Опубликован выпуск пакета wayland-protocols 1.46, содержащего набор протоколов и расширений, дополняющих базовый протокол Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений.
В новой версии:
Добавлен экспериментальный протокол xx-input-method, позволяющий приложениям реализовывать методы ввода текста для композитных серверов и формировать введённый текст, что может применяться, например, для создания виртуальных клавиатур и IME-прослоек (Input Method Editor) для обработки ввода.
Добавлен экспериментальный протокол xx-text-input, позволяющий композитным серверам реализовывать методы ввода и отправлять текст в приложения. Протокол стандартизирует взаимодействие между композитным сервером и приложениями, и позволяет управлять такими возможностями, как передача вводимого текста, обработка событий об изменении фокуса ввода и учёт специфики полей ввода (язык, выделение текста, тип контента).
Доработаны протоколы color-management-v1 и color-representation-v1, предоставляющие возможности для управления цветом, поддержки HDR и
определения цветового представления Wayland-поверхности.
Все протоколы последовательно проходят фазы разработки, тестирования и стабилизации. После завершения стадии разработки (категория "unstable") протокол помещается в ветку "staging" и официально включается в состав набора wayland-protocols, а после завершения тестирования перемещается в категорию стабильных. Протоколы из категории "staging" уже можно применять в композитных серверах и клиентах, где требуется связанная с ними функциональность. В отличие от категории "unstable" в "staging" запрещено внесение изменений, нарушающих совместимость, но в случае выявление проблем и недоработок в ходе тестирования, не исключается замена новой значительной версией протокола или другим Wayland-расширением.
Для ускорения доведения протоколов до разработчиков и стимулирования ранней реализации протоколов в существующих проектах, начиная с позапрошлого выпуска дополнительно была добавлена фаза "experimental", в которой допускается внесение изменений, нарушающих совместимость, и добавление "сырых" протоколов, которые можно постепенно доводить до должного уровня. Если для попадания протокола в фазу "staging" требуется сформировать команду поддержки и получить определённое число подтверждений (ACK) от участников рецензирования, то для попадания в "experimental" достаточно отсутствия возражений (NACK) в течение двухнедельного периода рецензирования.
В настоящее время в состав набора wayland-protocols входят следующие стабильные протоколы, в которых обеспечивается обратная совместимость:
"viewporter" - позволяет клиенту выполнять действия по масштабированию и обрезанию краёв поверхности на стороне сервера.
"xdg-shell" - интерфейс создания и взаимодействия с поверхностями как с окнами, позволяющий передвигать их по экрану, сворачивать, разворачивать, изменять размер и т.д.
"linux-dmabuf" - предоставляет возможности для создания wl_buffer-ов на базе DMA-BUF.
"tablet" - организация ввода с графических планшетов.
drm-lease - предоставляет ресурсы, необходимые для формирования стереокартинки с разными буферами для левого и правого глаза при выводе на шлемы виртуальной реальности.
"ext-session-lock" - определяет средства блокировки сеанса, например, во время работы хранителя экрана или вывода диалога аутентификации.
"single-pixel-buffer" - позволяет создавать однопиксельные буферы, включающие четыре 32-разрядных значения RGBA.
"xdg-activation" - позволяет передать фокус между разными поверхностями первого уровня (например, при помощи
xdg-activation одно приложение может переключить фокус на другое).
content-type - позволяет клиентам передать композитному серверу сведения об отображаемом содержимом, которые могут использоваться для оптимизации поведения с учётом содержимого, например, выставлении специфичных DRM-свойств, таких как "content type". Заявлена поддержка следующих типов контента: none (нет сведений о типе данных), photo (вывод цифровых фото, требующий минимальной обработки), video (видео или анимация, требуется более точная синхронизация, чтобы исключить подтормаживания) и game (запуск игр, требуется вывод с минимальной задержкой).
ext-idle-notify - даёт возможность композитным серверам передавать клиентам уведомления о неактивности пользователя, что может использоваться для активации дополнительных режимов энергосбережения после определённого времени неактивности.
tearing-control - позволяет отключить в полноэкранных приложениях вертикальную синхронизацию (VSync) с кадровым гасящим импульсом, применяемую для защиты от появления разрывов при выводе (tearing). В мультимедийных приложениях появление артефактов из-за разрывов является нежелательным эффектом, но в игровых программах с артефактами можно смириться, если борьба с ними приводит к дополнительным задержкам.
ext-foreign-toplevel-list - получение информации о поверхностях, размещённых на самом верхнем уровне (toplevel), которые позволяют организовать закрепление окон поверх другого содержимого, например, для подключения собственных панелей и переключателей окон.
security-context - позволяет идентифицировать клиентов, использующих sandbox-изоляцию. Клиент может зарегистрировать новое подключение к композитному серверу на базе Wayland и прикрепить к нему контекст безопасности, после чего в соответствии с указанным контекстом безопасности композитный менеджер ограничит возможности, доступные для установленного соединения.
cursor-shape - альтернативный способ настройки внешнего вида курсора, основанный на передаче серии изображений курсора вместо привязки к поверхности (wl_surface).
"ext-transient-seat" - предназначен для создания временных независимых сеансов (seat), рассчитанных на использование вместе с виртуальными устройствами ввода. Например, при реализации возможности подключения к удалённому рабочему столу протокол позволяет создать для каждого пользователя отдельный сеанс с виртуальными клавиатурой и мышью.
"xdg-toplevel-drag" - расширяет механизм "drag & drop" возможностью прикрепления окон верхнего уровня к операции перемещения, что может быть использовано, например, для организации перетаскивания мышью панелей инструментов или вкладок браузера. Новый протокол позволяет создавать отсоединяемые части окна, которые при перетаскивании из этого окна становятся новыми окнами и могут перемещаться поверх существующего окна перед повторным прикреплением.
"xdg-dialog" - позволяет назначать поверхностям верхнего уровня признаки, специфичные для диалоговых окон, например, можно создавать модальные диалоги, которые блокируют взаимодействие пользователя с остальной частью интерфейса.
"linux-drm-syncobj" - предоставляет инструменты для явной синхронизации буферов при помощи объектов синхронизации DRM (Direct Rendering Manager). Предполагается, что в контексте синхронизации при отрисовке в буфер предложенный протокол позволит улучшить работу с драйверами на базе графических API Vulkan и OpenGL (реализация базируется на обработчиках в драйверах). Новый протокол даёт возможность убедиться, что операция отрисовки в буфер завершена до того, как композитный менеджер отобразит данный буфер.
alpha-modifier, позволяющий клиентам менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера, который в свою очередь может переадресовать эти операции KMS.
xdg-system-bell - позволяет выводить системный сигнал, который может использоваться, например, как предупреждение в эмуляторе терминалов. Форма вывода сигнала определяется на усмотрение композитного менеджера, это может быть не только звук, но визуальный отклик.
fifo - реализует FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. С практической стороны протокол позволяет при выводе использовать ожидание завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
commit-timing - позволяет привязать ограничение времени к содержимому поверхности (композитный сервер должен отобразить изменение контента по возможности через указанное время, но не раньше).
ext-data-control - позволяет привилегированным клиентам управлять обработкой данных, например, для реализации менеджеров буфера обмена.
ext-workspace - реализует концепцию виртуальных рабочих столов и предлагает события с информацией о состоянии рабочих столов, а также возможности для активации и деактивации рабочих столов. Протокол может применяться для создания панелей и индикаторов, выводящих список доступных виртуальных рабочих столов и позволяющих переключаться между ними.
color-management - предоставляет возможности для управления цветом и поддержки расширенного динамического диапазона яркости (HDR, High Dynamic Range). При помощи добавленного расширения клиентские приложения могут получать информацию о связанных с цветопередачей свойствах устройств вывода и передавать композитному серверу данные о свойствах цветопередачи собственного контента. В композитном сервере данная информация может использоваться для автоматического управления цветом при отображении содержимого на различных устройствах вывода, например, для преобразования контента в предоставление, подходящее для отображения на HDR-мониторах. Для описания цветовых пространств используются профили ICC.
xdg-toplevel-tag - позволяет Wayland-клиентам прикреплять теги к поверхностями верхнего уровня, которые композитный сервер может использовать для идентификации окон после перезапуска приложения (например, приложение может выставить теги "main window" и "settings" для основного окна и окна с настройками). Подобная идентификация полезна для восстановления позиции, размера и свойств окон после перезапуска, а также для определения особых правил для отдельных видов окон.
color-representation - определение цветового представления Wayland-поверхности. Wayland-клиенты могут передавать метаданные, необходимые для определения прозрачности, цветовой модели, субдискретизации и диапазона квантования, и применяемые при преобразовании буфера с данными, соответствующими цветовой модели YCbCr, в представление RGB.
ext-background-effect - применение эффектов к полупрозрачным частям Wayland-поверхности, таких как размытие фона.
pointer-warp - позволяет приложению мгновенно переместить указатель в указанную позицию.
Протоколы, разрабатываемые в ветке "experimental":
xx-session-management - восстановление состояния окон для прерванных сеансов (например, после аварийного завершения композитного менеджера).
"primary-selection" - по аналогии с X11 обеспечивает работу первичного буфера обмена (primary selection), вставка информации из которого обычно осуществляется средней кнопкой мыши.
"relative pointer events" - относительные события указателей.
"text-input" - организация ввода текста.
"xdg-foreign" - интерфейс взаимодействия с поверхностями "соседнего" клиента.
"xdg-decoration" - отрисовка декораций окон на стороне сервера.
"xdg-output" - дополнительные сведения о видеовыходе (используется для дробного масштабирования).
"xwayland-keyboard-grab" - захват ввода в приложениях XWayland.
Опубликован выпуск приложения Startwine-Launcher 412, развиваемого для запуска в Linux-системах программ и игр, собранных для платформы Windows. Основной целью разработки StartWine-Launcher было упрощение процесса создания новичками префиксов Wine, - наборов библиотек и зависимостей Windows, необходимых для работы Windows-приложений в Linux. Код StartWine-Launcher написан на языке Python и распространяется под лицензией GPLv3. Интерфейс реализован на основе библиотеки GTK.
Основные изменения:
Обновлён список версий Wine, dxvk и vkd3d. Добавлены старые версии Wine staging и Proton Ge.
Добавлена функция создания резервной копии сохранений. Теперь они будут создаваться автоматически каждые 5 дней после закрытия игры или приложения.
В конфигурационные файлы app_config добавлены параметры тонкой настройки для опытных пользователей.
Возвращено отображение всплывающих окон в режимах OpenGL и Vulkan.
Кэш шейдеров по умолчанию размещён в каталоге "/home/user/.cache".
Добавлен репозиторий Huggingface для загрузки и установки StartWine.
Изменена логика загрузки Proton Ge - при загрузке в StartWine он отображается в родном каталоге Steam "/home/user/.steam/root/compatibilitytools.d".
Исправлены вспомогательные функции в sw_runlib.
Исправлена автоматическая установка EA Launcher.
Исправлена функция обновления StarWine через графический интерфейс.
Опубликован выпуск СУБД MariaDB 12.1.2, который отмечен как первый стабильный релиз ветки 12.1. Ветка MariaDB 12.1 отнесена к промежуточным выпускам (rolling), продолжает постепенное развитие функциональности и пришла на смену ветке MariaDB 12.0. Одновременно опубликован выпуск MariaDB 12.2.1, имеющий статус кандидата в релизы. Ветка MariaDB 12.1 будет сопровождаться до формирования выпуска 12.2.2.
Проектом MariaDB развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с открытым и прозрачным процессом разработки, не зависящим от отдельных производителей. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL, SUSE, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.
В движке хранения Aria реализован сегментированный кэш ключей, в котором ключи разбиваются на группы, хранимые в отдельных сегментах кэша. Новый кэш позволил повысить производительность паралеллельного выполнения запросов разными пользователями. Число сегментов задаётся через переменную aria_pagecache_segments, которая может принимать значения от 1 (по умолчанию) до 128.
Разрешено использование репликации в параллельном режиме при асинхронной репликации данных между двумя кластерами Galera.
В плагин для ведения лога аудита добавлена поддержка буферизации операции записи в лог. Размер буфера задаётся через переменную server_audit_file_buffer_size.
На 30-50% ускорены операции поиска для данных с типом VECTOR.
Добавлен новый плагин аутентификации caching_sha2_password, применяющий для хэширования алгоритм SHA2 вместо SHA1. Плагин совместим с одноимённым плагином, появившемся в MySQL 9.0.
В режиме совместимости с СУБД Oracle реализована поддержка ассоциативных массивов (INDEX BY) и синтаксиса "( + )" для определения внешних слияний (outer join), например:
SELECT * FROM table1, table2 WHERE table1.rec_num = table2.fk_table1( + );
TYPE type_name TABLE OF rec_type_name INDEX BY idx_type_name;
Добавлены новые опции управления оптимизатором: [NO_]JOIN_INDEX, [NO_]GROUP_INDEX, [NO_]ORDER_INDEX, [NO_]INDEX, [NO_]SPLIT_MATERIALIZED, [NO_]DERIVED_CONDITION_PUSHDOWN, [NO_]MERGE.
В утилиту mariadb-dump добавлена возможность указания масок (например, "database_*"), используя опцию "-L" (--wildcards).
Убрано требование по уникальности идентификаторов внешних ключей (foreign key) в контексте всей БД (достаточно уникальности на уровне таблицы).
Добавлена возможность использования индексов на основе функций (functional index) для повышения производительности операций GROUP/ORDER BY.
В результатах трассировки оптимизатора обеспечен показ определений
таблиц и представлений.
Комитет, управляющий разработкой набора компиляторов GCC (GCC Steering Committee), утвердил включение в кодовую базу GCC фронтэнда gcc-a68 для поддержки языка программирования Алгол 68 (Algol 68), разработанного в конце 1960-годов. После интеграции фронтэнда штатный инструментарий GCC сможет использоваться для компиляции программ на языке Алгол 68 без необходимости установки компилятора GNU Algol 68. В экспериментальном режиме фронтэнд будет доступен в выпуске GCC 16, запланированном на весну следующего года.
Фронтэнд для Алгол 68 добавлен с некоторыми оговорками: он не будет включён в сборки по умолчанию и не будет учитываться при оценке готовности GCC к релизу. Кроме того, разработчикам, не отвечающим за разработку фронтэнда для Алгол 68, дана возможность отказываться от работы над проблемами, связанными с данным фронтэндом. В случае проблем с сопровождением фронтэнд будет удалён.
Рик Байерс (Rick Byers), один из технических руководителей команды, занимающейся разработкой Google Chrome, заявил о готовности включить в движок Chromium высокопроизводительный и безопасный при работе с памятью декодировщик для формата изображений JPEG-XL. В качестве основного критерия для активации декодировщика JPEG-XL по умолчанию упоминается готовность к его длительному сопровождению.
Отмечается, что решение принято в связи с изменением ситуации после последней оценки состояния внедрения JPEG XL. За прошедшие два года поддержка JPEG XL была добавлена в браузер Safari, о намерении поддерживать JPEG XL заявили разработчики Firefox, принято решение включить поддержку JPEG XL в спецификацию PDF. Кроме того, Google учёл пожелания, высказанныеразработчикамипосле осуществлённого в 2022 году удаления JPEG XL из Chrome. Удаление было выполнено под предлогом низкого интереса со стороны экосистемы, отсутствия достаточных преимуществ и желания снизить нагрузку при сопровождении.
Следом за объявлением Рика, другой разработчик опубликовал отчёт о состоянии предложенной для включения в Chrome реализации JPEG-XL. Указано, что в качестве основы использован ранее развивавшийся в Chromium код для поддержки JPEG-XL, который был обновлён и синхронизирован с эталонной реализацией libjxl. Из изменений отмечена поддержка анимации (другие браузеры пока не поддерживают анимацию).
Формат JPEG XL был стандартизирован в 2021 году (ISO/IEC 18181) как универсальная замена JPEG, поддерживающая сжатие существующих JPEG-файлов без потери качества, широкий динамический диапазон, высокое разрешение и многослойные изображения. Среди преимуществ JPEG XL:
Снижение размера до 60% по сравнению с изображениями JPEG идентичного качества;
Поддержка HDR, анимации, прозрачности, режима прогрессивной загрузки;
Плавное ухудшение качества при уменьшении битрейта;
Сжатие JPEG без потерь (уменьшение размера JPEG до 21% c возможностью восстановления исходного состояния);
Поддержка до 4099 каналов;
Большой диапазон глубин цвета;
Отсутствие необходимости выплаты патентных отчислений и наличие открытой эталонной реализации под лицензией BSD.
В корректирующем выпуске библиотеки libpng 1.6.51, применяемой в качестве прямой зависимости у около 600 пакетов в Ubuntu, устранены 4 уязвимости, одна из которых (CVE-2025-65018) приводит к записи за границу буфера. Потенциально данная уязвимость позволяет добиться выполнения своего кода при обработке специально оформленных файлов в формате PNG.
Проблема затрагивает приложения, использующие упрощённый API (png_image_finish_read), и вызвана ошибкой в функции png_combine_row(). Уязвимость проявляется при использовании 8-битного RGBA-формата вывода (PNG_FORMAT_RGBA) для изображений с 16-битным представлением цвета на канал и чересстрочным кодированием (interlaced). Переполнение возникает из-за попытки записи данных с 16-битным представлением цвета в буфер, размер которого был вычислен из расчёта использования 8-бит на цветовой канал.
Вызвавший проблему код был добавлен в январе 2016 года в коммите "Simplified API: write-to-memory, overflow handling", в котором исправляли проблемы с переполнениями при обработке изображений. Все это время проблема оставалась незамеченной.
Остальные три уязвимости (CVE-2025-64505, CVE-2025-64506, CVE-2025-64720) приводят к чтению из области памяти вне границ буфера и могут использоваться для вызова аварийного завершения приложения или организации утечки остаточных данных из памяти процесса.
Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Arch,
Fedora, FreeBSD.
Опубликован очередной еженедельный отчёт о разработке KDE. Наиболее заметные изменения, развиваемые для выпуска KDE Plasma 6.6, запланированного на 12 февраля:
В KDE Plasma и KWin значительно повышена плавность анимации при использовании экранов с частотой обновления больше 60Hz.
Проведена оптимизация KWin, сократившая выполнение лишних действий при композитинге.
Предоставлена возможность пометки отдельных окон для их исключения при захвате содержимого экрана (в скринкастах подобные окна и связанные с ними всплывающие окна будут скрыты). Окно можно пометить через контекстные меню в заголовке и менеджере задач, а также в редакторе оконных правил.
Предоставлена возможность настройки насыщенности фона для эффекта размытия содержимого. В тёмной цветовой схеме по умолчанию реализовано более тёмное размытие, а насыщенность увеличена на 150%.
Модернизирован интерфейс диалогового окна для управления удалённым доступом (1, 2, 3, 4).
При прокручивании сгруппированных пиктограмм в менеджере задач, окна теперь выводятся в порядке последнего обращения к ним, без приоритезации полноэкранных задач.
В редакторе меню (KMenuEdit) реализована поддержка выделения одновременно нескольких элементов для ускорения массового удаления.
Из виджета буфера обмена (klipper) убрана кнопка для показа диалога просмотра QR-кода - QR-код теперь сразу показывается в интерфейсе.
В конфигураторе при попытке удаления целиком группы ярлыков реализован запрос на подтверждение операции с подсветкой подлежащих удалению элементов.
Разработчики проекта openSUSE представили инсталлятор Agama 18, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST. Agama поддерживает использование различных фронтэндов, например, фронтэнда для управления установкой через web-интерфейс. Agama заменил собой классический интерфейс установки в выпусках SUSE Linux Enterprise Server 16 и openSUSE Leap 16. Код компонентов инсталлятора распространяется под лицензией GPLv2 и написан на языках Ruby, Rust и JavaScript/TypeScript.
Для оценки нового инсталлятора сформированы live-сборки для архитектур x86_64, ppc64le, s390x и ARM64. В сборках доступны для установки версия openSUSE Leap 16, непрерывно обновляемые сборки openSUSE Tumbleweed и openSUSE Slowroll, а также редакции MicroOS и openSUSE Leap Micro.
Цели разработки Agama: устранение имеющихся ограничений графического интерфейса; расширение возможностей по использованию функциональности YaST в других приложениях; уход от привязки к одному языку программирования; стимулирование создания альтернативных настроек представителями сообщества. Инсталлятор предоставляет такие функции, как выбор начального набора приложений, настройка сетевого подключения, языка, клавиатуры, часового пояса и параметров локализации, подготовка устройства хранения и разбивка разделов, добавления пользователей в систему.
Для установки пакетов, проверки оборудования, разбивки дисков и прочих необходимых при инсталляции функций в Agama продолжают использоваться библиотеки YaST, поверх которых реализованы сервисы-прослойки, абстрагирующие доступ к библиотекам через унифицированный коммуникационный протокол на базе HTTP. В инсталляторе используется многопроцессная архитектура, благодаря которой интерфейс взаимодействия с пользователем не блокируется во время выполнения других работ.
Базовый интерфейс для управления установкой построен с использованием web-технологий. Web-интерфейс написан на JavaScript с использованием фреймворка React и компонентов PatternFly. Сервис для обмена сообщениями, а также встроенный http-сервер, написаны на языке Ruby. Интерфейс показывается в браузере, который запускается в графическом окружении на базе Wayland (создаётся урезанное окружение на базе композитного менеджера Mutter и Firefox).
В новой версии:
Переделана страница конфигурирования накопителей. Разработчики попытались совместить в одном интерфейсе понятность для новичков с возможностью доступа опытных пользователей к расширенным настройкам.
Улучшен интерфейс для настройки устройств хранения DASD (Direct Access Storage Device), применяемых на мейнфреймах System/390.
Расширены возможности управления конфигурацией в формате JSON. Добавлена поддержка локальной проверки JSON-профиля без запуска инсталлятора. Реализованы средства для управления из профиля ответами на вопросы инсталлятора. Предоставлена возможность удаления отдельных шаблонов установки, в дополнение к замене всего списка.
Добавлена возможность обновления версии инсталлятора из внешнего репозитория перед началом процесса установки.
Добавлены опции для установки ранних альфа-версий SUSE Linux 16.1.
В дальнейшем планируют добавить поддержку тестовых версий openSUSE 16.1 и атомарной редакции openSUSE Kalpa.
Компания Collabora объявила о прогрессе в разработке для ядра Linux драйвера Tyr, написанного на языке Rust. Драйвер рассчитан на работу с GPU ARM Mali, в которых применяется технология CSF (Сommand Stream Frontend), таких как Mali G310, G510 и G710. Отмечается, что Tyr достиг уровня, пригодного для обеспечения работы среды рабочего стола GNOME, композитного сервера Weston и полноэкранных игр, таких как SuperTuxKart. Производительность нового драйвера оценена как сопоставимая с драйвером Panthor, написанном на языке Си.
Код драйвера Tyr принят в состав ядра Linux 6.18, релиз которого ожидается в начале декабря. При этом драйвер пока не готов для постоянного использования обычными пользователями и рассматривается как экспериментальный прототип для тестирования абстракций для разработки драйверов на языке Rust.
В качестве каркаса при создании нового драйвера использованы компоненты абстрактного драйвера rust_platform_driver и драйвера Nova, развиваемого для GPU NVIDIA, написанного на Rust и добавленного в ядро Linux 6.16. Функциональность для взаимодействия с GPU Mali портирована из существующего DRM-драйвера Panthor (Direct Rendering Manager), написанного на языке Си. uAPI драйвера Tyr идентичен uAPI драйвера Panthor, что позволяет использовать с ним уже существующие компоненты пространства пользователя.
Технология CSF, применяемая начиная с 10 поколения GPU Mali, примечательна выносом на сторону прошивки некоторых функций драйвера и задействованием новой модели организации выполнения работ на GPU.
В GPU с интерфейсом CSF вместо модели на основе отправки цепочки работ применяется модель на основе потока команд с планированием очереди потока команд на стороне прошивки. Для организации работы планировщика в GPU встроен отдельный микроконтроллер Cortex-M7, а для выполнения инструкций CSF предусмотрен специальный блок выполнения команд (Command Execution Unit).
Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал инструментарий для глубокого инспектирования пакетов nDPI 5.0, продолжающий развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.
Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).
Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.
Поддерживается определение 56 типов сетевых угроз (flow risk) и более 450 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365,
Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
Реализован универсальный механизм для идентификации трафика, комбинирующий в одном маркере трафика (fingerprint) метаданные о слепках TCP, хэшах TLS-сертификата и JA4 (идентификаторы для определения сетевых протоколов и приложений). Новый механизм позволяет более точно определять и сопоставлять шифрованный или обфусцированный трафик.
Добавлена возможность определения потоков TLS, QUIC и HTTP, в которых фигурируют имена хостов (например, в SNI для TLS/QUIC и в заголовке Host для HTTP), для которых ранее не выполнялся резолвинг через DNS. Подобная активность может применяться для выявления аномалий, скрытых каналов передачи данных и методов обхода фильтрации.
До 2^16 поднято ограничение на число определяемых протоколов и категорий трафика, что позволяет выявлять практически неограниченное число протоколов при инспектировании трафика. Все доступные протоколы теперь включены по умолчанию.
В правила добавлены новые опции для классификации трафика по
слепкам (fingerprint), JA4-идентификаторам приложений и протоколов, HTTP URL и категориям.
Улучшена поддержка технологии FPC (First Packet Classification), нацеленной на определение протоколов, приложений и сервисов по первому пакету, отправляемому при установке соединения. FPC позволяет существенно снизить нагрузку на CPU при инспектировании трафика.
Удалена поддержка псевдопротоколов, таких как ADULT_CONTENT, LLM и ADS_ANALYTICS_TRACK, вместо которых теперь используется классификация на основе категорий.
Добавлена поддержка и возможность разбора новых протоколов, среди которых Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN и Akamai.
Добавлены новые подкатегории и расширена классификация сервисов Amazon/AWS.
Добавлено около 30 новых категорий и повышена детализация при анализе трафика.
Добавлен анализатор размера блоков данных для TLS-соединений.
Добавлена возможность создания стеков протоколов, охватывающих два и более протокола при классификации трафика.
Добавлены новые API для ранжирования трафика и кодирования/декодирования шестнадцатеричных последовательностей.
Обновлены списки ботов, сетевых сканеров и пулов майнинга.
Обновлён код для разбора протоколов HTTP, TLS и STUN.
Ускорена инициализация и повышена эффективность управления памятью.
Опубликован набор патчей с устранением 6 уязвимостей в загрузчике GRUB2, большинство из которых приводит к обращению к памяти после её освобождения (use-after-free). Потенциально выявленные проблемы могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Arch и
Fedora. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.
Выявленные уязвимости:
CVE-2025-61661 - запись за пределы выделенного буфера в функции grub_usb_get_string(), которая может быть эксплуатирована при обработке строк в кодировке UTF-8 и UTF-16, передаваемых при подключении USB-устройств. Проблема вызвана тем, что буфер выделялся на основании размера строки, указанного в первом сообщении от USB-устройства, в размер при выполнении преобразования кодировки вычислялся на основе последующих операций чтения c USB-устройства. Соответственно, для атаки можно использовать модифицированное USB-устройство, изначально возвращающее заниженное значение размера.
CVE-2025-61663, CVE-2025-61664, CVE-2025-54770, CVE-2025-61662 - отсутствие очистки обработчиков команд "normal", "normal_exit", "net_set_vlan" и "gettext" при выгрузке модулей "normal", "net" и "gettext", создающее условия для обращения к памяти после её освобождения (use-after-free) в случае выполнения отмеченных команд после выгрузки соответствующих модулей. Похожие уязвимости также найдены для команд "functional_test" и "all_functional_test", но им не присвоены CVE-идентификаторы, так как данные команды входят в состав тестовой библиотеки и не должны включаться в рабочие сборки.
CVE-2025-54771 - ошибка при подсчёте ссылок на структуры "fs" в функции grub_file_close(), приводящая к обращению к памяти после её освобождения (use-after-free).
В большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, например, для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.
Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd в большинстве популярных дистрибутивов Linux. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI дополнительных метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут отдельно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot.
SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.
Компании HP и Dell в ряде современных ноутбуков намеренно отключили аппаратное декодирование видео с использованием видеокодека HEVC (H.265), хотя используемые процессоры AMD и Intel технически поддерживают эту возможность. HP упоминает об отключении аппаратного ускорения HEVC в спецификациях некоторых моделей ProBook и EliteBook. У Dell ситуация менее прозрачная - официальные спецификации не содержат предупреждений, однако служба поддержки компании подтверждает, что HEVC недоступен на базовых конфигурациях без дискретной графики, 4K-экрана или пакета мультимедийных лицензий.
Обе компании отказались объяснять причины такого решения. Предполагается, что отключение вызвано стремлением сократить лицензионные расходы: с января увеличиваются лицензионные отчисления за каждое устройство с поддержкой HEVC, и отключение функции позволяет производителям формально избежать дополнительных платежей.
В результате пользователи получают устройства, где часть возможностей процессора искусственно заблокирована. Для декодирования HEVC на подобных устройствах представители HP и Dell предложили пользователям воспользоваться сторонними программными реализациями кодека. Введённое ограничение вызывает критику, поскольку HEVC давно стал стандартом для видеоконференций, потокового видео и работы с мультимедийным контентом.
Организация Linux Foundation совместно с компанией Canonical провела опрос (PDF, 43 страницы) представителей различных компаний об использовании и внедрении открытого ПО на предприятиях. Статистики собрана на основе опроса 851 участника. Основные тенденции:
Участие в разработке открытого ПО:
19% компаний, использующих открытое ПО, активно вовлечены в сопровождение или передачу кода ключевым открытым проектам, от которых они зависят.
24% отметили среднюю вовлечённость в разработке открытого ПО - по мере возможности передают код, сообщают об ошибках и улучшают документацию.
20% ограниченно участвуют в работе над открытым ПО - сообщают о проблемах и участвуют в обсуждениях.
9% полагаются на коммерческих подрядчиков для работы над upstream-проектами.
21% - используют открытое ПО, но никак не участвуют в его развитии.
Главные приоритеты при инвестировании для организаций, желающих расширить своё участие в разработке открытого ПО:
44% - спонсирование критических зависимостей.
41% - обучение разработчиков.
39% - повышение участия в разработке основных (upstream) проектов.
29% - трудоустройство или оплата работы мэйнтейнеров используемых открытых проектов.
23% - проведения аудита юридической чистоты (23%).
12% - не планируют увеличивать инвестиции в открытое ПО.
Области использования:
55% предприятий используют открытые операционные системы.
49% - открытые облачные технологии и системы контейнерной изоляции.
46% - открытые Web-платформы и средства разработки приложений.
45% - открытые СУБД.
45% - открытые системы непрерывной интеграции и DevOps-инструменты.
40% - открытые AI-системы.
Польза от внедрения открытого ПО:
83% организаций признали ценность внедрения открытого кода для своего будущего, при этом только 34% (год назад 32%) компаний имеют чёткую стратегию внедрения открытого ПО.
82% опрошенных считают открытое ПО ресурсом, способствующим инновациям.
86% - повышение производительности труда.
84% - снижение стоимости владения.
84% - сокращение зависимости от отдельных поставщиков.
79% - повышение качества ПО.
78% - повышение безопасности.
Преимущества участия компаний в разработке открытых проектов:
77% - повышение профессионализма персонала.
76% - улучшение качества ПО.
72% - моральное удовлетворение от передачи своих изменений.
72% - повышение безопасности.
Отмечается рост значимости открытого ПО, который частично объясняется влиянием AI и увеличением доли внедрения открытых AI- и ML‑приложений с 35% до 40%.
При анализе внедряемых открытых компонентов 44% компаний оценивают активность сообщества проекта, 31% используют автоматизированные инструменты проверки безопасности, 28% вручную проводят аудит кода, 36% изучают прямые зависимости.
54% считают необходимым использование платной технической поддержки для критически важных рабочих нагрузок. Наиболее востребована платная поддержка в таких отраслях, как промышленные предприятия (97%), финансовый сектор (96%), госучреждения (92%) и IT-компании (91%).
71% считают приемлемым время ответа от служб поддержки течение 12 часов, 47% ожидают оперативного выпуска патчей безопасности, 53% хотят получить гарантии долгосрочной поддержки.
Главные помехи, мешающие внедрению открытого ПО: вопросы лицензирования/интеллектуальной собственности и отсутствие технической поддержки.
20% опрошенных считают, что активное участие в работе над открытым ПО даёт конкурентное преимущество, а 74%, что открытое ПО является средством для привлечения талантов.
Разработчики дистрибутива Zorin OS, основанного на пакетной базе Ubuntu и нацеленного на начинающих пользователей, привыкших работать в Windows, сообщили, что опубликованный 15 октября выпуск Zorin OS 18 преодолел рубеж в миллион загрузок, что побило все прошлые рекорды проекта. 78% от всех загрузок выполнены пользователями Windows.
Одновременно объявлено о предоставлении тестовой поддержки обновления выпусков Zorin OS 17.x до ветки Zorin OS 18. Ожидается, что в течение нескольких недель функциональность обновления между ветками, не требующая переустановки дистрибутива и сохраняющая все настройки, приложения и файлы пользователей, будет объявлена стабильной.
Дистрибутив Zorin OS примечателен возможностью придать рабочему столу вид, свойственный различным версиям Windows и macOS, а также включением в состав подборки программ, близких к программам, к которым привыкли пользователи Windows. В качестве основы рабочего стола в Zorin OS используется GNOME с набором собственных дополнений и панелью на основе Dash to Panel и Dash to Dock. Для интеграции рабочего стола со смартфоном поставляется приложение Zorin Connect (на базе KDE Connect). Кроме пакетов в формате deb и репозиториев Ubuntu по умолчанию включена поддержка форматов Flatpak, AppImage и Snap с возможностью установки программ из каталогов Flathub и Snap Store.
В кодовую базу Firefox, на основе которой 13 января будет сформирован выпуск Firefox 147, внесены изменения, переводящие браузер на использование по умолчанию каталога "~/.config/mozilla" для хранения профилей, дополнений, настроек и внутренних БД на UNIX-подобных системах (кэш уже ранее был перенесён в "~/.cache/mozilla"). Изменение внесено для соответствия браузера спецификации Freedesktop.org XDG Base Directory (запрос на изменение рассматривался с 2004 года). Возможность размещения данных в старом каталоге "~/.mozilla" сохранена в качестве опции, активируемой при запуске с переменной окружения "MOZ_LEGACY_HOME=1".
