Выпуск примечателен переходом с использования языка C++98 на язык ANSI C (C89) для обеспечения максимальной переносимости и совместимости со старыми компиляторами и платформами, включая DOS, Windows 95 и PlayStation 1. Проект планируют развиваться постепенно - в первой версии предложены возможности для работы с окнами, событиями ввода и графикой, после чего начнётся развитие 2D-рендера, средств для работы со звуком и шрифтами, бэкендов для работы поверх библиотек SDL 1.2, SDL 2.x, SDL 3.x, SFML и GLFW. Использование бэкендов SDL, SFML и GLFW позволит без изменения кода собирать приложения для платформ, напрямую не поддерживаемых в LDL. В планах на будущее также отмечается создание универсального API для работы со спрайтами и 2D-графикой, который можно использовать независимо от выбранного бэкенда (OpenGL, Vulkan, программная отрисовка, библиотеки типа SDL).

1. Главная ссылка к новости
2. OpenNews: Опубликована мультимедийная библиотека LDL, оптимизированная для маломощных систем
3. OpenNews: Проект SDL3Lite развивает версию библиотеки SDL3 с поддержкой старых систем
4. OpenNews: Доступен порт GTK+ 1.3 для Windows 11

• Добавлена поддержка портала (xdg-desktop-portal) "Background apps" (org.freedesktop.background.Monitor), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке.
• Добавлена поддержка второй версии портала org.freedesktop.impl.portal.InputCapture, применяемого для организации доступа к захвату ввода из изолированных приложений.
• Добавлена возможность переименования или перемещения типового каталога "Projects", который с недавних пор стал создаваться дистрибутивами в домашнем каталоге пользователя в дополнение к каталогам "Documents", "Downloads", "Desktop", "Videos", "Music" и "Pictures".
• Добавлена функция увеличения содержимого экрана без потери качества, основанная на эффекте Zoom в KWin.
• В размещаемый на панели виджет вывода на печать добавлены метки о числе активных и находящихся в очереди работ.
• При запросе X11-приложением, выполняемым через XWayland, прав на отправку программно сгенерированных событий мыши и клавиатуры, теперь отображается имя приложения. В конфигураторе обеспечен вывод списка приложений, которым ранее было предоставлено подобное полномочие.
• Обеспечено применение стиля оформления KDE к диалогам, выводимым Qt-приложениями, использующими QML-тип MessageDialog (например, используется приложением Sticky Note в диалоге подтверждения).
• В менеджере приложений Discover реализована обработка запуска на системах без выхода в интернет. Улучшено информирование о запланированном обновлении прошивки при следующей перезагрузке.
• Упрощено нажатие на кнопки в верхней части Widget Explorer (нажатие теперь срабатывает если кликнуть уперев курсор в границу экрана над кнопкой, без точного попадания по кнопке).
• Реализован учёт дополнительных параметров при автоматическом изменении яркости экрана для более качественной работы в условиях часто меняющегося освещения.
• Убрано ограничение, отводившее 25 секунд на выбор цвета после вызова виджета с пипеткой (Color Picker).
• В KDE Frameworks 6.26 улучшен эффект перехода с плавным затемнением при переключении между страницами в приложениях на базе фреймворка Kirigami.
  
  
  1. Главная ссылка к новости
  2. OpenNews: В KDE повышена эффективность работы на GPU Intel
  3. OpenNews: В KDE добавлена поддержка восстановления сеансов при использовании Wayland
  4. OpenNews: Опубликован KDE Gear 26.04, набор приложений от проекта KDE
  5. OpenNews: Релиз среды рабочего стола KDE Plasma 6.6
  6. OpenNews: Проект SonicDE продолжил развитие KDE для систем с X11

Наиболее важные изменения:

• Движок Wine Mono обновлён до выпуска 11.1.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework.
• Улучшена поддержка раскладок клавиатуры, используя библиотеку libxkbregistry.
• Продолжена работа над реализацией библиотеки msxml (Microsoft XML Core Services), не использующей libxml2.
• Улучшена совместимость с VBScript.
• Закрыты отчёты об ошибках, связанные с работой приложений: Visio 2013, Hoot Sound Hardware Emulator, Altium Designer 18.x-20.x, Enigma Virtual Box, PLSQL Developer, ExamDiffPro.
• Закрыты отчёты об ошибках, связанные с работой игр: Microsoft Golf 99, Rainbow Six: Lockdown, Petka, Creed Shadows.

Одновременно сформирован выпуск проекта Wine Staging 11.8, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 281 дополнительный патч. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.8 и обновлён код vkd3d. В основной состав Wine перенесены патчи, добавляющие в реализацию D3D9 отсутствующие сигнатуры для определения указателей на таблицы виртуальных функций (vtable).

Дополнительно можно отметить выпуск Proton-CachyOS 11, редакции пакета запуска Windows-приложений Proton, развиваемой разработчиками дистрибутива CachyOS. Выпуск синхронизирован с веткой Proton Experimental 11.0-20260428 и отличается применением дополнительных патчей и изменением настроек. С изменениями в ветке Proton 11 можно ознакомиться в анонсе бета-версии.

1. Главная ссылка к новости
2. OpenNews: Доступны Wine 11.7, Wine-staging 11.7 и бета-версия Proton 11.0
3. OpenNews: Стабильный релиз Wine 11.0
4. OpenNews: Выпуск дистрибутива CachyOS 260426
5. OpenNews: Релиз Proton 10.0-4, пакета для запуска Windows-игр в Linux

Из изменений можно отметить:

• В утилите apt убран вывод предупреждения об использовании нестабильного консольного интерфейса. Добавлена опция "--cli-version" для вывода версии CLI.
• На поддерживаемых архитектурах написанная на языке Rust утилита sqv включена в число сборочных зависимостей в конфигурациях без выставленного параметра pkg.apt.nosqv. В Ubuntu утилита sqv задействована вместо gpgv для проверки цифровых подписей.
• В команде "apt history-list" реализована автоматическая адаптация к ширине терминала.
• Проведена модернизация кода с использованием стандарта C++17.

1. Главная ссылка к новости
2. OpenNews: Релиз пакетного менеджера APT 3.2.0
3. OpenNews: В Debian намерены добавить Rust в число обязательных зависимостей к APT
4. OpenNews: Релиз пакетного менеджера APT 3.0.0
5. OpenNews: Выпуск пакетного менеджера APT 3.1.0
6. OpenNews: В Debian 14 намерены удалить слой для совместимости systemd со скриптами sysv-init

Системная часть дистрибутива базируется на пакетной базе Debian и OpenZFS. Программный стек для управления резервным копированием написан на языке Rust и поддерживает инкрементальные бэкапы (на сервер передаются только изменившиеся данные), дедупликацию (при наличии дубликатов хранится только одна копия), сжатие (используется ZSTD) и шифрование резервных копий. Система спроектирована на базе клиент-серверной архитектуры - Proxmox Backup Server может использоваться как для работы с локальными резервными копиями, так и в качестве централизованного сервера для резервного копирования данных с разных хостов. Предоставляются режимы быстрого выборочного восстановления и синхронизации данных между серверами.

Proxmox Backup Server поддерживает интеграцию с платформой Proxmox VE для резервного копирования виртуальных машин и контейнеров. Управление резервными копиями и восстановление данных осуществляется через web-интерфейс. Имеется возможность разграничения доступа пользователей к своим данным. Весь передаваемый трафик от клиентов к серверу шифруется с использованием AES-256 в режиме GCM, а сами резервные копии передаются уже зашифрованными при помощи асимметричного шифрования по открытым ключам (шифрование производится на стороне клиента, и компрометация сервера с резервными копиями не приведёт к утечке данных). Целостность резервных копий контролируется при помощи хэшей SHA-256.

В новом выпуске:

• Осуществлена синхронизация с пакетной базой дистрибутива Debian 13.4. Обновлены ядро Linux 7.0 и OpenZFS 2.4.
• Добавлена возможность перемещения пространств имён и групп резервных копий в другие места в том же хранилище для упрощения реорганизации размещения данных без риска их потери.
• Добавлена поддержка шифрования и расшифровки синхронизируемых резервных копий, что позволяет передавать снапшоты в не заслуживающие доверия сторонние внешние хранилища в зашифрованном виде.
• Добавлена возможность обработки групп резервных копий в несколько потоков для повышения производительности синхронизации.
• Реализована официальная поддержка использования объектных хранилищ, поддерживающих протокол S3, в качестве бэкенда для хранения бэкапов, с возможностью сбора статистики о трафике и числе запросов для мониторинга и отслеживания соблюдения лимитов на трафик.

1. Главная ссылка к новости
2. OpenNews: Представлен Proxmox Datacenter Manager 1.0
3. OpenNews: Доступен дистрибутив Proxmox Backup Server 4.1
4. OpenNews: Выпуск Proxmox VE 9.1, дистрибутива для организации работы виртуальных серверов
5. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2
6. OpenNews: Выпуск дистрибутива для резервного копирования Rescuezilla 2.6

Среди подвергшихся атаке сервисов:

• ubuntu.com,
• canonical.com,
• archive.ubuntu.com,
• security.ubuntu.com,
• assets.ubuntu.com,
• ppa.launchpad.net,
• archive.ubuntu.com,
• jaas.ai,
• maas.io,
• blog.ubuntu.com,
• wiki.ubuntu.com,
• developer.ubuntu.com,
• docs.ubuntu.com,
• keyserver.ubuntu.com,
• login.ubuntu.com,
• academy.canonical.com,
• portal.canonical.com,
• "Ubuntu Security API - CVEs",
• "Ubuntu Security API - Notices",
• "Livepatch API".

1. Главная ссылка к новости
2. OpenNews: Arch Linux временно оставил доступ к сайту только через IPv6 из-за DDoS-атаки
3. OpenNews: Проблемы с доступностью инфраструктуры Arch Linux из-за DDoS-атаки
4. OpenNews: Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов
5. OpenNews: По статистике Cloudflare 6.8% интернет-трафика является потенциально мусорным
6. OpenNews: Атака на провайдера, выведшая из строя 659 тысяч домашних маршрутизаторов

Для установки соединения пользователям нужно обменяться ссылкой, которая содержит адрес SMP-сервера и ключи шифрования. Таким образом, пользователь сам выбирает через какие серверы получать сообщения, будь то официальные серверы, серверы сообщества или личный (self-hosted) сервер. Для сокрытия IP-адреса от SMP-серверов применяется механизм "private routing", обеспечивающий маршрутизацию запросов через ряд независимых SMP-серверов, по аналогии с луковой маршрутизацией, применяемой в сети Tor.

Наиболее важные изменения в выпуске 6.5:

• Добавлена реализация каналов, позволяющих доставлять и управлять информацией с сохранением состояния (stateful). В то время как SMP-очереди обеспечивают однонаправленную доставку пакетов без хранения состояния (stateless) между двумя конечными точками, каналы реализуют модель доставки информации "от одного ко многим" с криптографической идентификацией, независимой от операторов инфраструктуры. Каждый канал может использовать несколько релеев для цензуро- и отказоустойчивости.

  Поверх каналов уже реализованы "публичные каналы" похожие на каналы в Telegram, но с важными отличиями:

  • Автор канала по-настоящему владеет им и контролирует с помощью криптографической подписи. Релеи, которые обеспечивают доставку "от одного ко многим", являются взаимозаменяемыми и не могут действовать от имени владельца канала;
  • Обеспечивается конфиденциальность участия (participation privacy). Релеи являются клиентами в сети SimpleX, таким образом наследуются свойства конфиденциальность с транспортного уровня SMP.
• Подготовка к разделению прав интеллектуальной собственности на протоколы и сеть для предотвращения расхождения интересов бизнеса и пользователей. Создание организации SimpleX Network Consortium.
• В приложении упрощена отправка приглашений для новых пользователей и реализована опциональная поддержка предпросмотра web-ссылок, с возможностью использования SOCKS-прокси для предпросмотра, защитой от фишинга и блокированием отслеживания через ссылки.

1. Главная ссылка к новости
2. OpenNews: Опубликована децентрализованная платформа совместной разработки Radicle 1.7
3. OpenNews: Выпуск P2P-платформы GNUnet 0.25
4. OpenNews: Выпуск открытой P2P-системы синхронизации файлов Syncthing 2.0
5. OpenNews: Выпуск Nebula 1.9, системы для создания оверлейных P2P-сетей
6. OpenNews: Опубликован мессенджер Delta Chat 1.42, использующий email в качестве транспорта

1. Главная ссылка к новости
2. OpenNews: Проект WSL9x для запуска современных Linux-ядер в окружении Windows 95
3. OpenNews: Выпуск Zorin OS 18.1, дистрибутива для пользователей, привыкших к Windows или macOS
4. OpenNews: Выпуск дистрибутива GoboLinux 017.01 с собственной иерархией файловой системы
5. OpenNews: Loss32 - Windows-подобная система, похожая на ReactOS, но на ядре Linux
6. OpenNews: Выпуск операционной системы ReactOS 0.4.15

• CVE-2026-40685 - переполнение буфера на чтение и запись при обработке JSON-данных в заголовке письма.
• CVE-2026-40686 - чтение данных из области вне границ буфера при обработке специально оформленных символов UTF-8 в конце заголовков. Уязвимость может привести к утечке данных из памяти в возвращаемых сообщениях об ошибках.
• CVE-2026-40687 - переполнение буфера на чтение и запись в конфигурациях, использующих драйвер аутентификации SPA (Simple Password Authentication). Уязвимость может быть эксплуатирована при обращении к подконтрольному атакующему серверу SPA/NTLM.
• CVE-2026-40684 - аварийное завершение процесса при обработке специально оформленных данных в DNS-записях PTR. Уязвимость проявляется только на системах с musl libc.

1. Главная ссылка к новости
2. OpenNews: Обновление почтового сервера Exim 4.99.1 с устранением уязвимости
3. OpenNews: Новая версия почтового сервера Exim 4.99
4. OpenNews: Обновление почтового сервера Exim 4.98.2 с устранением уязвимости
5. OpenNews: Обновление почтового сервера Exim 4.98.1 с устранением уязвимости
6. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере

1. Главная ссылка к новости
2. OpenNews: Microsoft открыл код интерпретатора BASIC для микропроцессоров M6502
3. OpenNews: Билл Гейтс опубликовал код первого продукта Microsoft
4. OpenNews: Microsoft открыл код игр Zork I, II и III под лицензией MIT
5. OpenNews: Microsoft открыл код MS-DOS 1.25 и 2.0 под лицензией MIT
6. OpenNews: Microsoft и IBM открыли код операционной системы MS-DOS 4.0

Основные новшества:

• Перенесённые из ядра Linux драйверы USB-контроллеров, Wi-Fi, Ethernet-адаптеров и GPU Intel синхронизированы с ядром 6.18 (ранее использоваться драйверы из ядра 6.12). Для ноутбуков по умолчанию включена поддержка сетевых адаптеров с интерфейсом USB.
• Осуществлён переход с файлов конфигурации в формате XML на использование собственного формата HID (Human-Inclined Data), представляющего данные в форме иерархии узлов, имеющих свои атрибуты. Изменение конфигурации теперь подхватывается на лету, все изменения применяются немедленно, а связи между компонентами можно перестраивать во время работы.
• Обновлены версии программ, включая Qt6 и браузер Falkon.
• Добавлена экспериментальная возможность нативного запуска Goa SDK без создания виртуальной машины с Linux. Компоненты Genode теперь можно разрабатывать, компилировать и тестировать внутри Sculpt OS без запуска виртуальных машин и загрузки других ОС.
• Завершена первая стадия миграция процессов разработки с GitHub на Codeberg. Все репозитории с кодом, за исключением основного, переведены на Codeberg.

Система поставляется с графическим интерфейсом Leitzentrale, позволяющим выполнять типовые задачи по администрированию системы. В левом верхнем углу графического интерфейса отображается меню с инструментами для управления пользователями, подключения накопителей и настройки сетевого соединения. В центре присутствует конфигуратор для определения начинки системы в виде графа, показывающего взаимосвязь между системными компонентами. В интерактивном режиме можно удалять или добавлять компоненты, формируя состав системного окружения или виртуальных машин.

При желании пользователь может переключиться в консольный режим управления, предоставляющий большую гибкость в управлении. Традиционный рабочий стол может быть получен через запуск дистрибутива TinyCore Linux в виртуальной машине с Linux. В данном окружении доступны браузеры Firefox и Aurora, текстовый редактор на базе Qt и различные приложения. Для запуска утилит командной строки предлагается окружение "Noux".

Фреймворк Genode предоставляет унифицированную инфраструктуру для создания пользовательских приложений, работающих поверх ядра Linux (32 и 64 бит) или микроядер NOVA (x86 с виртуализацией), seL4 (x86_32, x86_64, ARM), Muen (x86_64), Fiasco.OC (x86_32, x86_64, ARM), L4ka::Pistachio (IA32, PowerPC), OKL4, L4/Fiasco (IA32, AMD64, ARM). В состав входит паравиртуализированное Linux-ядро L4Linux, работающее поверх микроядра Fiasco.OC, позволяющее выполнять в окружении Genode обычные Linux-программы. Ядро L4Linux не работает с оборудованием напрямую, а использует сервисы Genode через набор виртуальных драйверов.

Для Genode портированы различные компоненты Linux и BSD, обеспечена поддержка Gallium3D, выполнена интеграция Qt, GCC и WebKit, реализована возможность создания гибридных Linux/Genode программных окружений. Имеется порт VirtualBox, работающий поверх микроядра NOVA. Многие приложения адаптированы для запуска напрямую поверх микроядра и окружения Noux, обеспечивающего виртуализацию на уровне ОС. Для запуска не портированных программ предлагается система виртуальных окружений, работающая на уровне отдельных приложений и позволяющая запускать программы в виртуальном Linux-окружении с использованием паравиртуализации.

1. Главная ссылка к новости
2. OpenNews: Проект Genode опубликовал выпуск ОС общего назначения Sculpt 25.10
3. OpenNews: Опубликован план превращения Genode в операционную систему общего назначения
4. OpenNews: Микроядерная ОС Genode переходит на лицензию AGPL
5. OpenNews: Прототип отечественной ОС Phantom на базе Genode будет готов до конца года

Основные изменения:

• Режим по умолчанию для языка C++ переключён на использование стандарта C++20 (диалект GNU C++20, -std=gnu++20) вместо ранее предлагавшегося C++17. Реализация C++20 в стандартной библиотеке объявлена стабильной.
• В состав включён экспериментальный фронтэнд ga68 для компиляции программ на языке программирования Алгол 68 (Algol 68).
• Добавлена возможность вывода диагностической информации в формате HTML. Расширена информация о ходе выполнения программы, включаемая при выводе диагностики в формате SARIF, основанном на JSON (поддержка "-fdiagnostics-format=json" прекращена).
• Расширены оптимизации на этапе связывания (LTO, Link-Time Optimization). Добавлена опция "-flto-toplevel-asm-heuristics", включающая эвристику для улучшения оптимизации кода с ассемблерными вставками. Техника спекулятивной девиртуализации (-fdevirtualize-speculatively) теперь не ограничена преобразованием виртуальных методов и может применяться при преобразовании в прямые вызовы любых косвенных вызовов функций, например, вызовов через указатели.
• Реализована поддержка векторизации циклов, для которых на этапе компиляции неизвестно число итераций. Повышена эффективность обработки досрочных выходов из цикла (например, через break).
• Добавлена экспериментальная поддержка многих возможностей недавно утверждённого стандарта C++26. Например, реализованы:
  • Рефлексия (Reflection, "-freflection"), позволяющая отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "^^" для получения метаинформации о грамматической конструкции и "[:…:]" для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами.
  • Контрактное программирование (Contracts), позволяющее определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений.
  • Оператор "template for" для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений.
  • Библиотека std::simd для распараллеливания выполнения операций над данными при помощи наборов инструкций SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.
  • Библиотеки std::inplace_vector, std::optional<T&>, std::copyable_function, std::function_ref, std::indirect, std::polymorphic и std::owner_equal.
• Реализованы возможности, связанные со стандартом C++23, такие как явное управление временем жизни объектов и поддержка указания кодировки символов диагностических сообщений.
• Расширена поддержка стандарта C23, например, реализована возможность использования атрибута "counted_by" для проверки корректности использования указателей.
• Продолжена реализация стандартов OpenMP 5.0, 5.1, 5.2 и 6.0 (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Улучшена реализация спецификаций параллельного программирования OpenACC 3.0, 3.3 и 3.4, определяющих средства для выноса операций (offloading) на GPU и специализированные процессоры, такие как NVIDIA PTX.
• В бэкенд для архитектуры x86 добавлена поддержка процессоров AMD на основе микроархитектуры Zen6 (-march=znver6), а также процессоров Intel Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).
• В бэкенде генерации кода для GPU AMD Radeon (GCN) реализована поддержка ускорителей AMD Instinct MI300 (gfx942).
• Для архитектур RISC-V, ARM, S/390 и LoongArch реализована поддержка типа "_BitInt (N)" для определения целых чисел с указанным числом битов.
  1. Главная ссылка к новости
  2. OpenNews: Релиз набора компиляторов GCC 15
  3. OpenNews: GCC-бэкенд достиг возможности полной раскрутки компилятора rustc. Выпуск Rust Coreutils 0.1.0
  4. OpenNews: Релиз набора компиляторов LLVM 22
  5. OpenNews: Утверждён стандарт C++26

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG) ядра Linux, допущенной в 2017 году при внесении оптимизации, убирающей лишнюю буферизацию через выполнение по месту (in-place) операций блочного шифрования AEAD (Authenticated Encryption with Associated Data). Проблема возникла из-за необдуманного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. После внесения оптимизации при передаче файла в сокет AF_ALG для расшифровки в структуру scatterlist записывалась не ссылка на отдельный буфер, а прямая ссылка на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD вместе использовались привязанные по ссылке данные тега аутентификации ("authentication tag") из страничного кэша и копируемые в RX-буфер дополнительные аутентифицируемые данные (AAD, Associated Authenticated Data) и шифротекст, а смещение для операции записи в тег аутентификации рассчитывалось с учётом скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта по выбранному смещению, что позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в запускаемые исполняемые файлы или загружаемые разделяемые библиотеки.

Для выполнения кода с правами root достаточно добиться изменения страничного кэша для любого исполняемого файла с флагом suid root. В предложенном эксплоите выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для подстановки в него своего кода. При последующем запуске утилиты "su" будет загружен в память не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA. Актуальные версии Android не подвержены атаке из-за ограничения доступа к сокетам AF_ALG при помощи SELinux.

На системах, в которых поддержка AEAD собрана в форме модуля, а не вкомпилирована при сборке с опцией "CONFIG_CRYPTO_USER_API_AEAD=y", в качестве обходного пути защиты можно отключить модуль ядра algif_aead. Отключение может повлиять на конфигурации с OpenSSL, в которых AF_ALG используется при явном включении движка afalg, а также на отдельные приложения (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG").

   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead

Дополнение 1: Опубликованы обновления ядра 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85 с устранением уязвимости. Рассматривается возможность пометки функциональности AF_ALG устаревшей с последующим удалением из ядра в пользу использования криптобиблиотек в пространстве пользователя.

Дополнение 2: Доступны варианты эксплоитов на языках Си и Go.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
3. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
4. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе
5. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
6. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

• Реализована изоляция процесса мониторинга при помощи механизма Landlock, позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.
• Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.
• Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.
• Устранена уязвимость (CVE-2026-39402), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала новую версию системы управления контейнерами LXD 6.8. LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений в LXD 6.8:

• Добавлена функция связывания кластеров (Cluster links), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.
• Добавлена новая роль узлов кластера - "control-plane", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.
• Реализованы репликаторы, позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.
• Добавлена поддержка горячего подключения устройств GPU CDI (Container Device Interface) к работающим контейнерам.
• В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).
• В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.

1. Главная ссылка к новости
2. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
3. OpenNews: Выпуск системы управления контейнерами LXC 5.0
4. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
5. OpenNews: Первый выпуск Incus, форка системы управления контейнерами LXD
6. OpenNews: Компания Canonical перевела проект LXD на лицензию AGPLv3

Основные изменения:

• C движком поставляются новые карты от энтузиастов, созданные на новом редакторе: "Ravenhold", "Apocalypse", "Final Invasion", а также обновлённые версии уже знакомых карт - "Eruption" и "7 Deserts".
• В окно с информацией о сценарии для каждой карты добавлена кнопка "О карте", позволяющая посмотреть подробности о картах.
• Добавлены новые спрайты перекрёстков дорог для естественного отображения определённых соединений на карте.
• Реализована возможность выбирать артефакты для объектов "случайный артефакт".
• Исправлены недочёты в генераторе случайных карт.
• Дополнены условия размещения объектов в редакторе, что позволит создавать ещё более уникальные ландшафты.
• Ускорен процесс переключения между языками внутри движка.
• Реализован новый дизайн окна режима "Битва" и добавлена поддержка "злого" оформления для этого окна.
• "Порядок действий" в бою по выбору игрока можно отображать под окном битвы.
• Добавлена полноценная поддержка MIDI для PS Vita.
• Закрыто свыше 40 уведомлений об ошибках и предложений по улучшению проекта.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск fheroes2 1.1.11, открытого движка Heroes of Might and Magic 2
  3. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III