Выпуск web-браузера Chrome 143

Основные изменения в Chrome 143:

• Объявлена устаревшей и запланирована к отключению в выпуске Chrome 155 поддержка языка преобразования XML-документов XSLT, в том числе объявлены устаревшими API XSLTProcessor и инструкции разбора таблиц стилей XML. В качестве причины упоминаются риски безопасности, вызванные использованием библиотеки libxslt, которая имеет проблемы с сопровождением и является источником совершения атак на браузеры, при том, что доля web-страниц, на которых используется XSLT, оценивается в 0.02%.
• Добавлены новые возможности AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. Для перехода в AI-режим, который пока доступен только на платформах macOS и Windows, достаточно нажать клавишу табуляции перед началом ввода в адресной строке.
• Библиотека ICU обновлена до версии 77.1 с поддержкой Unicode 16 и обновлением данных локалей.
• В CSS добавлен селектор "@container anchored(fallback)", позволяющий менять стиль элементов, привязанных к позиции других элементов, в зависимости от выбранной браузером альтернативной позиции, заданной через свойство "position-try-fallbacks" для предотвращения выхода элемента за границу внешнего блока или области просмотра.
• В CSS-свойства "background-position-x" и "background-position-y" добавлена возможность определения позиции фонового изображения относительно одного из краёв блока. Например, "background-position-x: left 30px;".
• Добавлено CSS-свойство "font-language-override" для переопределения языка, используемого для замены глифов в шрифтах OpenType, предоставляющих специфичные для определённых языков варианты глифов. Например, 'font-language-override: "RUS";'.
• В API WindowEventHandlers добавлена поддержка обработки событий ongamepadconnected и ongamepaddisconnected для отслеживания подключения и отключения геймпадов.
• В JavaScript API для работы с DOM в именах и префиксах создаваемых элементов и атрибутов разрешено использование дополнительных символов, допустимых в парсере HTML.
• При использовании API WebTransport разрешено согласование протокола, используемого для взаимодействия сервера с web-приложением (при создании объекта WebTransport приложение может указать список допустимых протоколов).
• В режиме Origin trial добавлен API Web Install, предоставляющий метод navigator.install() для инициирования установки web-приложений сайтами, что может быть использовано при создании каталогов-магазинов web-приложений или для упрощения установки web-приложений для работы с текущим сайтом. Установка производится после явного подтверждения операции пользователем.
• Внесены улучшения в инструменты для web-разработчиков. Расширены возможности экспериментального сервера MCP (Model Context Protocol), позволяющего обращаться к возможностям Chrome DevTools из внешних AI-ассистентов. В панель Elements добавлена поддержка отладки CSS-правил @starting-style. Панель аудита обновлена до выпуска Lighthouse 13. При экспорте результатов отслеживания производительности предоставлена возможность включения в архив содержимого файлов HTML, CSS и JavaScript, а также source map.

Кроме нововведений и исправления ошибок в новой версии устранены 13 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 13 премий и выплатила 18 тысяч долларов США (одна премия $11000, две премии 3000 тысяч долларов и одна премия $1000). Размер 9 вознаграждений пока не определён.

Кандидаты в релизы Wine 11 и Wine-staging 11

Наиболее важные изменения:

• Движок Wine Mono обновлён до выпуска 10.4.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework.
• Данные локализации обновлены до версии Unicode CLDR 48 (Unicode Common Locale Data Repository).
• Реализована поддержка работы на 64-разрядных системах модуля TWAINDSM для сканеров.
• Закрыты отчёты об ошибках, связанные с работой приложений: Photoshop CS 2, Office 2013, Tapps2, DirMaster, Gramps 5.2.0, FL Studio, cmd.exe.
• Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil 2, King's Quest: Mask of Eternity, Mahjong, Mugen, Oblivion, Mass Effect Legendary.

Кроме того, сформирован выпуск проекта Wine Staging 11.0-rc1, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 253 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.0-rc1 и перенесены свежие изменения из vkd3d.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64388

Сбой в Cloudflare из-за проблемы в коде на языке Lua

Чтобы защитить системы клиентов от критической уязвимости (CVE-2025-55182) в серверных компонентах фреймворка React, после появления в публичном доступе эксплоита, инженеры Cloudflare реализовали защиту на уровне WAF. С внедрением защиты не всё пошло гладко: в процессе внедрения был увеличен размер буфера для проверки трафика на прокси-серверах, но оказалось, что применяемый для тестирования WAF инструментарий не поддерживает выставленный размер буфера. Так как данный инструментарий не влияет на трафик, было решено отключить его.

Для отключения инженеры воспользовались подсистемой "killswitch" для быстрого изменения конфигурации и отключения отдельных Lua-обработчиков на прокси-серверах без замены правил. Подобный метод отключения правил периодически применяется для быстрого устранения ошибок и приводит к пропуску выполнения части Lua-кода. При этом инженеры не учли, что для вызова отключаемого тестового инструментария в Lua-правилах применялся метод "execute", запускающий дополнительный набор правил. Ранее режим "killswitch" никогда не применялся с правилами, имеющими вызов "execute", и данная комбинация не тестировалась.

Применение "killswitch" привело к тому, что код с определением дополнительного тестового набора правил был отключён, но вызов этого набора правил через "execute" остался. В коде не было дополнительных проверок существования объекта и подразумевалось, что при наличии в наборе правил действия "execute", объект "rule_result.execute" обязательно существует. В итоге, произошла попытка выполнения метода "execute" для неинициализированного объекта, которая привела к аварийному завершению обработчика с ошибкой "attempt to index field 'execute' (a nil value)".

   if rule_result.action == "execute" then
     rule_result.execute.results =  ruleset_results[tonumber(rule_result.execute.results_index)]
   end

Выпуск пакетного фильтра nftables 1.1.6

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные изменения:

• Обеспечена полная поддержка шаблонов легковесных туннелей, таких как vxlan, geneve и erspan:

         table netdev global {
                tunnel t1 {
                        id 10
                        ip saddr 192.168.2.10
                        ip daddr 192.168.2.11
                        sport 1025
                        dport 20020
                        ttl 1
                        erspan {
                                version 1
                                index 2
                        }
                }
   
                tunnel t2 {
                        id 10
                        ip saddr 192.168.3.10
                        ip daddr 192.168.3.11
                        sport 1025
                        dport 21021
                        ttl 1
                        erspan {
                                version 1
                                index 2
                        }
                }
     
                chain in {
                        type filter hook ingress device veth0 priority 0;
      
                        tunnel name ip saddr map { 10.141.10.12 : "t1", 
  10.141.10.13 : "t2" } fwd to erspan1
                }
         }
  
  Перед загрузкой правил следует создать сетевой интерфейс erspan1:
     ip link add dev erspan1 type erspan external
  
  

• Добавлена поддержка масок в именах сетевых интерфейсов в обработчиках netdev, например, для добавления базовой цепочки в фильтр входящего трафика для всех устройств vlan можно указать:

         table netdev t {
                chain c {
                        type filter hook ingress devices = { "vlan*", "veth0" } 
  priority filter; policy accept;
                }
         }
  

• На системах с ядром Linux 6.18+ реализована поддержка передачи L2-кадров в интерфейс сетевых мостов для локальной обработки, например, для направления в IP-стек всех Ethernet-кадров для MAC-адреса de:ad:00:00:be:ef можно указать:

      table bridge global {
              chain pre {
                      type filter hook prerouting priority 0; policy accept;
                      ether daddr de:ad:00:00:be:ef meta pkttype set host ether 
  daddr set meta ibrhwaddr accept
              }
      }
  

• Добавлена новая инфраструктура для fuzzing-тестирования с использованием инструментария afl++ (american fuzzy lop++), включаемая на этапе сборки через "./configure --with-fuzzer".

В GNOME реализовали восстановление приложений, запущенных до закрытия сеанса

Выпуск дистрибутива Oracle Linux 10.1

Помимо пакета с ядром из состава RHEL (на базе ядра 6.12) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel 8.1 (UEK 8U1), также основанное на ядре Linux 6.12 и оптимизированное для работы с промышленным программным обеспечением и оборудованием Oracle. В обновлении ядра UEK 8U1 по умолчанию включена опция SECURITY_DMESG_RESTRICT, разрешающая доступа к dmesg только при наличии прав root. Драйверы megaraid_sas, mpi3mr и mpt3sas бэкпортированы из ядра 6.15.

Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро Unbreakable Enterprise Kernel устанавливается по умолчанию, позиционируется в качестве альтернативы штатному пакету с ядром RHEL и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме дополнительного ядра по функциональности выпуски Oracle Linux 10.1 и RHEL 10.1 полностью идентичны (список изменений можно посмотреть в анонсе RHEL 10.1).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64385

Представлен Proxmox Datacenter Manager 1.0

Proxmox Datacenter Manager позволяет через один web-интерфейс инспектировать все подключённые узлы и кластеры, управлять сложными и распределёнными инфраструктурами с масштабированием от отдельных локальных установок до управления территориально разделёнными датацентрами. Среди прочего возможно централизованное выполнение таких действий, как live-миграция виртуальных машин между разными кластерами. Бэкенд и интерфейс оптимизированы для управления большим числом узлов, например, в тестовом внедрении показана возможность управления более 5 тысячами хостов и 10 тысячами виртуальных машин.

Основные возможности:

• Системное окружение на базе Debian 13.2, ядра Linux 6.17 и OpenZFS 2.3.4.
• Поддержка аутентификации через LDAP, Active Directory и OpenID Connect.
• Возможность управления системами, использующими Proxmox Virtual Environment и Proxmox Backup Server.
• Возможность создания в web-интерфейсе настраиваемых сводных экранов (dashboard), представлений и отчётов о состоянии c поддержкой фильтрации и сортировки по хостам, ресурсам, типу ресурсов и привязанным тегам. Возможно выборочное предоставление доступа сотрудников только к необходимым dashboard-ам без открытия доступа к остальным частям интерфейса и возможностям администрирования.
• Система централизованного сбора, агрегирования и визуализации метрик. Единый интерфейс для оценки общего состояния всех кластеров и потребления критических ресурсов, таких как CPU, ОЗУ и ввод/вывод. Визуализация ключевых индикаторов и метрик производительности для выявления на ранней стадии узких мест и потенциальных проблем. Локальное кэширование метрик с возможностью просмотра последнего известного состояния в случае аварий и нарушений сетевой связанности.
• Возможность поиска ресурсов с фильтрации по их типу (сервер, VM, контейнер), состоянию и тегам. Поддержка языка поисковых запросов в стиле Elasticsearch и GitHub
• Система управления привилегиями пользователей на базе RBAC (Role-Based Access Control) и сводная система логов для упрощения аудита и отслеживания истории выполнения операций.
• Централизованное управление жизненным циклом виртуальных машин и контейнеров в инфраструктуре виртуализации. Выполнение запуска, остановки и настройки виртуальных машин, контейнеров и хранилищ данных через один интерфейс.
• Централизованный механизм управления установкой обновлений и отслеживания актуальности версий программ. Поддержка инициирования прямой установки обновлений и патчей через интерфейс Proxmox Datacenter Manager. Унифицированный доступ по SSH ко всем подключённым хостам из одной консоли.
• Начальная интеграция стека программно определяемых сетей (SDN, Software-Defined Networking) с межкластерным сетевым взаимодействием на базе EVPN (Ethernet VPN) и созданием виртуальных сетей (VNet).

Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess).
• CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off".
• CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
• CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "‹!--#exec cmd=...--›" в конфигурациях с mod_cgid вместо mod_cgi.
• CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

• Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
  • Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива "MDRenewViaARI on|off".
  • Реализована директива "MDInitialDelay" для выставления задержки проверки сертификата после перезапуска сервера.
  • До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
  • Прекращена поддержка VPN-сети Tailscale.
  • Устранены ошибки и утечка памяти.
• Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива "H2MaxStreamErrors" для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
• В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
• В mod_proxy_http2 реализована директива "ProxyErrorOverride" для переопределения кодов ошибок.
• В mpm_common добавлена директива "ListenTCPDeferAccept", через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
• В mod_ssl добавлена директива "SSLVHostSNIPolicy" для настройки правил совместимости для виртуальных хостов.

Выпуск операционной системы Solaris 11.4 SRU87

Среди изменений в новой версии:

• Firefox и Thunderbird обновлены до ESR-ветки 140 (ранее использовалась ветка 128).
• В состав включён набор компиляторов GCC 15.2 Обновлены версии GCC 12.5.0 и 13.4.0.
• Обновлены версии программ, среди которых BIND 9.18.41, 7-Zip 25.01, git 2.50.1, golang 1.25.3, openssl 3.0.18, sudo 1.9.17p1, suricata 7.0.11, vim 9.1.1591, babel 2.17.0, flac 1.5.0, libjpeg 9f, openldap 2.6.10, rust 1.87.0, wxwidgets 3.2.8.1 и xorg-server 21.1.18.
• В утилиту useradd добавлена опция "-N" для активации учётной записи без необходимости отдельного запуска утилиты "passwd -N" или указания пароля. Также добавлена опция "-U" для перевода учётной записи в неактивированное состояние (UP). В состоянии UP запрещено подключение пользователя к системе даже при подсоединении без пароля по SSH-ключу.
• В утилиту sxadm добавлена поддержка включения защиты от микроархитектурной атаки TSA (Transient Scheduler Attack) на CPU AMD.
• В утилиту fmthard добавлена опция "-c" (clear) для очистки меток разделов MBR, VTOC и GPT/EFI, а также опция "-e" (GPT/EFI) для принудительного сохранения метки GPT/EFI вместо VTOC.
• Добавлен системный сервис svc:/system/check/bind для проверки конфигурации DNS-сервера BIND через запуск утилиты named-checkconf.
• В croinfo добавлена новая команда cableinfo для вывода информации о применяемых SAS-кабелях (Serial-Attached SCSI).
• В утилиту ldm добавлены команды add-devalias, list-devalias и remove-devalias для управления псевдонимами устройств для гостевых систем в LDoms Manager (ldmd).
• В команде zoneadm добавлена поддержка образов изолированных зон в форме архивов flar, сжатых при помощи gzip/bzip2 (например: "zoneadm -z s10z install -u -a /root/s10u11-x86.flar.bz2").
• В отладчик MDB добавлена поддержка вывода аннотаций по типу и выставления размеров массивов.
• Добавлен пакет pkg:/system/management/oracle-cloud-agent с плагинами gomon (мониторинг производительности) и runcommand для Oracle Cloud Agent.

Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2

В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными. В около 70% из этих репозиториев размещён файл content.json, в 50% - файл truffleSecrets.json, а в 80% - environment.json, содержащие ключи доступа, конфиденциальные данные и переменные окружения, найденные на системе разработчика, установившего вредоносный пакет с червём. Также в данных репозиториях выявлено около 400 файлов actionsSecrets.json с ключами, найденными в окружениях для выполнения GitHub Actions.

В файлах contents.json присутствовало более 500 уникальных учётных данных и токенов для подключения к GitHub. В файлах truffleSecrets.json содержались конфиденциальные данные, найденные в результате выполнения на поражённой системе утилиты TruffleHog, собирающей более 800 типов данных, среди которых ключи доступа, ключи шифрования, пароли и токены, используемые в различных сервисах, облачных окружениях, продуктах и СУБД. Всего в truffleSecrets.json выявлено более 400 тысяч уникальных записей из которых около 2.5% (~10000) было верифицировано.

Предполагается, что попавшая в открытый доступ конфиденциальная информация может стать отправной точкой для новой волны атак, так как многие данные остаются актуальны. Например, проверка показала, что 60% токенов доступа к NPM, захваченных с поражённых червём систем, остаются действующими.

В отчёте также приводится общая статистика, полученная на основе анализа переменных окружения с поражённых систем. 23% запусков червя произошли на компьютерах разработчиков, а 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - GitLab CI, 3% - AWS CodeBuild). На 87% систем использовался Linux, 12% - macOS и 1% - Windows. 76% запусков было в контейнерах, 13% - в основных системах.

60% всех инфицированний произошло из-за установки вредоносных релизов пакетов @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3. В 99% проценте случаев червь был активирован при запуске команды "node setup_bun.js", указанной в package.json в секции preinstall (оставшиеся 1% вероятно приходятся на попытки тестирования).

Выпуск geoip 0.1.0, реализации REST API для определения местоположения по IP

Основные возможности сервиса:

• Высокая производительность и низкое потребление памяти, благодаря использованию компилируемого в машинный код языка без сборoщика мусора.
• Предоставление информации об IP-адресе (страна, город, почтовый индекс, координаты, оператор связи и др.) через REST API на основе данных MaxMind GeoLite2 (бесплатно) и MaxMind GeoIP2 (платно).
• Определение текущего IP-адреса пользователя (доступно через отдельный эндпойнт; параметр ip основного эндпойнта является необязательным).
• Настраиваемые автоматические обновления баз данных (как с официальных ресурсов MaxMind с использованием Account ID и Licence Key, так и с пользовательского URL с поддержкой авторизации; возможно указание интервала проверки обновлений).
• Веб-интерфейс для ручной отправки запросов, включая опциональную поддержку отображения на карте OpenStreetMap.
• Для всех результатов, содержащих поле timezone, автоматически формируется дополнительное поле posix_timezone (например, Europe/Paris преобразуется в CET-1CEST,M3.5.0,M10.5.0/3). Это обеспечивает автоматическую конфигурацию часового пояса на встраиваемых устройствах (например, ESP32 и иных таргетах newlib без встроенной tzdata). Данная возможность является уникальной и отсутствует в аналогичных решениях.
• Автоматическое обновление базы данных часовых поясов (интервал, источник и авторизация настраиваются; по умолчанию используется официальный сайт IANA). При отключении обновлений применяется системная база.
• Возможность загрузки актуальных архивов баз данных по HTTP непосредственно с сервиса (что позволяет использовать один экземпляр в качестве прокси-источника для других и снижать расход квоты MaxMind).
• Поддержка защиты эндпойнтов с помощью опционального API-ключа.
• Наличие OpenAPI-спецификации и встроенного Swagger UI для облегчения интеграции со своими проектами.
• Предоставление готового Docker-образа для быстрого развертывания:

  docker run \
  	-e MAXMIND_ACCOUNT_ID=XXXX \
  	-e MAXMIND_LICENCE_KEY=YYYY \
  	-e OSM_TILES_URL="https://{s}.tile.openstreetmap.org/{z}/{x}/{y}.png" \  # необязательно
  	-v geoip_data:/data \
  	-p 8080:8080 \
  	ghcr.io/quoi-dev/geoip:latest
  

Релиз дистрибутива Alpine Linux 3.23 и пакетного менеджера apk 3.0

В новом выпуске:

• После пяти лет разработки опубликован пакетный менеджер apk 3.0. В версии Alpine Linux 3.23 задействованы новые утилиты apk, но пока продолжено использования второй версии формата пакетов и индекса (переход на третью версию запланирован в одном из следующих выпусков).

  Среди изменений в apk 3.0:

  • Новый формат пакетов, поддерживающий алгоритм сжатия zstg и цифровые подписи на базе алгоритма Ed25519, а также предусматривающий возможность верификации данных в БД пакетного менеджера, используя оригинальные подписи пакетов.
  • Поддержка использования в индексе новых алгоритмов хэширования (SHA-256, SHA-512).
  • Удалена поддержка FTP, первой версии формата пакетов и md5-хэшей.
  • Добавлена проверка соответствия архитектуры устанавливаемого пакета с архитектурой системы.
  • Для разделения вывода скриптов и утилиты apk к выводу скриптов теперь добавляется префикс '*'.
  • В формат файлов конфигурации репозитория добавлена поддержка определения и использования переменных.
  • Добавлена поддержка выноса настроек по умолчанию в отдельный файл конфигурации.
  • Добавлены новые команды: mkpkg для создания пакетов, mkndx для создания индекса, adbsign для управления цифровыми подписями и adbdump для дампа структур.
  • Добавлена команда "apk query" для получения информации и установленных БД и индексов, сочетающая возможности команд info, list и search.
• Добавлена опциональная возможность переноса всех исполняемых файлов и библиотек из корневых каталогов в раздел /usr (/bin, /sbin и /lib* унифицированы с соответствующими каталогами внутри /usr и оформлены через символические ссылки на них). Для задействования подобного слияния во время установки следует выставить переменную окружения BOOTSTRAP_USR_MERGED перед вызовом утилиты setup-disk. На уже имеющихся системах для слияния можно использовать пакет merge-usr.
• Пакет с ядром Linux "linux-edge" заменён на "linux-stable", который отличается использованием идентичных настроек с пакетом "linux-lts". В пакете linux-stable используются все стабильные ветки ядра, а в linux-lts - только, помеченные как LTS.
• Прошивки для беспроводных адаптеров Intel, поддерживаемых драйвером iwlwifi, перенесены из пакета linux-firmware-other в linux-firmware-intel.
• Добавлен метапакет LLVM, ссылающийся на свежий выпуск LLVM.
• Наборы правил nftrules и udev разделены на подпакеты ($pkgname-nftrules и $pkgname-udev), предоставляющие правила межсетевого экрана и udev в привязке к пакетам. Аналогично выполнено разделение на подпакеты $pkgname-systemd сервисов systemd (по умолчанию переход с OpenRC на systemd не планируется). Для установки всех правил nftrules добавлен метапакет nftables-rulesets.
• Сервер nginx собран с опцией "--with-compat" для обеспечения совместимости со сторонними динамически загружаемыми модулями. Добавлен пакет nginx-mod-dev с кодом nginx sources и сборочными зависимостями, необходимыми для сборки модулей.
• Предложены пакеты с новыми версиями графических окружений GNOME 49, KDE Plasma 6.5.3, LXQt 2.3.0, Sway 1.11.
• Обновлены версии пакетов, например, доступны выпуски ядра Linux 6.18, GCC 15, LLVM 21, busybox 1.37.0, Node.js 24.11, Rust 1.91, Valkey 9.0, OpenZFS 2.4.0-rc4, Crystal 1.18, Docker 29, .NET 10.0, Go 1.25, Kea 3.0, OpenJDK 25, Perl 5.42, PHP 8.5, PostgreSQL 18, Qt 6.10, ffmpeg 8, wlroots 0.19.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=64374

MinIO прекратил развитие открытой кодовой базы в пользу проприетарного продукта

Ранее разработчики MinIO высказывали недовольство использованием их разработок в сторонних проприетарных продуктах без выполнения условий лицензии AGPL и без указания авторства (например, одна из компаний пыталась продавать полный клон MinIO, рекламируя его как более производительный, чем MinIO). Текущая кодовая база остаётся под лицензией AGPL 3.0 и при желании заинтересованные участники могут создать форк и развивать его своими силами. Из существующих открытых альтернатив можно отметить AIStore, Garage, Ambry, SeaweedFS, RustFS, hs5 и Versity S3 Gateway.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64375

Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере

Проблема вызвана небезопасной десериализацией данных, полученных в HTTP-запросах к серверным обработчикам. Обработчики "vm#runInThisContext", "vm#runInNewContext", "child_process#execFileSync" и "child_process#execSync" можно использовать для запуска команд в системе или выполнения JavaScript-кода в контексте текущего процесса (с обходом sandbox-изоляции). Также возможно использование обработчиков "fs#readFileSync" и "fs#writeFileSync" для чтения и записи произвольных файлов на сервере, насколько позволяют текущие права доступа. Для атаки не требуется прохождение аутентификации. Доступен прототип эксплоита.

   # Запуск команды whoami
   curl -X POST http://localhost:3002/formaction \
     -F '$ACTION_REF_0=' \
     -F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}'

   # Выполнение JavaScript-кода 1+1
   curl -X POST http://localhost:3002/formaction \
     -F '$ACTION_REF_0=' \
     -F '$ACTION_0:0={"id":"vm#runInThisContext","bound":["1+1"]}'

   # Чтение файла /etc/passwd
   curl -X POST http://localhost:3002/formaction \
     -F '$ACTION_REF_0=' \
     -F '$ACTION_0:0={"id":"fs#readFileSync","bound":["/etc/passwd","utf8"]}'

Подверженность систем уязвимостям зависит от применения на них уязвимых серверных компонентов react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Приложения не использующие react-server уязвимость не затрагивает. Степень охвата уязвимостью рабочих систем, в которых используется React, пока не ясна. С одной стороны, React является одним из самых популярных web-фреймворков (используется примерно на 6% web-сайтов), а уязвимые компоненты развиваются в основном репозитории и входят в состав релизов. Уязвимые компоненты также поддерживаются в основанных на React фреймворках, таких как Next.js и react-router. По данным компании Wiz Research уязвимые экземпляры Next.js или React выявлены в 39% проанализированных облачных окружений.

С другой стороны, генерация контента на сервере через React Server Components не часто используемая функция (большинство React-сайтов отрисовывают интерфейс только на стороне клиента), а уязвимые компоненты помечены как экспериментальные и не гарантирующие корректную работу. Данные компоненты имеют относительно небольшое число прямых загрузок из репозитория NPM: react-server-dom-webpack - 670 тысяч в неделю, react-server-dom-parcel - 7 тысяч и react-server-dom-turbopack - 32 тысячи, для сравнения NPM-пакет React имеет 45 млн загрузок в неделю.

Уязвимость присутствует версиях React 9.0.0, 19.1.0, 19.1.1 и 19.2.0, и устранена в обновлениях React 19.0.1, 19.1.2 и 19.2.1. Уязвимые компоненты также применяются в пакетах react-router (20 млн загрузок в неделю), waku, @parcel/rsc (Parcel RSC plugin), @vitejs/plugin-rsc (Vite RSC plugin) и rwsdk (RedwoodSDK). В React Router проблема проявляется только при использовании экпериментального режима RSC.

Аналогичная уязвимость (CVE-2025-66478) выявлена в реализации протокола RSC (React Server Components) во фреймворке Next.js (16 млн загрузок в неделю). Проблема затрагивает приложения, использующие App Router и ветки Next.js 15.x и 16.x. Утверждается, что уязвимость проявляется в конфигурации Next.js по умолчанию (стандартное приложение, создаваемое утилитой create-next-app, подвержено атаке). Пользователям рекомендовано как можно скорее установить обновление Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64373

Консорциум OASIS утвердил OpenDocument (ODF) 1.4 в качестве стандарта

ODF представляет собой основанный на XML, независимый от приложений и платформ файловый формат для хранения документов, содержащих текст, электронные таблицы, диаграммы и графические элементы. Спецификации также включают требования к организации чтения, записи и обработки подобных документов в приложениях. Стандарт ODF применим для создания, редактирования, просмотра, обмена и архивирования документов, которые могут представлять собой текстовые документы, презентации, электронные таблицы, растровые графические материалы, векторные рисунки, схемы и другие типы контента.

Наиболее заметные изменения в OpenDocument 1.4:

• Расширен спектр объектов, для которых возможно использование сложного фона, такого как цветовые градиенты и штриховка.
• В фигуры, такие как прямоугольники и блок-схемы, помимо голого текста и списков, разрешено встраивать таблицы.
• Добавлена возможность пометки декоративных объектов для их игнорирования в инструментах для людей с ограниченными возможностями, таких как экранные ридеры.
• Расширены и уточнены возможности для работы с текстом на языках с разными направлениями письма (слева направо, справа налево, сверху вниз).
• Улучшен метод задания маркеров (handles), определяющих каркас сложных фигур.
• Предложен более гибкий метод определения формата нумерованных меток в многоуровневых списках.
• В текстовых документах: Разрешено позиционировать объекты относительно полей страницы. Добавлена возможность указания межколоночного интервала (гаттера) в формате страницы. Добавлены дополнительные свойства для более гибкого управления наложением объектов.
• В электронных таблицах: Разрешено использование цвета текста и цвета фона ячейки в качестве критериев в фильтрах. Добавлена функция EASTERSUNDAY для вычисления даты Пасхи и связанных с ней церковных праздников.
• В диаграммах повышена гибкость расстановки меток осей и разрешено указание основания логарифмической шкалы.
• При встраивании формул разрешено использовать все версии языка формул MathML.

Спецификация состоит из четырёх частей:

• Часть 1, введение;
• Часть 2, описывает модель упаковки данных в ODF-контейнер;
• Часть 3, описывает общую схему ODF.
• Часть 4, определяет формат описания формул OpenFormula

Дополнительно можно отметить начало альфа-тестирования офисного пакета LibreOffice 26.2, релиз которого запланирован на февраль 2026 года. Из наиболее заметных новшеств: поддержка импорта и экспорта в формате Markdown, возможность использования горизонтальных вкладок в интерфейсе, расширение возможностей отслеживания изменений в документах, поддержка формата Biff12 для переноса данных через буфер обмена из Excel, расширение диалога сортировки в Calc, поддержка маппинга документов XML и JSON с таблицами в Calc, ускорение отрисовки фигур.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64370

Ядро Linux 6.18 отнесено к категории выпусков с длительным сроком поддержки

Одновременно объявлено о завершении цикла сопровождения ветки ядра Linux 5.4, для которой опубликован финальный выпуск 5.4.302 (больше в серии 5.4.x обновления публиковаться не будут). Ветка 5.4 была сформирована в ноябре 2019 года, сопровождалась 6 лет и использовалась в Ubuntu 20.04 LTS и в Oracle Unbreakable Enterprise Kernel 6. Продукты, поставляемые с ядром 5.4, рекомендуется перевести на более актуальные LTS-выпуски.

Продолжается сопровождение longterm-веток:

• 6.12 - до декабря 2026 г. (используется в Debian 13, SUSE 16, Android 16 и Oracle Unbreakable Enterprise Kernel 8).
• 6.6 - до декабря 2026 г. (используется в OpenWRT 24.10).
• 6.1 - до декабря 2026 г. (используется в Debian 12).
• 5.15 - до октября 2026 г. (используется в Ubuntu 22.04, Oracle Unbreakable Enterprise Kernel 7 и OpenWRT 23.05).
• 5.10 - до декабря 2026 г. (используется в Debian 11, Android 12 и OpenWRT 22).

Отдельно на базе ядер 4.4, 4.19, 5.10, 6.1 и 6.12 организацией Linux Foundation предоставляются ветки SLTS (Super Long Term Support), которые сопровождаются отдельно и поддерживаются 10-20 лет. Сопровождение SLTS-веток осуществляется в рамках проекта Civil Infrastructure Platform (CIP), в котором участвуют такие компании, как Toshiba, Siemens, Renesas, Bosch, Hitachi и MOXA, а также вовлечены мэйнтейнеры LTS-веток основного ядра, разработчики Debian и создатели проекта KernelCI. Ядра SLTS ориентированы на применение в технических системах гражданской инфраструктуры и в важных промышленных системах.


Источник: https://www.opennet.ru/opennews/art.shtml?num=64369

Выпуск платформы Android 16 QPR2 с поддержкой запуска графических Linux-приложений

Выпуск Android 16 QPR2 сформирован в рамках нового графика разработки, в соответствии с которым каждый год формируется не один значительный релиз Android, а два выпуска - первый во втором квартале (QPR1), а второй - в четвёртом квартале (QPR2). В летний релиз вошли значительные новшества, изменения поведения в SDK и новые API. Зимний релиз содержит улучшения, новые API и изменения, не влияющие на совместимость с приложениями.

Основные новшества Android 16 QPR2:

• Добавлена возможность запуска графических приложений, собранных для Linux. Запуск осуществляется через приложение Linux Terminal, позволяющее запустить в окружении Android виртуальную машину с Debian GNU/Linux, в которой можно выполнять обычные Linux-приложения. Для запуска графического окружения в приложение Linux Terminal добавлена кнопка "Display", включающая перенаправление графики через компоненты в основном окружении Android. После активации кнопки "Display" в терминале можно запустить композитный сервер Weston, предоставляющий минималистичный оконный сеанс, а затем использовать его для запуска любых графических приложений, например, продемонстрирован запуск графического редактора GIMP.

  Функциональность виртуальной машины c Linux развивается в рамках проекта Ferrochrome. В гостевом окружении запускается Debian GNU/Linux. Для виртуализации используется фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. Графическое окружение использует протокол Wayland и основано на композитном сервере Weston. Для аппаратного ускорения графики задействован VirGL - виртуальный GPU Virgil3D. Запуск приложений, собранных для X11, производится при помощи DDX-компонента XWayland.

• Реализована расширенная тёмная тема оформления (Expanded Dark Theme), которая автоматически инвертирует цвета в приложениях, не предоставляющих тёмную тему оформления. Необходимость инвертирования определяется отдельно для каждого приложения на основе атрибута isLightTheme. Инвертирование применяется к элементам интерфейса на базе Android Views, Composables и WebViews, но не используется для приложений с собственными движками отрисовки, например, на базе фреймворка Flutter.
• Предоставлена возможность выбора специфичных форм пиктограмм, которые будут применены ко всем показываемым пиктограммам и ярлыкам каталогов.
• Для приложений, не предоставляющих отдельные варианты пиктограмм для тем оформления, реализована возможность автоматической генерации пиктограмм, стилизованных под темы оформления. При генерации к имеющейся пиктограмме запуска приложения применяется цветовой фильтр.
• Предоставлена возможность продолжения интерактивного взаимодействия с приложением после открытия системного диалога Share (Поделиться) и обновления содержимого интерфейса приложения в процессе выбора обработчика обмена данными.
• В Android Runtime (ART) добавлен генеративный сборщик мусора (Generational Concurrent Mark-Compact Garbage Collector), использующий раздельную обработку "старых" и "молодых" объектов, что повышает эффективность очистки недавно созданных объектов с небольшим временем жизни. Применение генеративного сборщика мусора уменьшает риск приостановок во время выделения ресурсов и снижает нагрузку на CPU, что повышает эффективность потребления энергии.
• Расширены средства для анализа взаимодействия пользователей с виджетами - приложение теперь могут получать метрики о событиях взаимодействия, таких как клики, прокрутки и показы (impression).
• Реализован вывод предупреждения об отсутствии в отлаживаемом приложении выравнивания памяти по границе страниц, размером 16 КБ. В будущем для отдельных архитектур ожидается переход на использование страниц размером 16 КБ вместо 4 КБ, что позволит повысить производительность программ, интенсивно работающих с памятью.
• Добавлен программный декодировщик для звукового формата IAMF (Immersive Audio Model and Formats), применяемого для распространения объёмного звука (учитывает распространение звуковых сигналов в трёхмерном пространстве для воссоздания звучания, максимально близкого к естественному).
• В интерфейс выбора устройства воспроизведения (Output Switcher) интегрирована возможность предоставления общего доступа к звуку через Bluetooth LE, не требующая отдельного изменения настроек Bluetooth.
• В систему Health Connect добавлена поддержка автоматического отслеживания числа пройденных шагов, используя доступные датчики. Доступ к информации о числе шагов предоставляется приложениям, имеющим права доступа READ_STEPS. Новый метод позволяет упростить код в приложениях и снизить энергопотребление при отслеживании шагов. Health Connect обеспечивает централизованное хранение данных с фитнес-браслетов и прочих устройств, имеющих отношение к здоровью пользователя, и организует совместный доступ разных приложений к данным о здоровье.
• Добавлен новый API Data Transfer для повышения надёжности миграции данных между устройствами на базе Android и iOS.
• Добавлен API для верификации разработчиков в процессе установки APK-пакетов. В утилиту ADB добавлены команды для симуляции верификации (возможность установки приложений без верификации, используя ADB, останется неизменной).
• Обеспечена защита SMS с одноразовыми паролями (OTP). Для защиты от перехвата одноразовых паролей вредоносными приложениями доставка SMS с хэшем для сервиса SMS Retriever станет задерживаться на три часа для большинства приложений. До истечения этого времени широковещательная отправка события RECEIVE_SMS будет заблокирована, а запросы к БД c SMS отфильтрованы.
• Добавлено новое системное состояние блокировки "Secure Lock Device", при активации которого (например, через службу поиска потерянного устройства "Find My Device") устройство будет сразу заблокировано и потребует ввода PIN-кода или пароля для разблокировки. Уведомления и напоминания в данном режиме будут скрыты c экрана блокировки, а биометрическая разблокировка временно отключена.

JavaScript-платформа Bun перешла в руки компании Anthropic

Проект Bun написан на языках Zig и С++, и развивается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64366

Доступен gitmal 1.0, генератор статических web-представлений git-репозиториев

Gitmal поддерживает темы оформления, отображение кода с подсветкой синтаксиса и отрисовку markdown-разметки. Помимо навигации по структуре репозитория и отображения содержимого файлов с кодом, доступны представления для просмотра веток, тегов и коммитов. Имеется поддержка поддержание web-представления в актуальном виде через инкрементальные обновления, при которых недостающие страницы генерируются при каждом изменении в репозитории. Для сокращения размера генерируемого контента может применяться минификация и сжатие (флаги --minify --gzip). Генерация web-страниц для репозиториев с инструментариями Zig, и ZX и my-badges выполняется за 25 минут на MacBook Air M2 2 GB и приводит к сохранению около 2 ГБ файлов.

Развитие AlmaLinux для профессиональных видеостудий

На базе группы будет организована совместная работа создателей контента, инженеров и разработчиков открытого ПО по обеспечению совместимости AlmaLinux с профессиональными приложениями и формированию решения, учитывающего требования, специфичные для студий. В первом квартале 2026 года внимание будет сосредоточено на документировании конфигурации AlmaLinux для рабочих станций и рендер-ферм. Во второй половине 2026 года планируется опубликовать официальные эталонные спецификации архитектуры и руководства по совместимости.

Среди поставленных задач:

• Обеспечение беспроблемной и оптимальной работы в AlmaLinux таких пакетов, как Nuke, Houdini, Maya и Blender.
• Подготовка эталонных сборок и конфигураций для студийных рабочих станций, серверов рендеринга и систем хранения.
• Документирование рабочих процессов студий, охватывающих хранение информации, сетевое взаимодействие и организацию распределённого рендеринга.
• Создание рекомендаций по усилению защиты, оптимизации производительности и повышению надёжности рабочих систем.
• Организация совместной работы по подготовке и тестированию пакетов, а также разбору ошибок и проблем, связанных с работой специализированного студийного ПО.

Let's Encrypt уменьшит срок действия сертификатов до 45 дней

Одновременно поэтапно будет сокращён период действия авторизации - 10 февраля 2027 года он будет сокращён с 30 до 10 дней, а 16 февраля 2028 года - c 10 дней до 7 часов. Под периодом действия авторизации понимается время после подтверждения своих прав на домен, в течении которого сертификат может быть выдан без прохождения повторных проверок. После истечения данного времени требуется новое подтверждение прав.

В качестве причины сокращения срока действия сертификатов называются новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры. Аналогичное сокращение срока действия будет внедрено всеми удостоверяющими центрами. CA/Browser Forum определил конечный срок завершения внедрения мартом 2029 года, а максимальное время действия сертификата - 47 днями. После марта 2029 года обработка в браузерах новых сертификатов, срок действия которых превышает 47 дней, будет приводить к выводу в ошибки "ERR_CERT_VALIDITY_TOO_LONG".

Из достоинств перехода на короткодействующие сертификаты отмечается возможность сокращения времени внедрения новых криптоалгоритмов в случае выявления уязвимостей в ныне действующих, а также повышение безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая проверка владения доменом и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов.

В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами. При этом пользователям, уже применяющим автоматизированные системы, необходимо убедиться, что их инструментарии корректно поддерживают сертификаты с сокращённым сроком действия. Для координации своевременного автоматического обновления сертификатов администраторы могут использовать расширение протокола ARI (ACME Renewal Information), позволяющее получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Так же имеет смысл настроить систему мониторинга для выявления ситуаций, когда сертификат не был обновлён своевременно.

Для упрощения подтверждения прав на домен проект Let's Encrypt планирует внедрить в 2026 году новый метод проверки DNS-PERSIST-01, который в отличие от методов HTTP-01 и DNS-01 не требует обновления информации при каждой проверке и наличия у ACME-клиента доступа к web-инфраструктуре или DNS-серверу. В PERSIST-01 достаточно один раз добавить в DNS определённую TXT-запись ('_validation-persist.example.com. IN TXT ("ca.example;" " accounturi=https://ca.example/acct/123")') и ACME-клиент сможет проводить авторизацию без обновления данных в DNS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64363

Выпуск медиаплеера VLC 3.0.22 и потоковых серверов DVBlast 3.5 и multicat 2.4

• В интерфейс на базе Qt добавлена поддержка сборки с Qt6 и реализована опция для включения тёмной темы оформления.
• Началось формирование Windows-сборок для архитектуры ARM64. Возвращена поддержка Windows XP SP3 и старых версий macOS. В сборках для Windows разрешено переименование, перемещение и удаление воспроизводимого файла.
• Добавлена поддержка звуковых файлов MUS (DMX audio).
• Добавлена поддержка кодека Sony A_ATRAC/AT1 в мультимедийных контейнерах Matroska.
• Улучшена визуализация низких частот на спекторграмме.
• Добавлена поддержка увеличения частоты кадров на GPU AMD (GPU AMD Frame Rate Doubler).
• Улучшена поддержка звукового кодека FLAC. Добавлена возможность обработки картинок, поставляемых в одном медиаконтейнере с FLAC.
• Устранены аварийные завершения при распаковке различных медиаконтейнеров.
• Отключено по умолчанию декодирование контента с использованием библиотек libdca, libmpeg2 и liba52, вместо которых задействована библиотека libavcodec.
• Добавлены опции dav1d-all-layers и mkv-use-chapter-codec.
• Устранены проблемы с управлением через протокол MPRIS в KDE.
• Устранены уязвимости (CVE-идентификаторы пока не присвоены):
  • Запись в область за пределы буфера в распаковщиках и декодировщиках RLE, MP4 и TX3G. Потенциально уязвимости могут привести к выполнению кода при обработке специально оформленного содержимого.
  • Обращение к уже освобождённой области памяти (Use-after Free) в декодировщике SVG. Потенциально уязвимость может привести к выполнению кода при обработке специально оформленных SVG-изображений.
  • Чтение из области за границей буфера в распаковщиках и декодировщиках TY, NSV, CVDsub, SPU, Subrip, TX3G, MPJEG, Oggspot и MP4.
  • Аварийное завершение из-за срабатывания assert-проверок в распаковщиках AVI и MP4.
  • Разыменование нулевого указателя в модулях CSS, Flac и VTT.
  • Аварийные завершения при обработке некорректных субтитров и изображений jpeg2.
  • Утечки памяти в распаковщиках MKV, ASF/WMV, CAF и PS, а также в декодировщиках Ogg, Theora, Vorbis, WebVTT и SVCD.
  • Зацикливание в WebVTT.

Дополнительно проект VideoLAN опубликовал новые версии инструментариев DVBlast 3.5, multicat 2.4 и biTStream 1.6:

• DVBlast - потоковый сервер для организации RTP-вещания в сети с локальной DVB-карты. DVBlast поддерживает вещание с DVB-карт (DVB-ASI, DVB-S, DVB-S2, DVB-C, DVB-T) и трансляцию принимаемых UDP или RTP потоков в режимах unicast или multicast. Среди особенностей DVBlast: легковесная архитектура для снижения потребления памяти и нагрузки на CPU; поддержка CAM-меню (MMI) через подключение внешних программ; возможность перезагрузки файла конфигурации без потери пакетов в потоке; поддержка фильтрации по PID (Packet ID, идентификатор DVB-потока) или сервисам; возможность демультиплексирования вывода в несколько RTP-потоков.

  В версии DVBlast 3.5 задействован новый API linux-dvb для получения статистики, добавлена опция "--udp-lock-timeout", обеспечен вывод информации о битрейте каждого устройства, добавлена поддержка карт расшифровки (дескрамблирования) TV‑сигнала и реализована возможность распаковки DVB-S2 raw BBFrame.

• Multicat - инструментарий для манипулирования multicast-потоками, поддерживающий работу с MPEG-2 Transport Streams (ISO/IEC 13818-1). При помощи multicat можно проигрывать файлы в виде multicast-потока или наоборот записывать непрерывный входящий поток с автоматической ротацией файлов. В поставку также входят утилиты для манипуляции TS-файлами (ingests), разбиения или слияния RTP-потоков (aggregartp и reordertp) и создания отказоустойчивого вещания с нескольких серверов (multilive).

  В версии multicat 2.4 добавлена утилита smooths для синхронизации передачи по временным меткам из заголовков пакетов RTP для минимизации джиттера и корректного взаимодействия с анализаторами IAT (Inter-Arrival Time).

• biTStream - набор заголовочных файлов для упрощения доступа к бинарным структурам, например, используемым в MPEG, DVB, IETF, SMPTE, IEEE, SCTE.

  В версии biTStream 1.6 добавлена поддержка форматов EBU BISS-CA, Haivision SRT, AIT и DVB-S2 BBFrames.

Опубликован офисный пакет ONLYOFFICE 9.2

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.2, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• В десктоп-сборки встроен AI-ассистент, способный генерировать документы, заполнять формы в PDF-файлах, анализировать и резюмировать содержимое, выполнять операции с локальными файлами, обращаться к внешним AI-сервисам по протоколу MCP и осуществлять поиск информации через поисковые системы.
• Предоставлена возможность настройки привязки действий к нажатиям комбинаций клавиш.
• Во все редакторы, кроме редактора PDF, добавлена поддержка записи и сохранения выполняемых действий в форме макроса.
• В редакторах презентаций и PDF реализована возможность вставки формул из внешних сервисов.
• В редакторе форм появилась возможность прикрепления меток к кнопкам выбора. Добавлены локальные шаблоны PDF-форм.
• В редактор PDF-файлов добавлена поддержка изменения цвета скрытого текста.
• В интерфейсе администратора улучшено оформление боковой панели и добавлены новые пиктограммы.
• В DocumentServer устранены уязвимости: межсайтовый скриптинг (XSS) в denyEditingRights и возможность добавления именованного диапазона в защищённых документах через манипуляции с websocket. Обновлены СУБД Redis с устранением уязвимости СVE-2025-49844 и пакет linux-libc-dev с добавлением защиты от атаки VMScape.

Релиз FreeBSD 15.0

Начиная с ветки FreeBSD 15, время сопровождения значительных веток после формирования первого релиза (15.0) сокращено с 5 до 4 лет, а новые значительные ветки будут формироваться раз в два года. Промежуточные выпуски (15.1, 15.2, 15.3) будут разрабатываться в рамках фиксированного цикла разработки, подразумевающего публикацию новых версий в одной ветке примерно через каждые 6 месяцев, а не раз в год как было до сих пор. C учётом одновременного сопровождения двух разных значительных веток, новый промежуточный выпуск будет публиковаться раз в 3 месяца (15.4, 16.1, 15.5, 16.2 и т.п.), за исключением подготовки первых релизов новых значительных веток, перед которыми будет 6-месячный перерыв в релизах (например, релиз 15.3 будет сформирован в июне 2027 года, 16.0 в декабре 2027, 15.4 - в марте 2028, 16.1 - в июне 2028).

Основные изменения во FreeBSD 15.0:

• Предоставлена возможность использования пакетного менеджера pkg для установки и обновления компонентов базовой системы. Пакеты pkgbase могут поставляться на установочном носителе для offline-установки или загружаться из репозитория pkg.freebsd.org. Инсталлятор bsdinstall теперь предлагает два варианта установки: традиционный и с использованием пакетов (pkgbase). Поддержку традиционного способа, при котором базовая система рассматривается как монолитное окружение, обновляемое при помощи утилиты freebsd-update, планируют удалить в ветке FreeBSD 16. Новый метод, подразумевающий установку базовой системы как набора пакетов из репозитория FreeBSD-base, предложен по умолчанию в сборках для виртуальных машин и образов для облачных окружений, но пока рассматривается как экспериментальный для обычных систем.
• Добавлена поддержка сборки FreeBSD в непривилегированных окружениях, не требующих наличия прав root. Без прав root также могут создаваться установочные iso-образы и системные образы для виртуальных машин. На этапе сборки права root были необходимы для создания файлов устройств, выставления прав доступа и монтирования дополнительных файловых систем (например, при создании дисковых образов).
• Реализована поддержка воспроизводимых сборок, позволяющих убедиться, что распространяемые бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Воспроизводимые сборки обеспечивают идентичность бинарных файлов, формируемых из исходного кода в разных сборочных окружениях.
• Прекращено формирование установочных образов и сборок бинарных пакетов для 32-разрядных архитектур i386, armv6 и powerpc. Из 32-разрядных платформ оставлена только armv7. Возможность сборки 32-разрядных программ и использования режима COMPAT_FREEBSD32 для запуска 32-разрядных исполняемых файлов в окружении на базе 64-разрядного ядра сохранится как минимум до конца жизненного цикла ветки FreeBSD 16.
• Добавлены системные вызовы c реализацией механизма inotify для отслеживания изменений в файловых системах.
• Добавлена поддержка именованных атрибутов файлов (расширенных атрибутов в стиле Solaris), которые планируют поддерживать в качестве альтернативного механизма управления расширенными атрибутами, доступного для ZFS и NFSv4. Отличия от традиционных для FreeBSD и Linux методов работы с расширенными атрибутами сводится к представлению атрибутов в служебной директории, не видимой в основном пространстве имён ФС и ассоциированной с файлом. Работа с атрибутами производится как с обычными файлами, например, для определения списка атрибутов можно выполнить функцию readdir().
• Объявлен готовым к применению модуль mac_do, позволяющий задавать политики, разрешающие непривилегированным пользователям изменять учётные данные процессов. Для запуска команд под другим пользователем подготовлена утилита mdo похожая на утилиту su, но не требующая suid root.
• Состояние DRM-драйверов i915 и amdgpu синхронизировано с ядром Linux 6.9. Драйверы беспроводных устройств rtw88 (Realtek 802.11n/ac), rtw89 (Realtek 802.11ax) и iwlwifi (Intel 02.11a/b/g/n/ac/ax/be) синхронизированы с ядром Linux 6.17.
• Включена по умолчанию реализация протокола TLS на стороне ядра (KTLS).
• Добавлена утилита sndctl для управления настройками звуковых карт.
• Добавлена утилита mididump для дампа событий MIDI 1.0 в режиме реального времени.
• В гипервизор bhyve добавлен новый сетевой бэкенд "slirp", использующий библиотеку libslirp с реализацией сетевого стека в пространстве пользователя. Бэкенд "slirp" позволяет организовать доступ к сети гостевой системы из хост окружения без отдельной настройки сети на стороне хоста.
  
  
  
• Реализация Kerberos в основном составе FreeBSD заменена c Heimdal Kerberos на MIT Kerberos. Для возвращения Heimdal Kerberos при сборке можно использовать флаг WITHOUT_MITKRB5. Во FreeBSD 16 поддержка сборки Heimdal Kerberos будет удалена.
• Поведение системных вызовов setgroups, getgroups и initgroups при обработке групп пользователей приближено к другим платформам (отличие реализации во FreeBSD сводилось к хранению эффективного идентификатора группы процессов в нулевом элементе массива со списком групп).
• В настройках пакетного менеджера pkg включён по умолчанию новый репозиторий FreeBSD-kmods, в котором размещены пакеты с модулями ядра, собранными для конкретных релизных веток 15.x-RELEASE, а не постоянно обновляемой ветки 15-STABLE. Репозиторий FreeBSD-kmods решает проблему с установкой драйверов, завязанных на нестабильные интерфейсы ядра (например, графические драйверы). Ранее присутствующие в /etc/pkg/FreeBSD.conf репозитории "FreeBSD" и "FreeBSD-kmods" переименованы в "FreeBSD-ports" и "FreeBSD-ports-kmods".
• В NFS добавлена поддержка операции CLONE, определённой в спецификации NFSv4.2 и позволяющей организовать быстрое копирование файлов через клонирование блоков на сервере. Режим пока работает только при экспорте через NFS разделов ZFS.
• На системах amd64 добавлена возможность использования более 4TB ОЗУ.
• Добавлен драйвер ufshci для поддержки контроллеров систем хранения с интерфейсом UFSHCI (Universal Flash Storage Host Controller Interface).
• Sysctl net.link.bridge.member_ifaddrs по умолчанию выставлен в 0, т.е. в сетевые мосты можно добавлять интерфейсы без IP-адресов.
• Повышена надёжность работы разделов с ФС UFS, содержащих более 2,000,000,000 inode. В реализации ФС UFS1 решена проблема 2038 года (можно использовать даты до 2106 года).
• Добавлена опция сетевых сокетов SO_SPLICE для объединения TCP-соединений (подобие прокси, работающего без копирования данных в пространство пользователя).
• В утилите grep по умолчанию отключён обход символических ссылок при рекурсивном поиске.
• Добавлен модуль ядра nvmftа для поддержки контроллеров NVMe over Fabric и утилита nvmecontrol для подключения к внешнему контроллеру NVMe over Fabric.
• В утилиту date добавлена поддержка вывода времени с наносекундной точностью, например, "date -Ins" выведет "2024-04-22T12:20:28,763742224+02:00".
• В jail добавлена поддержка опции zfs.dataset для добавления в изолированное jail-окружение раздела, снапшота или клона ZFS.
• В tty по умолчанию выставлен флаг IUTF8, при котором корректно работает удаление символов UTF-8 при нажатии Backspace.
• Утилита dialog заменена на bsddialog.
  
  
  
• По умолчанию отключена и объявлена устаревшей настройка net.inet.tcp.nolocaltimewait, т.е. возвращено создание по умолчанию TIME_WAIT-записей для TCP-соединений, разорванных на стороне локальной системы. Для настройки времени нахождения соединения в состоянии TIME_WAIT добавлен новый sysctl net.inet.tcp.msl_local.
• По умолчанию отключена поддержка создания сетевых соединений к localhost в которых указывается INADDR_ANY. Для возвращения поддержки можно выставить sysctl net.inet.ip.connect_inaddr_wild sysctl в значение 1.
• Удалён менеджер логических томов gvinum, который использовался для программных RAID. Разработка Gvinum остановилась около 15 лет назад, при том, что в коде имеется ряд известных проблем, которые никто так и не взялся исправить. Вместо gvinum рекомендовано использовать gconcat, gmirror, gstripe, graid или zfs.
• Намечен к удалению во FreeBSD 16 драйвер agp (Accelerated Graphics Port), необходимый для работы многих драйверов для старых видеокарт.
• Объявлена устаревшей функция readdir_r.
• В SNMP-сервере bsnmpd прекращена поддержка транспорта UDP.
• Прекращена генерация хостовых ключей RSA для SSH и EC2 AMI.
• Обновлены версии LLVM 19.1.7, OpenSSH 10.0p2, OpenSSL 3.5.4, OpenZFS 2.4.0rc4, Lua 5.4.8, jemalloc 5.3.0, Awk 20250804 (с поддержкой UTF-8), bc 7.1.0, unicode 16.0.0, ncurses 6.5, libarchive 3.8.2, tcpdump 4.99.5, unbound 1.24.1, less 679, file 5.46, GoogleTest 1.15.2.

Выпуск дистрибутива Rocky Linux 9.7

Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. В остальном изменения в Rocky Linux 9.7 соответствуют изменениям в RHEL 9.7.

Среди специфичных для Rocky Linux возможностей можно отметить поставку в отдельном репозитории plus пакетов openldap 2.6.8, iftop 1.0 и nmon 16q, а в репозитории NFV пакетов для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization). В Rocky Linux также поддерживаются репозитории CRB (Code Ready Builder с дополнительными пакетами для разработчиков, пришёл на смену PowerTools), RT (пакеты для работы в режиме реального времени), HighAvailability, ResilientStorage, SAP и SAPHANA (пакеты для SAP HANA). Отдельно поставляется экспериментальный пакет с ядром Linux - kernel-uki, предоставляющий унифицированный образ UKI (Unified Kernel Image), заверенный отдельным ключом для SecureBoot.

В качестве источника исходных пакетов при формировании Rocky Linux 9.7 задействован репозиторий OpenELA, поддерживаемый совместно с Oracle и SUSE. Изменение процессов разработки обусловлено прекращением размещения компанией Red Hat исходных текстов rpm-пакетов RHEL в публичном репозитории git.centos.org. Исходные пакеты предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL.

Дистрибутив Rocky Linux развивается под покровительством организации Rocky Enterprise Software Foundation (RESF), которая зарегистрирована как общественно-полезная корпорация (Public Benefits Corporation), не нацеленная на получение прибыли. Владельцем организации является Грегори Курцер (Gregory Kurtzer), основатель CentOS, но функции управления в соответствии с принятым уставом делегированы совету директоров, в который сообществом избираются участники, вовлечённые в работу над проектом. Параллельно для развития расширенных продуктов на базе Rocky Linux и поддержки сообщества разработчиков данного дистрибутива создана коммерческая компания Ctrl IQ, которая получила 26 млн долларов инвестиций. К разработке и финансированию проекта присоединились такие компании, как Google, Amazon Web Services, GitLab, MontaVista, 45Drives, OpenDrives и NAVER Cloud.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64357

Релиз мобильной платформы Ubuntu Touch 24.04-1.1

Обновление Ubuntu Touch 24.04-1.1 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, Volla Phone Quintus, Volla Tablet, Lenovo Tab M10 HD 2nd Gen, Rabbit R1 и Xiaomi Redmi 9/9 Prime.

Среди изменений в Ubuntu Touch 24.04-1.1 и 20.04 OTA-11 упомянуто включение в прошивки для устройств Fairphone 4 и Volla Phone 22 поддержки VoLTE (Voice over LTE), технологии передачи голоса по сетям LTE. Сокращено время первой загрузки после обновления серии Ubuntu Touch 20.04 до Ubuntu Touch 24.04. В 20.04 OTA-11 реализована поддержка гарнитур с интерфейсом USB-C. В остальном отмечаются исправления проблем, таких как 100% нагрузка на CPU при сканировании медиафайлов, пропадание уведомлений, аварийные завершения приложений, нарушение работы Wi-Fi hotspot и продолжение воспроизведения после отключения Bluetooth-гарнитуры.

Линус Торвальдс собрал себе новый ПК на базе CPU AMD Ryzen Threadripper и GPU Intel

Для компьютера были выбраны CPU AMD Ryzen Threadripper 9960X, видеокарта Intel Arc B580, материнская плата GIGABYTE TRX50 AERO D, SSD-накопитель Samsung 9100 PRO 2TB, кулер Noctua NH-U14S TR5-SP6, блок питания Seasonic PRIME TX-1600 1600W 80+ Titanium и 31.5-дюймовый монитор ASUS ProArt PA32QCV (6K HDR). Примечательно, что на своей прошлой рабочей станции Торвальдс также использовал CPU AMD серии Ryzen Threadripper (3970x). Оборудование было подобрано для беспроблемной работы со штатными драйверами из ванильного ядра Linux. Из особенностей выбора стало использование ECC-памяти, по возможности бесшумного кулера и видеокарты Intel Arc B580 вместо ожидаемой в такой конфигурации серии AMD Radeon.

Релиз MyCompany 6.1, открытой платформы для автоматизации малого бизнеса

В версии 6.1 основной упор сделан на развитие блока производства и учёта времени, улучшение работы с документами и налогами, а также расширение интеграций и API:

• В модуле продаж и расчётов появилась возможность формирования счёта на основе уже созданных отгрузок. Поддерживаются несколько отгрузок по одному счёту. Добавлена подсветка частично оплаченных счетов, фильтры по статусам оплаты и отгрузки для счетов и счетов поставщиков, а также фильтры «не оплачено» и «не согласовано» для платежей, счетов и расчётных листков. Расширено поле «Примечание» в платёжных документах, введено абстрактное свойство активности для счетов и счетов-фактур и возможность исключать отдельные счета из регистра продаж.
• В системе учёта производства появился отчёт по себестоимости, в производственных заказах добавлен учёт трудозатрат, а в отчёте по производственным заказам появились отдельные вкладки по материалам и труду. Реализовано отслеживание трудозатрат по производственным заказам через записи времени.
• В интерфейсе учёта рабочего времени реализован табель сотрудников, подсветка текущего дня в табелях, а в табеле руководителя можно указывать задачи для записей времени. В форме проекта появилась возможность создавать задачи. Задачи и проекты можно назначать командам.
• В CRM в карточке партнёра добавлены логотип, расширенные контактные данные и дополнительные атрибуты. Реализована история изменений по реквизитам партнёра и возможность добавлять и удалять заказы прямо из формы партнёра. Для активностей появился список участников.
• В отчёте по заказам на продажу добавлены показатели себестоимости и наценки. Для счетов и счетов на оплату можно указывать дату поставки, а в настройках скидок — при необходимости игнорировать иерархию мест хранения.
• Реализована поддержка специальных налогов для отдельных типов заказов на продажу, счетов и контрагентов-поставщиков. Расширены возможности управления продажным регистром с помощью свойства skipSalesLedger у счета.
• Добавлена поддержка IP-телефонии Mango Office и обеспечена интеграция с сервисом Wazzup. Реализована поддержка CryptoPro Browser Plugin для работы с электронной подписью в браузере.
• В систему добавлен базовый JSON API и отдельный Task API для управления задачами из внешних систем. Это дополняется возможностью создания задач из формы проекта и привязкой задач к учёту рабочего времени.
• Для документов введён явный атрибут read-only. Документы, помеченные как "только для чтения", больше нельзя удалить; Добавлены типы для договоров, уточнена логика абстрактного признака активности, что упрощает построение фильтров и регламентов.

Доступен дистрибутив NixOS 25.11, использующий пакетный менеджер Nix

При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет firefox может записываться в /nix/store/8onlv1pc3ed6n5nskg8ew4twcfd0d5ae4ed5c4-firefox-145.0.1/, где "8onlv1pc3ed6n5nskg8ew4twcfd0d5ae4ed5c4" является хешем всех его зависимостей и инструкций сборки. Под установкой пакета подразумевается его сборка или скачивание уже собранного (при условии, что он был уже собран на Hydra - сервисе сборки проекта NixOS), а также формирование директории с символическими ссылками на все пакеты в профиле системы или пользователя, с последующим добавлении этой директории в список PATH. Аналогичный подход применяется в пакетном менеджере GNU Guix, который основан на наработках Nix. Коллекция пакетов представлена в специальном репозитории Nixpkgs.

Основные новшества:

• Добавлено 7002 пакета, удалено 6338 пакетов, обновлено 25252 пакета. Добавлено 107 новых модулей и 1778 опций конфигурации, удалено 807 опций и 41 модуль. В разработке и сопровождении пакетов приняли участие 2742 разработчика, подготовивших 59430 изменений.
• Среди новых модулей: композитный менеджер dwl, межсетевой экран FirewallD, туннелирующий обратный прокси Pangolin, блокировщик рекламы Pi-hole, торрент-клиент qBittorrent, утилита rsync, платформа микроблогинга Sharkey, сервис TuneD, Matrix-сервер tuwunel, VNC-сервер wayvnc и конфигуратор ключей yubikey-manager.
• Добавлена система инициализации nixos-init для systemd initrd, написанная на Rust и не привязанная к bash. При помощи nixos-init можно сформировать урезанные окружение NixOS, поставляемые без командных оболочек, perl, python и прочих интерпретаторов.
• Предложен выпуск среды рабочего стола GNOME 49, в котором прекращена поставка сеанса для X11 (для запуска X11-приложений можно использовать XWayland), а для управления сервисами в gnome-session задействованы компоненты systemd.
• Добавлена бета-версия пользовательского окружения COSMIC.
• Обновлён инструментарий LLVM 21 и система сборки CMake 4. GCC оставлен на ветке 14.x.
• Добавлена поддержка межсетевого экрана firewalld, реализованного в форме обвязки над пакетным фильтром nftables, поддерживающего изменение правил через D-Bus. FirewallD может запускаться как отдельный сервис services.firewalld или как бэкенд, выставляемый через настройку "networking.firewall" (в "networking.firewall" добавлена опция backend o для смены бэкенда).
• Задействован по умолчанию инструментарий nixos-rebuild-ng, вариант nixos-rebuild целиком переписанный на Python. Для отключения предложена настройка "system.rebuild.enableNg", но её планируют удалить в следующем релизе.
• Добавлен rEFInd, графический менеджер загрузки для систем с UEFI (включается через настройку boot.loader.refind.enable).
• Для загрузчика Limine включена поддержка UEFI Secure Boot (boot.loader.limine.secureBoot.enable). Цифровая подпись создаётся скриптом установки загрузчика, а хэши для проверки целостности ядра создаются во время пересборки системы. На практике новая возможность позволяет разрешить только загрузку ядер, установленных через NixOS.
• По умолчанию задействована ветка PostgreSQL 17.
• Прекращена поставка по умолчанию набора VPN-плагинов в модуле с NetworkManager. Все VPN-плагины теперь должны явно активироваться через настройку "networking.networkmanager.plugins".
• Удалены устаревшие версии KDE Gear, KDE Plasma, Maui и Deepin, использовавшие Qt 5. Рекомендован переход на KDE Plasma 6 и Gear 25.08.

Дэниэл Бернштейн обновил библиотеку cdb

В новой версии реализован формат cdb64, переведённый на структуры с 64-разрядными типами. На 64-разрядных платформах новый формат позволяет создавать БД размером до эксабайта (ранее размер БД не мог превышать 4 ГБ). БД очень компактная и использует 4096-байтовый заголовок и по 48 байт служебной информации на каждую запись (для 32-разрядного варианта заголовок 2048 и по 24 байта на запись). При обращении к БД выполняются всего две операции доступа к диску при наличии ключа и один - при отсутствии. Поддерживается атомарная замена БД, стойкая к аварийным завершениям и не блокирующая доступ на чтение.

Другие изменения:

• Поддержка сборки с использованием скрипта configure и установки командой "make install".
• Убрана привязка тестовых сценариев к csh.
• Все внутренние целые значения заменены на тип "num", определённый как "long long". Функции uint32, fmt и scan заменены на функции, работающие с типом num.
• Программный интерфейс работы с буферами разделён на inbuf и outbuf. Проведена чистка интерфейса hier.
• Из кода убраны определения неиспользуемых функций.
• Прекращено использование обвязок, таких как str_len, alloc, uint32, exit, error и systype.
• Код переделан для прекращения использования устаревших Си-конструкций, таких как старый стиль определения функций, пустые прототипы и старый стиль определения main().
• Задействованы определения const и static.
• При сборке активирован флаг "-Wall", а код почищен для устранения предупреждений.
• При компиляции включены опции -fwrapv, -fno-delete-null-pointer-checks, -fno-strict-aliasing и -fno-strict-overflow.

Релиз ядра Linux 6.18

В новую версию принято 15035 исправлений от 2217 разработчиков, размер патча - 45 МБ (изменения затронули 13142 файлов, добавлено 601897 строк кода, удалено 355006 строк). В прошлом выпуске было 14334 исправлений от 2118 разработчиков, размер патча - 46 МБ. Около 40% всех представленных в 6.18 изменений связаны с драйверами устройств, примерно 16% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 12% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества в ядре 6.18 (1, 2, 3):

• Дисковая подсистема, ввод/вывод и файловые системы
  • В Device Mapper добавлен обработчик dm-pcache для использования постоянной памяти (CXL-память, адресуемая через DAX-устройство) в качестве дополнительного высокопроизводительного кэша перед более медленными традиционными дисковыми или флэш накопителями. Dm-pcache обеспечивает сохранение содержимого кэша в случае аварий (crash-safe) за счёт использования энергонезависимой памяти, дублирования метаданных и проверки целостности данных и метаданных по контрольным суммам CRC32. В настоящее время поддерживается только кэширование в режиме отложенной записи (write-back).
  • Из ядра удалён код файловой системы Bcachefs, которая теперь будет распространяться в форме внешнего модуля, собираемого с использованием инструментария DKMS (Dynamic Kernel Module Support). Код Bcachefs может быть возвращён в состав ядра после того как Кент Оверстрит на деле докажет возможность корректного взаимодействия с другими разработчиками ядра и способность следовать устоявшимся правилам разработки.
  • В системный вызов pwritev2() добавлен флаг RWF_NOSIGNAL, отключающий отправку сигнала SIGPIPE при записи в разорванные неименованные каналы или сокеты.
  • В Procfs добавлена опция монтирования "pidns" для указания пространств имён идентификаторов процессов (PID namespace). Например: "mount -t proc -o pidns=/proc/self/ns/pid proc /tmp/proc".
  • В XFS объявлена стабильной и включена по умолчанию возможность применения утилиты fsck для проверки и исправления выявленных проблем в online-режиме, без отмонтирования файловой системы. Добавлены системные вызовы file_getattr и file_setattr для изменения атрибутов специальных файлов (любых inode). В KConfig по умолчанию отключены опции XFS_SUPPORT_V4 (4 версия XFS) и XFS_SUPPORT_ASCII_CI (режим без учёта регистра символов ASCII), объявленные устаревшими. Удалены устаревшие опции монтирования attr2, noattr2, ikeep и noikeep.
  • В MD RAID реализован новый тип битовых карт - llbitmap (lockless bitmap), работающих без блокировок и обеспечивающих более высокую производительность.
  • Из общей структуры "inode" вынесена информация, связанная с шифрованием и верификацией (указатели i_crypt_info и i_verity_info). Изменение позволяет снизить потребление памяти в файловых системах, не поддерживающих шифрование и верификацию.
  • В подсистему FUSE добавлена поддержка системного вызова copy_file_range() и прямого копирования диапазонов с использованием размера с 64-разрядным типом (ранее поддерживался только 32-разрядный размер). Добавлена поддержка инициализации в синхронном режиме во время монтирования (FUSE_DEV_IOC_SYNC_INIT).
  • В ФС ext4 реализована возможность использования 32-разрядных идентификаторов пользователей (uid) и групп (gid) при доступе к зарезервированным блокам. Добавлены ioctl-операции для установки и чтения параметров суперблока примонтированных ФС (tune2fs сможет менять параметры в суперблоке без прав на запись в блочное устройство). Полностью удалены устаревшие настройки, специфичные для ext3.
  • В f2fs добавлена опция монтирования "lookup_mode" для выбора режима поиска: perf - поиска по хэшу, compat - линейный поиск, auto - автоматический выбор. Изменение режима имеет смысл для конфигураций с директориями, в которых не учитывается регистр символов. Текущий режим поиска можно узнать через файл "/sys/fs/f2fs/‹device›/effective_lookup_mode". Добавлена возможность резервирования inode, доступных только привилегированным пользователям.
  • В Overlayfs добавлен режим работы без учёта регистра символов, включаемый на уровне слоёв ФС (выставление для отдельных директорий пока не поддерживается).
  • В BTRFS улучшено распараллеливание операций при высокой нагрузке на чтение и низкой нагрузке на запись, сокращено время фиксации транзакций, значительно сокращено время синхронизации (с минут до десятков секунд). Проведена подготовка к добавлению поддержки сжатия c ситуациях, когда размер блока (bs) больше размера страницы памяти (ps).
  • В ksmbd (работающий на уровне ядра SMB-сервер) добавлен параметр для ограничения максимального числа соединений с одного IP-адреса. smbdirect, smbclient и smbserver переведены на использование типовых структур ядра.
  • В SQUASHFS добавлена возможность использования в системном вызове lseek() опций SEEK_DATA и SEEK_HOLE для поиска данных и пустот в разреженных файлах.
  • В EXFAT добавлена поддержка ioctl FS_IOC_GETFSLABEL и FS_IOC_SETFSLABEL для чтения и записи меток разделов. Предоставлена возможность изменения опций монтирования во время перемонтирования. Ускорена загрузка битовых карт.
  • В NTFS3 добавлена поддержка ioctl FS_IOC_GETFSLABEL и FS_IOC_SETFSLABEL для чтения и установки меток разделов.
• Память и системные сервисы
  • В состав принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust. Binder используется в Android для организации взаимодействия между процессами и удалённого вызова методов (один процесс Android может вызвать метод или функцию в другом процессе Android, используя Binder для идентификации, вызова и передачи аргументов между процессами). Код Binder был переписан на языке Rust в рамках инициативы Google по усилению защищённости Android.
  • В SLUB, аллокаторе памяти ядра, реализован опциональный слой кэширования "sheaves", использующий несколько кэшей, каждый из которых привязан к отдельному ядру CPU, что позволяет локализовать одним ядром операции при выделении или освобождении памяти. Подобный кэш повысил производительность выделения и освобождения памяти в ядре, благодаря избавлению от излишних примитивов синхронизации, требуемых при вовлечении разных ядер CPU. В проведённых тестах прирост производительности составил от 6.3% до 31% в зависимости от вида нагрузки.
  • Добавлена возможность создания файловых дескрипторов, отождествлённых с определённым пространством имён (namespace). В отличие от обращения к пространствам имён по идентификаторам (/proc/‹pid›/ns/), файловый дескриптор закрепляется за конкретным экземпляром пространства имён и исключает ситуацию, когда идентификатор повторно выделен и указывает уже на другой объект. По аналогии с использованием pidfds открытие файловых дескрипторов, ссылающихся на пространства имён, осуществляется через функции open_by_handle_at() и name_to_handle_at().
  • Реализован механизм "Swap Table", позволяющий повысить производительность подкачки. Ускорение достигается благодаря уменьшению конкуренции за доступ к кэшу подкачки, более эффективного поиска в кэше и снижения фрагментации. Бэкенд на базе Swap Table задействован для кэширования подкачки вместо бэкенда XArray и позволил в среднем на 5-20% повысить производительность. В тесте usemem пропускная способность возросла на 17-28%, в тесте на многопоточную пересборку ядра время сборки уменьшилось на 1.12-3.19%, тест redis-benchmark с BGSAVE показал увеличение числа обрабатываемых запросов на 6-7%.
  • Подсистема Zswap переведена на прямое использование системы выделения памяти zsmalloc вместо слоя zpool, который больше нигде не используется и теперь удалён из ядра.
  • Для управления поведением загрузчика микрокода на системах x86 реализована опция командной строки "microcode=список флагов". В текущем виде новая опция пришла на смену "microcode.force_minrev" и также позволяет задать минимально допустимую для загрузки версию микрокода.
  • Началась работа по реорганизации излишне раздутой структуры "page", используемой для управления страницами оперативной памяти. Добавлен тип 'memdesc_flags_t" для полей с универсальными флагами, которые смогут использоваться после ожидаемого в будущем выделения из структуры "page" отдельных структур для slab и фолиантов (folio).
  • Для архитектуры nios2, применяемой в процессорах Altera Nios II (soft-процессор на базе FPGA), реализована поддержка системного вызова clone3().
  • В конфигурацию ядра (KConfig) добавлен атрибут "transitional", который можно использовать для пометки настроек, не отображаемых в пользовательских интерфейсах, таких как "make menuconfig", и не включаемых в сгенерированные файлы конфигурации. Основным назначением атрибута является упрощение переименования опций с сохранением обратной совместимости.
  • Минимальная версия компилятора Clang, которым может быть собрано ядро, повышена до инструментария LLVM 15. В Debian 12 и Ubuntu 22.04 поставляется LLVM 14.
  • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). В новой версии для кода на языке Rust реализованы атомарные операции с памятью, структура maple tree, возможность создания файлов DebugFS и функции для манипуляции битовыми картами. Расширен доступ к API для разработки драйверов. Добавлен полный набор абстракций для разработки драйверов USB-устройств (пример USB-драйвера). В утилиту perf добавлена поддержка отладочных символов, генерируемых компилятором rustc.
• Виртуализация и безопасность
  • Добавлена поддержка криптографической верификации загружаемых BPF-программ по цифровой подписи. В дальнейшем данная возможность будет расширена средствами для определения правил загрузки подписанных BPF-программ и предоставления непривилегированным пользователям возможности использования верифицированных BPF-программ.
  • В гипервизоре KVM реализована поддержка виртуализации расширения Intel CET (Control-flow Enforcement Technology), применяемого для защиты от эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). Суть защиты в том, что после передачи управления функции, адрес возврата сохраняется процессором не только в обычном стеке, но и в отдельном теневом стеке, который не может быть изменён напрямую.
  • Добавлена возможность использования более 255 CPU в гостевых системах, работающих под управлением гипервизора Bhyve на хостах с FreeBSD 15.
  • Добавлена прослойка dibs (Direct Internal Buffer Sharing) для управляемого совместного использования буферов внутри изолированной среды, такой как гипервизор или экземпляр ядра Linux.
  • В подсистему аудита добавлена поддержка работы c несколькими одновременно включёнными модулями LSM (Linux Security Module).
  • Добавлен virtio-драйвер spi-virtio для доступа к SPI-устройству из виртуальных машин.
  • В гипервизор KVM добавлена поддержка режима SEV-SNP CipherText Hiding, блокирующего чтение шифротекста памяти защищённых гостевых систем в неавторизированном CPU.
• Сетевая подсистема
  • Добавлена поддержка шифрования TCP-соединений, используя протокол PSP (PSP Security Protocol), разработанный компанией Google для шифрования трафика между датацентрами. PSP обеспечивает шифрование, криптографический контроль целостности и аутентификацию источника, реализуя своеобразную комбинацию возможностей протоколов TLS и IPsec. В PSP применяется шифрование на уровне отдельных сетевых соединений, а не всего канала связи. PSP использует отдельные ключи шифрования для разных туннелируемых TCP-соединений для строгой изоляции трафика от разных приложений и обработчиков. Для снижения нагрузки на CPU поддерживается вынос операций шифрования и расшифровки на сторону сетевых карт (offload). В качестве транспорта для передачи данных используется протокол UDP, поверх которого пробрасывается содержимое оригинального пакета TCP.
    
  • Добавлена начальная поддержка расширения AccECN (Accurate Explicit Congestion Notification), представляющего собой улучшенный вариант расширения ECN, позволяющего хостам в случае перегрузки маркировать IP-пакеты вместо их отбрасывания, что даёт возможность определять возникновение начальной стадии затора в каналах связи без потери пакетов. Исходное расширение ECN имеет ограничение, допускающее выставление только одного сигнала о перегрузке в рамках одного цикла приёма-передачи TCP (RTT, Round-Trip Time, отправка запроса и получение ответа). AccECN снимает данное ограничение и даёт возможность получателю передавать отправителю более одной метки о перегрузке в заголовке TCP-пакета. Алгоритмы управления перегрузкой могут использовать полученную информацию для более точного реагирования на перегрузки и не прибегать к резкому снижению интенсивности отправки пакетов при появлении незначительной перегрузки.
  • В UDP-стеке оптимизирована обработка входящих пакетов в условиях DDoS-атак, приводящих к поступлению большого числа пакетов в один или несколько UDP-сокетов. Внесённые оптимизации, такие как снижение конкурирующих блокировок, оптимизация размещения структур данных в памяти и задействование блокировок, учитывающих архитектуру NUMA (Non-Uniform Memory Access), позволили повысить производительность при приёме UDP-пакетов на 47% и выше в экстремальных условиях.
  • Реализована возможность отключения кэширования ввода/вывода в NFS-сервере, что позволяет использовать NFS-сервер в системах с небольшим объёмом памяти (например, урезанных облачных окружениях). Отключение кэша также может быть полезно на нагруженных NFS-серверах для избежания вытеснения из кэша данных, связанных с локальными накопителями, из-за освобождении памяти для кэша NFS.
  • Максимальный размер буферов поступающих и отправляемых пакетов для сетевых сокетов (net.core.rmem_max и net.core.wmem_max) увеличен с 2 МБ до 4 МБ. Выставляемый по умолчанию размер не изменился (net.core.rmem_default и net.core.wmem_default = 2 МБ).
• Оборудование
  • В состав ядра принят драйвер Tyr, написанный на языке Rust и обеспечивающий работу с GPU ARM Mali, в которых применяется технология CSF (Сommand Stream Frontend), таких как Mali G310, G510 и G710. Драйвер пока не готов для постоянного использования обычными пользователями и рассматривается как экспериментальный прототип для тестирования абстракций для разработки драйверов на языке Rust.
  • В драйверы для устройств ввода с интерфейсом HID (Human interface device) добавлена поддержка тачпадов с тактильной связью и датчиками силы нажатия.
  • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. В новой версии добавлен интерфейс madvise, включена поддержка SR-IOV PF (Single Root I/O Virtualization Physical Function), добавлена поддержка режима Intel PSMI для валидации оборудования, обеспечена обработка передаваемой прошивками информации об ошибках, реализован профиль энергопотребления SLPC, добавлена поддержка загрузки вспомогательных прошивок (например, к контроллеру кулера и регулятору напряжения) во время проверки драйвера.
  • В драйвер AMDGPU добавлена поддержка устройств с APU Cyan Skillfish, реализована совместимость с инструментарием criu, в sysfs добавлены метрики температуры, разрешены запросы ремапинга MMIO из пространства пользователя.
  • В драйвере i915 включена поддержка чипов семейства Wildcat Lake и улучшена работа с GPU Jasper Lake, Elkhart Lake, Gen7 и Gen6.
  • Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. В новой версии расширена поддержка прошивок GSP, улучшена реализация макроса "register!", добавлена поддержка классов PCI-устройств и идентификаторов производителей.
  • Добавлен драйвер rocket для NPU ускорителей, применяемых в SoC Rockchip RK3588.
  • Добавлен параметр ядра "boot_display" для выбора устройства вывода для отображения процесса загрузки на системах с несколькими GPU.
  • В драйвере vesadrm реализована поддержка 8-разрядных палитр.
  • В драйвер msm добавлена поддержка GPU Adreno 663 и реализована поддержка технологии снижения энергопотребления IFPC (Inter Frame Power Collapse).
  • В драйвер panthor добавлена поддержка GPU Mali-G710, Mali-G510, Mali-G310, Mali-Gx15, Mali-Gx20 и Mali-Gx25.
  • Добавлена поддержка звуковых систем ASoC Qualcomm Glymur и PM4125, Realtek RT1321, Shanghai FourSemi FS2104/5S, Texas Instruments PCM1754 и TAS2783A, qcs615, CS35L56 B2, tas2118, tas2x20, tas5825. Добавлена поддержка звуковых USB-карт Tascam US-144mkII и Presonus S1824c.
  • Добавлена поддержка ARM CPU Cortex-A320/A520AE/A720AE и C1-Nano/Pro/Premium/Ultra.
  • Добавлена поддержка ARM-плат, SoC и устройств: Apple M2 Pro, M2 Max и M2 Ultr, Sony Xperia SP, Samsung Galaxy S22, Samsung Galaxy S20 FE, ASUS Eee Pad Slider SL101, Lenovo ThinkBook 16, HP Omnibook X14 X1P42100, Dell Inspiron 7441 / Latitude 7455, Sige1, NanoPi Zero2, Axis Artpec8, NXP i.MX91, ROCK 2A/2F, Qualcomm Lemans Auto, Renesas RZ/T2H, RZ/N2H, RZ/T2H и RZ/N2H, Aspeed AST27xx, Meta Clemente BMC, Netcube Nagami som, Tqma91xx, Ultratronik i.MX8MP Ultra-MACH, i.MX8ULP EVK9, Buffalo WXR-1750DHP,

Одновременно латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 6.18 - Linux-libre 6.18-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 6.18 обновлён код чистки blob-ов в драйверах Nova-Core, Intel XE, TI PRUeth, Lantiq GSWIP, Marvell WiFi-Ex. Выполнена чистка имён blob-ов в dts-файлах (devicetree) для ARM-чипов Qualcomm, Mediatek и TI ARM64. Нейтрализована загрузка blob-ов в новых драйверах FourSemi fs2104/5s, TI TAS2783 и Qualcomm GENI.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64346