Autonomous AI Database, NV Container Toolkit.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65464

Новые версии Debian 12.14 и 13.5

Для загрузки и установки "с нуля" в ближайшие часы будут подготовлены установочные сборки c Debian 13.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.5, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.

Одновременно доступен новый выпуск предыдущей стабильной ветки Debian 12.14, в который включено 99 обновлений с устранением проблем со стабильностью и 145 обновлений с устранением уязвимостей. Обновлены до свежих стабильных версий пакеты 7zip, apache2, arduino-core-avr, dpkg, openssl, postgresql-15, wireless-regdb. Удалены пакеты suricata (актуальная версия имеется в бэкпортах) и zulucrypt (остался без сопровождения и имеет неустранённые уязвимости).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65462

Правильное краеведение от Алексея Глухова!

#ЛенинградНутряной

Модель угроз и особенности оценки уязвимостей в ядре Linux

Основную массу связанных с безопасностью ошибок предписывается обрабатывать публично, чтобы привлечь максимально широкую аудиторию и найти оптимальное решение. В отдельный приватный список рассылки предлагается отправлять только экстренные сообщения об уязвимостях, легко эксплуатируемых, представляющих угрозу для многих пользователей и позволяющих получить расширенные привилегии или возможности.

Уязвимости, выявленные при помощи AI-ассистентов, всегда предлагается обсуждать публично, так как подобные проблемы часто обнаруживаются одновременно несколькими исследователями. При этом не следует раскрывать в отчёте экплоит - достаточно упомянуть, что он доступен, и передать его в частном порядке в ответ на запрос сопровождающего.

Отдельно описываются правила передачи отчётов, созданных при помощи AI-ассистентов. Подобных отчётов присылают очень много и благодаря им время от времени удаётся выявлять ошибки в плохо отрецензированных частях кода, но сопровождающие часто их игнорируют из-за низкого качества и неточностей. Основные требования к отчётам, созданными при участии AI:

• Краткость, без воды и с указанием сути и важных деталей в самом начале.
• Только голый текст без Markdown-тегов и декорирования.
• Понимание модели угроз и указание проверяемых фактов (например, "ошибка позволяет любому пользователю получить CAP_NET_ADMIN"), а не теоретических измышлений и домыслов о последствиях уязвимости.
• Перед отправкой отчёта обязательно тщательно протестировать работоспособность эксплоита, сформированного через AI, и убедиться в возможности воспроизвести проблему.
• Привлечение AI для разработки и тестирования исправления выявленной проблемы.

По статистике сопровождающих, большинство отчётов об ошибках, присылаемых под видом устранения уязвимостей, таковыми не являются, и должны обрабатываться в общем порядке как обычные ошибки. Для разделения уязвимостей и обычных ошибок описана модель угроз ядра Linux. Среди возможностей и гарантий, нарушение которых может рассматриваться как уязвимость:

• Изоляция на уровне пользователей: доступ к файлам только для владельца, память процесса недоступна другим пользователям, ptrace запрещён для чужих процессов, изоляция IPC и сетевых коммуникаций.
• Защита на основе capabilities: без CAP_SYS_ADMIN нельзя менять конфигурацию ядра, память, состояние системы, без CAP_NET_ADMIN нельзя менять сетевые настройки или перехватывать трафик, без CAP_SYS_PTRACE нельзя отслеживать процессы других пользователей.
• Пространство имён идентификаторов пользователей (CONFIG_USER_NS) позволяет непривилегированным пользователям создавать свои изолированные окружения, из которых нельзя влиять на глобальное пространство имён, например, менять время, загружать модули и монтировать блочные устройства.
• Отладочные интерфейсы (/proc/kmsg, perf, debugfs), через которые можно получить доступ к конфиденциальной информации, доступны только после явного предоставления доступа администратором.

Возможности, которые не рассматриваются как уязвимости:

• Использование устаревших веток ядра.
• Сборка с включением опций для разработчиков или снижающих безопасность (например, CONFIG_NOMMU).
• Выставление небезопасных настроек sysctl, опций командной строки, прав доступа в ФС, capabilities или открытие непривилегированным пользователям доступа к привилегированным интерфейсам (например, доступ на запись в procfs и debugfs).
• Проблемы в функциях, предназначенных только для разработки и отладки ядра, таких как LOCKDEP, KASAN и FAULT_INJECTION, которые не предназначены для включения в рабочих конфигурациях.
• Проблемы в драйверах, модулях и подсистемах, находящихся в секции STAGING или помеченных как экспериментальные, небезопасные или неработоспособные.
• Использование сторонних модулей ядра или неофициальных форков ядра.
• Требование избыточных привилегий, таких как необходимость выполнения действий с правами root или от пользователя, имеющего права CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_SYS_RAWIO и CAP_SYS_MODULE.
• Теоретические атаки, требующие лабораторных условий, миллиардов попыток, эмуляции или модификации оборудования, несоразмерных затрат и нереалистичных конфигураций (например, системы с десятками тысяч ядер CPU).
• Обход механизмов защиты (например, ASLR) без демонстрации эксплоита. Отсутствие проверок аргументов и возвращаемых кодов ошибок, не имеющих явных последствий.
• Случайные утечки информации, неподконтрольные атакующим, такие как остаточные данные в сообщениях об ошибках и утечки адресов/указателей на память ядра без прямой возможности эксплуатации.
• Ошибки при монтировании повреждённых дисковых образов, если драйвер не заявлен как пригодный для использования с не заслуживающими доверия носителями. Проблемы с дисковыми образами, выявляемые и устраняемые через запуск утилиты fsck.
• Атаки требующие физического доступа к оборудованию, модификации оборудования или подключения аппаратных устройств, таких как платы для атаки на DMA и логические анализаторы, если система специально не настроена для защиты от подобных атак (IOMMU).
• Регрессии c функциональностью и производительностью, устраняемые настройкой прав и лимитов.

Релиз Erlang/OTP 29

Основные новшества:

• В SSH-сервере по умолчанию отключены сервисы shell и exec, а также подсистема SFTP. Для выполнения Erlang-кода аутентифицированными пользователями через SSH теперь требуется изменение настроек. В SSH по умолчанию активирован гибридный алгоритм обмена ключами mlkem768x25519-sha256.
• В библиотеке SSL в конфигурации по умолчанию выставлен наиболее приоритетным гибридный алгоритм обмена ключами "x25519mlkem768", стойкий к подбору на квантовом компьютере и представляющий собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber).
• Добавлен атрибут "-unsafe" для пометки функций небезопасными (unsafe). В библиотеке Erlang/OTP подобные функции помечены и для них компилятор теперь выдаёт предупреждение. Добавлена возможность отслеживания через xref вызова unsafe-функций и функций без документации.
• Для корректной работы сторонних сборочных инструментов, таких как Rebar3, фильтрация игнорируемых вызовов (ignore_xref) теперь выполняется непосредственно внутри xref.
• Добавлен модуль ct_doctest для автоматического тестирования примеров кода из документации.
• Добавлен модуль io_ansi для создания консольных приложений, поддерживающих подстановку в терминал ANSI-последовательностей (Virtual Terminal Sequences), например, для изменения стиля и цвета текста.
• При поиске файловых путей с кодом (PATH) текущий каталог (".") перемещён с первой на последнюю позицию списка и теперь проверяется в последнюю очередь.
• Прекращено формирования 32-разрядных сборок для Windows.
• Реализован полноценный отдельный тип данных для записей (native record, EEP-79), который можно использовать вместо традиционных записей, построенных на кортежах.
• Добавлен ограничитель "is_integer/3" для проверки целых чисел на принадлежность диапазону (например, "is_integer(I, 0, 100)").
• Реализованы генераторы списков с множественными значениями (EEP-78), возвращающие несколько элементов за итерацию (например, "[-I, I || I <- [1, 2, 3]]" выдаст "[-1,1,-2,2,-3,3]").
• Добавлен флаг compr_assign, позволяющий связывать переменные прямо внутри генераторов (например, "[H || E <- List, H = erlang:phash2(E), H rem 10 =:= 0]").
• В JIT-компиляторе улучшена генерация машинного кода для сопоставления и создания бинарных данных с несколькими little-endian сегментами.
• В компиляторе повышена эффективность генерируемого кода в ситуациях, когда значения в "map" не зависят от генератора (например, "#{K => 42 || K <- List}").
• В компиляторе реализован вывод предупреждений при использовании устаревшего оператора "catch" вместо "try...catch", экспорта переменных из подвыражений (например, "file:open(File, AllOpts = [write, {encoding,utf8}])"), использования "and"/"or" вместо "andalso"/"orelse", указания неоптимальных шаблонов сопоставления (например, "{a,B} = {X,Y}").
• В STDLIB реализованы функции rand:shuffle/1 и rand:shuffle_s/2 для перемешивания списков в случайном порядке.

Начало разработки KDE Plasma 6.8. Улучшение удалённой работы с рабочим столом в KDE

Среди изменений, добавленных за прошедшую неделю в ветку KDE 6.7:

• Во встроенный сервер для организации удалённой работы с рабочим столом (krdp), реализующий протокол RDP, добавлена поддержка режима прогрессивного кодирования (Progressive Encoding Mode), который может использоваться для клиентов, не поддерживающих кодек H.264, имеющих проблемы с работой кодека или использующих канал связи с недостаточной пропускной способностью. Переключение между H.264 и прогрессивным кодированием производится динамически. Отмечается, что прогрессивное кодирование более эффективно при такой активности в сеансе, как редактирование текста, при которой содержимое экрана меняется не часто и изменяется незначительно. Кроме того, в сервер krdp внесены оптимизации для повышения производительности и снижения задержек.
• В Kwin добавлена поддержка версии 3.2 протокола text-input, позволяющего композитным серверам реализовывать методы ввода и отправлять текст в приложения. В новой версии протокола реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа и скрытия панели ввода, добавлен флаг preedit_hint для настройки стиля предварительного редактирования.
• Предоставлена возможность настройки ситуаций, в которых показывается виртуальная клавиатура. Например, кроме включения/выключения поддержки виртуальной клавиатуры теперь можно привязать её показ к наличию сенсорного экрана и планшета на системах с подключённой мышью и без неё.
• При создании скриншотов реализована функций избранного исключения из снимка выбранных окон, которая ранее была доступна только для скринкастов.
• Опция для закрепления окна поверх других окон перемещена из вложенного подменю в основную часть контекстного меню, показываемого в заголовке окна.
• В менеджере приложений Discover на странице со списком установленных программ по умолчанию включена разбивка на категории для упрощения поиска искомого приложения.
• Вместо проявления и затухания уведомлений, они теперь плавно выезжают сбоку и уезжают за край экрана, что позволяет привлечь к ним больше внимания, но при этом не сделать их навязчивыми.
  
  <video><source src="https://blogs.kde.org/2026/05/16/this-week-in-plasma-6.7-beta-release/sliding-notifications.webm"></video>
• Реализована поддержка запоминания подтверждённого пользователем разрешения на доступ к захвату устройства ввода, которое раньше требовалось подтверждать при каждом запросе.
• В интерфейсе запуска программ Kickoff улучшен запуск приложений нажатием Enter после быстрого набора поискового запроса.
• Для просмотра изображений в формате SVG по умолчанию задействовано приложение Gwenview вместо GIMP.
• Улучшена поддержка разблокировки сеанса при помощи смарткарты.

Из изменений в ветке KDE Plasma 6.8 можно отметить реализацию в виджете настройки беспроводной сети опции для автоматического выбора беспроводного канала при работе в режиме точки доступа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65460

@kpmy

раньше один разработчик вёл один проект, то сейчас один человек может вести четыре [...] зарабатывают примерно на 25% больше.

Нет ли здесь найопки? 🤔

"I’m not kidding, I really do enjoy computing like this."

http://ratfactor.com/ascetic-computing

Migrating mail servers from exim to OpenSMTPD (smtpd) is fun and useful

However, that software has had its share of security issues over the years, and during the preparations for the OpenBSD 7.9 release, the ports maintainers decided that

"History of security issues + setuid root is a terrible combo."

This meant that the mail service needed to migrate to something else, and Peter wrote up a short article about migrating a multi-domain, multi-site setup to smtpd: OpenSMTPD Is The Mail Server For The Future. The article has a working configuration and advice on how to proceed.

Новые версии Wine 11.9 и Wine-staging 11.9

Наиболее важные изменения:

• В состав включена библиотека SQLite 3.51.1.
• Реализована начальная поддержка системных потоков. В ntdll добавлены функции для создания потока с использованием pthread.
• Добавлена поддержка приостановки потока в эмулируемом коде при выполнении на системах ARM64.
• Улучшена совместимость с VBScript.
• В драйвере winewayland.drv, позволяющем использовать Wine в окружениях на базе протокола Wayland, для выставления позиции курсора задействован Wayland-протокол wp_pointer_warp_v1, позволяющй мгновенно переместить указатель в указанную позицию.
• В d3d9 добавлена фиктивная последовательность инициализации таблицы виртуальных методов (d3d9_device_vtbl, Virtual Method Table), включающая только метод d3d9_device_GetDisplayModeEx. Изменение позволило обеспечить совместимость с платформой онлайн-игр BFME Online Arena.
• Закрыты отчёты об ошибках, связанные с работой приложений: Lotus Notes 8.x, Photoshop CS 2, Logos 9, WinSCP, Homesite 5.5, GOM Player, Graphpad Prism 9, GXSCC, ExamDiff Pro Fileeditor, SteelSeries GG 110.0.
• Закрыты отчёты об ошибках, связанные с работой игр: Wargaming Game Center, Command & Conquer 3, Command & Conquer Red Alert 3.

Одновременно сформирован выпуск проекта Wine Staging 11.9, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 273 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.9 и обновлён код vkd3d. В основной состав Wine перенесены патчи, устраняющие проблемы со сборкой vkd3d при помощи инструментария mingw и добавляющие в устройство d3d9 фиктивную последовательность инициализации vtbl.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65459

Microsoft 3D Movie Maker портирован для Linux

Программа 3D Movie Maker позволяет детям создавать фильмы, размещая трёхмерных персонажей и реквизит в заранее сформированном окружении, а также добавляя звуковые эффекты, музыку и диалоги. Несмотря на то, что программа разработана в 1995 году, энтузиасты до сих пор продолжают публиковать фильмы в формате 3mm, а также развивать моды и расширения с реализацией новых сцен, персонажей и реквизита.

Двор пятиэтажки. Натурально, без добавления мальмового пасла и Ai. #Moscow #Москва

After being inspired by a submitted patch to support #Linux, I decided to put together a very dinky micro-site for #minwm (extremely minimal window manager)

https://minwm.btxx.org

#openbsd #desktop

Проезжаю на электричке: «ГЛУШЬ ЕБАНАЯ».

@CheekiBreeki finally jihad.

Rocky Linux ввёл в строй репозиторий для оперативного устранения уязвимостей

В репозитории "security" будут публиковаться только экстренные обновления, cформированные когда без предварительного уведомления раскрыты сведения о критических уязвимостях и имеется рабочий эксплоит, но разработчики RHEL не успели сформировать обновления с исправлениями. Подобная ситуация наблюдалась с уязвимостями Copy Fail, Dirty Frag и Fragnesia.

Благодаря репозиторию "security" проект Rocky Linux сможет самостоятельно оперативно опубликовать обновления, не дожидаясь пока это сделает компания Red Hat. После выхода исправления от RHEL, опубликованный для RHEL пакет заменит собой пакет с исправлением от Rocky Linux. По умолчанию репозиторий "security" отключён и требует выполнения команды "sudo dnf --enablerepo=security update" для активации.

Тем временем, дистрибутив Alma Linux не дожидаясь RHEL публиковал обновления пакетов для оперативного устранения уязвимостей ssh-keysign-pwn, NGINX Rift, Fragnesia, Dirty Frag и Copy Fail. Вначале пакеты размещались в тестовом репозитории "almalinux-testing", а затем переносились в основной.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65457