В жалобе, отправленной команде Debian Quality Assurance Team, ответственной за поддержание качества в Debian, указано, что подобное нештатное поведение не соответствует требованиям к программному обеспечению, которое может поставляться в Debian, так как может рассматриваться как дискриминация по принадлежности к определённой группе пользователей и дискриминация по области использования. В частности, xsnow изменяет поведение и направляет адресное обращение отдельной категории пользователей и меняет ожидаемую нейтральную функциональность в зависимости от окружения пользователя.

При этом упомянутые в жалобе пункты правил Debian определяют недопустимость дискриминации лишь в лицензиях на код, а не в поведении программы. Правила Debian не регламентируют действия в случае попыток продвижения в ПО политических заявлений и поведения, расходящегося с заявленной функциональностью. Формально подобная активность в Debian оказалась не запрещена.

В качестве варианта дальнейших действий рассматривается возможность трактовки выполняемых программой протестных действий как ошибки или недокументированного поведения, требующего применения патча для восстановления нейтральной и ожидаемой функциональности. Но ситуацию усложняет тот факт, что сопровождающий пакет xsnow в Debian является автором данной программы, добавившим рассматриваемое недокументированное поведение.

1. Главная ссылка к новости
2. OpenNews: Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы
3. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси
4. OpenNews: Конфликт из-за поставки устаревшей версии XScreenSaver в Debian
5. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов

Версия TLAC 2.0 примечательна добавлением модуля ядра, предназначенного для проверки целостности системы (функциональность пока сводится к проверке наличия загруженных в ядро модулей по маскам "rootkit" и "suspicious" в /proc/modules).

1. Главная ссылка к новости
2. OpenNews: Компания Canonical представила Steam Snap для упрощения доступа к играм в Ubuntu
3. OpenNews: В Steam VAC выявлен факт чтения содержимого кэша DNS
4. OpenNews: Выпуск дистрибутива PocketHandyBox, предназначенного для тестирования ПК и ноутбуков

В новом выпуске:

• Начинка синхронизирована с веткой Slackware Current и поставляется с ядром Linux 6.18.37 для 64-разрядных систем и 6.12.94 для 32-разрядных.
• Вместо оконного менеджера Openbox задействована среда рабочего стола MATE.
• Предложено три режима установки: полная с рабочим столом MATE, браузером, мультимедийными и офисными приложениями; базовая с минимальной графической системой, браузером и основными утилитами; урезанная с инструментарием командной строки.
• Обновлены версии программ, среди которых libreoffice 26.2.4, firefox 152.0.3, thunderbird 140.12.0, pidgin 2.14.14, transmission 2.94, GIMP 3.2.4, exaile 4.2.1, smplayer 25.6.0, mpv 0.41.0, brasero 3.12.3.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Slackel 8.0
3. OpenNews: Релиз дистрибутива Slackware 15.0
4. OpenNews: Релиз дистрибутива Slax 15, вернувшегося на пакетную базу Slackware
5. OpenNews: Slackware Linux исполнилось 30 лет
6. OpenNews: Выпуск PorteuX 2.7, дистрибутива на основе Slackware

Дистрибутив примечателен включением оптимизаций для повышения производительности и предоставлением возможности установки различных сред рабочего стола. Помимо базового окружения на основе KDE, для установки доступны GNOME, Xfce, i3WM, Wayfire, LXQT, OpenBox, Cinnamon, Cosmic, Niri, MangoWM, LXDE, Mate, Budgie, Qtile, Hyprland и Sway. Размер установочного iso-образа 3.2 ГБ. Отдельно поставляются сборки (2.6 ГБ) для носимых устройств (Handheld Edition) с интерфейсом в стиле GameMode и компонентами для любителей компьютерных игр.

В дистрибутиве по умолчанию включён планировщик задач BORE, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно включены оптимизации PGO (Profile-Guided Optimization) или BOLT (Binary Optimization and Layout Tool). В качестве файловых систем могут использоваться btrfs, zfs, ext4, xfs и f2fs.

Основные новшества:

• Изменения в инсталляторе:
  • В число предлагаемых для установки графических окружений добавлен сеанс на базе композитного менеджера Hyprland с минималистичной оболочкой Noctalia.
  • В окружении на базе композитного сервера MangoWM по умолчанию задействован дисплейный сервер SDDM.
  • Вместо GNOME System Monitor для отслеживания состояния системы задействовано приложение Resources, написанное на Rust.
  • Из поставки удалён инструментарий paru, вместо которого для работы с AUR рекомендовано использовать интерфейс управления пакетами Shelly.
  • Для пакетов из группы "audio" предоставлены привилегии для выполнения задач в realtime-режиме.
  • В Live-сеансе улучшено определение раскладки клавиатуры.
• В приложении CachyOS-Welcome появилась опция для включения DNS-over-QUIC (DoQ), реализована новая страница для диагностики проблем и добавлена поддержка эмулятора терминала Ptyxis.
• Для пакетах с Python для повышения производительности задействованы оптимизации на основе результатов профилирования кода (PGO - Profile-guided optimization), позволяющей генерировать более оптимальный код на основе анализа особенностей выполнения программы.
• В пакет с GCC включён патч, увеличивающее вес неверного предсказания ветвления в процессорах x86 для повышения производительности генерируемого кода на современных CPU Intel и AMD.
• Пакет proton-cachyos (Proton с дополнительными патчами) переименован в proton-cachyos-native.
• В пакетном менеджере pacman обеспечена изоляция выполнения скриплетов и хуков, в которых теперь не допускается обращение к сети.
• Для виртуальных машин в поставку включён 32-разрядный драйвер с поддержкой графического API Vulkan.
• В cachyos-settings для пользовательских сервисов выставлен 15-секундный таймаут при запуске и 10-секундный при завершении работы, что решило проблему со слишком долгим завершением работы из-за ранее применявшегося таймаута в 90 секунд.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива CachyOS 260426
3. OpenNews: Выпуск Bazzite 44, дистрибутива для любителей компьютерных игр
4. OpenNews: Доля пользователей Linux в Steam по статистике Valve превысила 5%
5. OpenNews: Доступен Proton-CachyOS 11
6. OpenNews: Доступна среда рабочего стола COSMIC 1.1.0

Ключевые улучшения:

• Повышены требования к 32-разрядным системам, для работы на которых теперь необходимо наличием CPU с поддержкой инструкций SSE2. Имя архитектуры для 32-разрядных iso-образов изменено с i586 на i686.
• Для обоев рабочего стола вместо JPG задействован формат JXL. Разрешение увеличено до 3840×2160, но благодаря более эффективному сжатию потребление дискового пространство осталось на том же уровне.
• В инсталляторе реализован запрос часового пояса при начале установки, добавлена поддержка беспроводных соединений и улучшен режим восстановления ранее установленной системы.
• В Live-сборках c GNOME и KDE Plasma по умолчанию предложены сеансы на базе Wayland. Реализованы опции для отката на X11 и использования несвободных драйверов. Добавлена предварительная поддержка DisplayLink, требующая установки пакета displaylink-native-evdi. Расширены возможности интерфейса draklive2, в котором упрощена настройка локализации, часовых поясов, сервисов и межсетевого экрана, добавлена сводная страница с общей информацией.
• Через репозитории RPM-MD (RPM MetaData) обеспечено предоставление метаданных AppStream, используемых в менеджерах приложений GNOME Software и Plasma Discover для поиска и управления приложениями.
• В Mageia Control Center в конфигураторе звука draksound упрощено переключение между звуковыми серверами PulseAudio и PipeWire (по умолчанию продолжает использоваться PulseAudio). Убрана функциональность родительского контроля (drakguard), требующая переработки.
• На базе python-manatools переработаны графические интерфейсы утилит для записи ISO-образов (isodumper), управления пакетами (dnfdragora) и настройки межсетевого экрана (manafirewall). Python-manatools предоставляет обвязку, позволяющую создавать универсальные интерфейсы, которые могут отрисовываться в графическом режиме через Qt6 и GTK4, а в текстовом режиме при помощи ncurses.
• Добавлен пакет remove-old-kernels с инструментарием для удаления старых ядер из системы и оставления только трёх последних обновлений пакетов с ядром. Чистка запускается автоматически раз в неделю или может быть вызвана через меню "Tools" -> "System tools".
• DHCP-клиент dhcp-client заменён на dhcpcd, а инструментарий для тестирования памяти PCMemTest заменён на Memtest86+.
• Приложение для ведения заметок Knotes заменено на Marknote. Пакет для голосового ввода и распознавания голосовых команд NoComprendo переведён на библиотеки и модели от проекта Vosk.
• В состав включены браузеры для протокола Gemini: Lagrange (SDL), Kristall (Qt), Offpunk (CLI).
• Прекращена поставка пакета Chromium из-за больших трудозатрат на сопровождение. Предлагается использовать пакет в формате flatpak или официальный RPM-пакет Chrome от Google.
• Доступ к утилите dmesg теперь разрешён только администратору.
• Обновлены версии пакетов, включая ядро Linux 6.18, RPM 4.20.1, DNF 5.4 (в качестве альтернативы urpmi), Docker 29.1.3, GRUB 2.12, Glibc 2.42, GCC 15.2, GDB 16.3, LLVM 20.1, Firebird 5.0.3 QEMU 10.2.2, Xen 4.20.2, VirtualBox 7.2.8, Python 3.13, Perl 5.42, Ruby 3.4.7, Rust 1.95.0, PHP 8.5.
• Обновлены компоненты графического стека: Mesa 3D 26.0.8, X.Org 21.1.23, XWayland 24.1.12, Qt 6.10.0, GTK4 4.20.4.
• Обновлены пользовательские приложения: LibreOffice 26.2.3, Blender 4.5.8, Firefox 140 ESR, Vim 9.2, NeoVim 0.11.5.
• Обновлены версии рабочих столов KDE Plasma 6.5.5 (по умолчанию с Wayland) + KDE Gear 25.12.1, GNOME 49. Xfce 4.20, LXQt 2.3, MATE 1.28, Cinnamon 6.6, Enlightenment E27.1.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Mageia 9, форка Mandriva Linux
3. OpenNews: Скомпрометирована инфраструктура проекта Mageia
4. OpenNews: Серверная версия Mandriva будет развиваться на базе Mageia Linux
5. OpenNews: Из Mandriva ушли почти все разработчики и основали форк проекта - Mageia
6. OpenNews: Релиз дистрибутива OpenMandriva Lx 6.0

Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, профиль "desktop" для выбора рабочего стола (KDE, GNOME, Awesome) и установки необходимых для его работы пакетов, или профили "webserver" и "database" для выбора и установки начинки web-серверов и СУБД. Шесть лет назад была предпринята попытка создания варианта Archinstall с графическим интерфейсом установки, но она не получила развития.

В новой версии:

• Обеспечено автоматическое выставление консольного шрифта в зависимости от выбранного языка. В меню "Locales" добавлена опция для ручного выбора шрифта.
• Добавлен запрос финального подтверждения перед началом установки с выводом сводной информации о выбранных параметрах.
• Реализована опциональная возможность цветовой индикации готовности к установке: красным выделяются ошибки с загрузчиком и проблемы с конфигурацией, жёлтым - предупреждения, не блокирующие установку, а зелёным метка о готовности к установке.
• Добавлена команда share-log для загрузки лога install.log в сервис paste.rs. Перед выполнением операции выводится запрос подтверждения с показом содержимого лога для того чтобы пользователь мог оценить то, что собирается отправить.
• Добавлена опция для использования только пакета IWD для организации подключения к Wi-Fi, без установки NetworkManager и связанных с ним зависимостей. Позволяет создавать минималистичные конфигурации на базе seatd.
• Для создания тестовых системных образов задействован инструментарий mkosi, который по сравнению с mkarchiso работает быстрее и генерирует образы меньшего размера.
• Предоставлены настройки для включения показа загрузочной заставки Plymouth и выбора для неё темы оформления.
• Добавлен профиль для установки пользовательского окружения на базе композитного сервера Niri и оболочки Dank Material Shell.

1. Главная ссылка к новости
2. OpenNews: Arch Linux отключил регистрацию новых учётных записей в AUR
3. OpenNews: В Arch Linux обеспечена воспроизводимая сборка образов контейнеров
4. OpenNews: Выпуск инсталлятора Archinstall 4.0, применяемого в дистрибутиве Arch Linux
5. OpenNews: Атакующие скомпрометировали 1577 пакетов в репозитории AUR

Среди предлагаемых для LuaJIT 3.0 расширений:

• Битовые операторы в виде встроенного синтаксиса вместо вызовов функций "bit.*": "~a" (NOT), "a & b" (AND), "a | b" (OR), "a ~ b" (XOR), "a << b`, "a >> b" (логический сдвиг) и "a ~>> b" (арифметический сдвиг). XOR обозначен как "~", поскольку символ "^" в Lua занят возведением в степень.
• Альтернативные ("привычные") операторы в стиле C/JavaScript: "!" (not), "&&" (and), "||" (or) и "!=" (~=).
• Оператор целочисленного деления "//" с округлением в сторону минус бесконечности и метаметодом "__idiv" (как в Lua 5.3+).
• Тернарный оператор "a ? b : c" с поддержкой сокращённого вычисления.
• Оператор безопасной навигации "?." ("a?.field", "a?.[key]", "f?.(...)", "obj?.:method(...)"), возвращающий "nil", если левый операнд равен "nil".
• Оператор объединения с nil "a ?? b", возвращающий "b", только если "a" равно "nil".
• Составные операторы присваивания: "+=", "-=", "*=", "/=", "//=", "%=", "&=", "|=", "~=", "<<=`, ">>=", "~>>=", "..=" и "??=". Индексное выражение в левой части вычисляется однократно.
• Оператор "continue" для перехода к следующей итерации цикла, оформленный как "мягкое" ключевое слово (можно продолжать использовать как имя переменной).
• Объявление "const" - блочная неизменяемая привязка локальной переменной; запрещены переприсваивание и повторное объявление в той же или вложенной области видимости (также "мягкое" ключевое слово).

В обсуждении дополнительно затрагиваются ещё не вошедшие в спецификацию идеи: выражение сопоставления с образцом через ключевое слово "in", индексируемый тип для vararg ("...varg", "varg[i]"), краткий синтаксис лямбд ("|x| -> expr"), оператор отложенного выполнения "defer" в стиле Go/Zig и присваивание в условии ("if local x = ... then").

Появление расширений вызвало и критику: часть участников отметила, что нововведения окончательно превращают LuaJIT в отдельный язык, несовместимый с эталонным Lua 5.1. На это Полл ответил, что "этот корабль уплыл уже очень давно".

Документацию по языку планируется консолидировать в отдельное самостоятельное описание, в котором каждое расширение будет помечено версией, в которой оно появилось.

1. Главная ссылка к новости
2. OpenNews: Доступен язык программирования Lua 5.5
3. OpenNews: Lunatik - инструментарий для создания в ядре Linux обработчиков на языке Lua
4. OpenNews: Открыт код Luau, варианта языка Lua с проверкой типов
5. OpenNews: Компания Microsoft опубликовала реализацию Lua VM, написанную на языке Go
6. OpenNews: Выпуск LuaJIT 2.0.3, JIT-компилятора для языка Lua

Среди опубликованного материала встречаются как сомнительные проблемы (ghidra), так и серьёзные уязвимости (Floci, libssh2, FFmpeg, c-ares). По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов. CVE-идентификаторы не назначены. Среди раскрытых уязвимостей:

• Переполнение буфера в мультимедийном пакете FFmpeg, которое может привести к запуску кода атакующего при декодировании специально оформленных видеопотоков в формате RASC (дубликат CVE-2026-12706?).
• Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями в парсере открытых ключей. Уязвимости приводят к записи данных за пределы выделенного буфера, что может использоваться для выполнения кода атакующего при обращении клиента к вредоносному SSH-серверу, в том числе на стадии до прохождения аутентификации.
• Уязвимость в эмуляторе облачных окружений Floci, позволяющая обойти IAM-ограничения и добиться удалённого выполнения кода через отправку HTTP-запроса к REST API при использовании сервиса API Gateway и наличии непривилегированного доступа к API.
• Уязвимость (use-after-free) в DNS-библиотеке c-ares, приводящая к запуску кода злоумышленника при обращении к подконтрольному атакующему DNS-серверу при вызове функции ares_getaddrinfo().
• Состояние гонки в Docker, которое можно использовать для записи файла в область вне целевого каталога при копировании администратором данных из контейнера в хост-окружение командой "docker cp <container>:/tmp/src <host-destination>.
• Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению из-за некорректной обработки размера в коде для парсинга заголовков пакетов IPv6.
• Уязвимость в реализации AI-режима "Smart Window" в Firefox, приводящая к утечке конфиденциальных данных и истории посещений через подстановку инструкций для AI-агента в открываемый контент.
• Уязвимость в 7-Zip, которую можно использовать в Windows для подмены других файлов при распаковке специально оформленных RAR-архивов.
• Уязвимость в act_runner в платформе совместной разработки Gitea, позволяющая выйти из контейнера и получить root-доступ к хост-системе при наличии возможности выполнения своих обработчиков через Gitea Actions.
• Переполнение буфера в мультимедийном проигрывателе VLC, эксплуатируемое при декодировании специально оформленного видео в формате VP9.
• Уязвимость в PHP, вызванная неправильной обработкой типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.
• Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу, после того как пользователь импортирует ovpn-профиль с настройками для подключения к этому серверу.
• Уязвимость класса HTTP Request Smuggling в библиотеке nghttp2 в реализации прокси-сервера nghttpx, позволяющая вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом (например, для подстановки вредоносного JavaScript-кода в сеанс другого пользователя с сайтом).
• Уязвимость в панели управления MyBB Admin CP, позволяющая модератору, имеющему право управления пользователями в форуме, создать учётную запись с правами главного администратора.
• Уязвимость в платформе удаленного управления RustDesk, позволяющая совершить MITM-атаку для отключения шифрования и подстановки нажатий клавиш в сеанс пользователя.
• Уязвимость в утилите objdump, позволяющая добиться выполнения кода при анализе утилитой специально оформленных объектных файлов в формате ELF/DLX.

1. Главная ссылка к новости
2. OpenNews: Проект Akrites для координации оперативного устранения уязвимостей
3. OpenNews: OpenAI запустила инициативу Patch the Planet для поиска и исправления уязвимостей в открытом ПО
4. OpenNews: Фонд СПО предупредил о критической уязвимости в хостинге свободного кода GNU Savannah
5. OpenNews: Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata

Допускается объединение окон в именованные группы, которые можно сворачивать, раскрывать на весь экран и индивидуально настраивать. Раскладка и выбранные позиции окон сохраняются после перезапуска, аварийного завершения приложений или перезагрузки системы.

Поддерживается создание отдельных рабочих пространств для определённых задач и переключения между ними через комбинации клавиш или наглядную 3D-навигацию, реализованную в форме мозаичной карты-глобуса. Возможно создание скриншотов и записи скринкастов, как для выбранных окон, так для выделенной области рабочего пространства, с охватом при записи изменения масштаба и перемещения по виртуальному экрану.

1. Главная ссылка к новости
2. OpenNews: Первый тестовый выпуск композитного сервера Xfwl4 от проекта Xfce
3. OpenNews: Выпуск miracle-wm 0.10, композитного менеджера на базе Wayland и Mir
4. OpenNews: Выпуск labwc 0.20, композитного сервера для Wayland
5. OpenNews: Выпуск композитного сервера Hyprland 0.55
6. OpenNews: Выпуск композитного сервера Niri 26.04, использующего Wayland

Основные изменения:

• Реализована поддержка 31 материнской платы:
  • AMD Crater для SoC V2000A
  • AMD Jaguar для SoC Faegan
  • AMD Maple для SoC Strix Halo
  • ASRock H370M-ITX/ac, ASRock Z87 Extreme6
  • ASUS H81M-K, P8H61-I R2.0, P8H61-M LX2, PRIME H610M-K D4, Z87-K
  • ASUS Maximus VI EXTREME
  • ASUS Maximus VI FORMULA, VI HERO, VII IMPACT, VI IMPACT, VII RANGER
  • Framework Laptop 13 (Intel Core Ultra Series 1)
  • Framework Laptop 13 Pro (Intel Core Ultra Series 3)
  • Lenovo ThinkPad X61 / X61s
  • Star Labs Byte Mk I (Ryzen 7 5800U), StarBook Mk VI (Ryzen 7 5800U)
  • System76 bonw15-b, gaze20
  • 8 плат, применяемых в различных устройствах с Chrome OS или на серверах Google.
• Прекращена поддержка материнских плат AMD Crater Renoir (заменена на AMD Crater для SoC V2000A) и Google Myst.
• Добавлена начальная поддержка SoC Intel Nova Lake (NVL). Реализованы bootblock, romstage, ramstage, FSP-M и FSP-S (Firmware Support Package), добавлены определения выводов GPIO и таблицы ACPI, обеспечена поддержка PCIe и Flash. Обновлены утилиты ifdtool и spd_tools. Из ограничений - пока не поддерживается DDR5.
• Добавлена начальная поддержка SoC Intel Panther Lake (PTL) с возможностью inline-шифрования UFS.
• Добавлена начальная поддержка SoC AMD Strix Halo c демонстрацией загрузки на материнской плате AMD Maple.
• Добавлена начальная поддержка SoC Qualcomm Calypso и основанных на данном SoC материнских плат Google Calypso, Mensa и C1nv. Имеется поддержка ARM Trusted Firmware, PCIe, инициализации таймера QUPv3, драйвера SPMI, загрузки прошивок CPUCP и PDP.
• Для чипов AMD добавлена поддержка механизма ROM Armor, реализующего защиту от неавторизированной модификации системного SPI Flash.
• Для чипов AMD реализована поддержка механизма A/B Recovery, обеспечивающего сохранение резервной копии при обновлении прошивки для загрузки старой прошивки в случае невозможности загрузиться с новой версии или при проблемах с верификацией целостности прошивки. Добавлена возможность загрузки со второго Flash-чипа и сохранения флага восстановления между перезагрузками.. В утилитах amdfwtool и amdfwread обеспечена поддержка разделения директорий и парсинга A/B-разделов.
• Для плат на чипах Qualcomm, таких как Google Bluey и Calypso, реализованы расширенные возможности управления зарядом и аккумулятором. Реализованы: плавный переход от медленной к быстрой зарядке, мониторинг температуры, режим загрузки без аккумулятора, оптимизированная подача питания на NVMe.
• Расширена поддержка устройств на базе чипов Intel Haswell и Broadwell. Унифицирован код поддержки платформ Haswell и Broadwell, и реализована общая инициализация графики. Добавлена начальная поддержка вариантов чипов Broadwell для ПК. Добавлен драйвер для искусственного снижения напряжения (undervolt) и переопределены лимиты мощности PL1/PL2. Добавлена поддержка материнских плат ASUS на чипах Haswell, таких как Maximus VI/VII, Z87-K и H81M-K.
• В драйвер Intel FSP 2.0 добавлена поддержка алгоритма сжатия Zstd.
• Предоставлена возможность включения нескольких изображений логотипов c разным разрешением для их отображения в зависимости от разрешения экрана.
• Продолжена работа по адаптации кода для поддержки стандарта C23.
• Обновлены версии GCC 15.2.0, NASM 3.01, binutils 2.45.1 и ACPICA 20251212.
1. Главная ссылка к новости
2. OpenNews: Выпуск Coreboot 25.12, открытой альтернативы проприетарным прошивкам
3. OpenNews: Релиз загрузочного менеджера GNU GRUB 2.14
4. OpenNews: Проект U-Boot перешёл под крыло организации Software Freedom Conservancy
5. OpenNews: Выпуск загрузочных прошивок Libreboot 26.01 и Canoeboot 26.01
6. OpenNews: Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux

Рабочая группа объединит заинтересованных представителей сообщества кинематографистов для выработки стратегии дальнейшего движения вперёд в условиях экспансии Wayland и для анализа того, как переход современных Linux-систем с X11 на Wayland может повлиять на применяемые в отрасли профессиональные рабочие станции, приложения для создания контента и решения для удалённого доступа. Из областей для изучения готовности к использованию Wayland упоминается поддержка графических планшетов, управление окнами и фокусом ввода, назначение горячих клавиш, кастомизация рабочего стола, организация удалённого доступа, GPU-ускорение, управление цветом, поддержка HDR-мониторов и совместимость с применяемыми в индустрии приложениями.

1. Главная ссылка к новости
2. OpenNews: Организации AOUSD и ASWF представили новые рекомендации по инклюзивной терминологии
3. OpenNews: Pixar передал проект OpenTimelineIO под покровительство Linux Foundation
4. OpenNews: Инициатива по развитию открытого ПО для киноиндустрии
5. OpenNews: Выпуск среды рабочего стола GNOME 50 с удалением поддержки X11
6. OpenNews: В KDE Plasma 6.8 решено прекратить поддержку X11

При тройной буферизации используется три экранных буфера - в первый осуществляется отрисовка, из второго производится вывод на экран, а третий используется для продолжения непрерывного процесса отрисовки, если первый буфер был заполнен до завершения вертикальной развёртки (vblank). Применение третьего дополнительного буфера позволяет избавиться от рывков, возникающих при двойной буферизации в случае невозможности переключения между буферами отрисовки и вывода до завершения вертикальной развёртки. Подобная организация вывода позволяет повысить частоту кадров на маломощных устройствах, ценой увеличения задержки вывода.

Из изменений в ветке KDE Plasma 6.8 также отмечается появление вручную переключаемого режима слайдшоу для обоев рабочего стола (вместо автоматической смены обоев для перехода к следующему изображению нужно нажимать клавиатурную комбинацию или выбирать соответствующий пункт в контекстном меню). В редакторе меню kmenuedit убрано визуальное выделение настроек фреймами с другим фоновым цветом.

В ветке KDE Plasma 6.7 сформирован первый корректирующий релиз 6.7.1, в котором устранены зависания при подключении к ноутбукам с GPU NVIDIA и AMD дополнительных мониторов, а также аварийные завершения KWin при подключении мониторов через интерфейс DisplayLink и при блокировке экрана на системах с GPU NVIDIA.

Началась подготовка выпуска KDE Plasma 6.7.2, в котором повышена производительность полноэкранного отображений видео в приложениях на базе движка Chromium и улучшено выравнивание текста при древовидном режиме показа процессов в приложении System Monitor. Устранены проблемы, такие как аварийное завершение KWin при включении адаптивного изменения частоты обновления экрана (VRR, variable refresh rate) на системах с несколькими мониторами, нарушение работы RDP-сервера при использовании systemd и зависания приложений на движке Chromium при включении опции показа поверх других окон.

1. Главная ссылка к новости
2. OpenNews: Недельный отчёт о разработке KDE
3. OpenNews: Релиз среды рабочего стола KDE Plasma 6.7
4. OpenNews: В KDE улучшена поддержка приложений на базе GTK 2 с тёмной темой оформления
5. OpenNews: Размер кодовой базы KDE достиг 8 млн строк кода
6. OpenNews: В KDE Plasma 6.8 решено прекратить поддержку X11

Получаемые в случае успешной эксплуатации уязвимости права давали атакующему возможность внести изменения в ссылки на релизы Python и метаданные для проверки корректности загружаемых файлов, размещённые на странице python.org/downloads. При этом уязвимость не позволяла изменить содержимое имевшихся файлов с релизами.

Аудит базы данных и логов не выявил следов эксплуатации уязвимости. Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.

Уязвимость присутствовала в коде с 2014 года и была вызвана смешиванием в одном коде обработчиков для гостевых входов и аутентификации по ключам для API. В случае сбоя аутентификации по ключу доступа к API, в коде выполнялся откат на использование гостевого доступа.

Уязвимость была выявлена 23 февраля и устранена на следующий день, после чего было проведено несколько проверок целостности инфраструктуры: 25 февраля были проанализированы логи и резервные копии БД, все доступные для загрузки ресурсы были проверены с использованием цифровых подписей из лога Sigstore и PGP-ключей, собственными силами был проведён аудит кодовой базы используемых сервисов. 23 апреля кодовая база дополнительно была проверена при помощи AI-инструментов, а 1 июня для внешнего аудита инфраструктуры python.org и процессов формирования релизов Python была привлечена компания Trail of Bits.

1. Главная ссылка к новости
2. OpenNews: Опубликована информация о взломе wiki.python.org
3. OpenNews: Атакующие получили доступ к 174 учётным записям в каталоге PyPI
4. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
5. OpenNews: Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI

• PEdit-CoW (CVE-2026-46331, эксплоит 1, эксплоит 2) - ошибка при применении механизма copy-on-write в коде изменения заголовков пакетов (act_pedit), используемом в планировщике сетевых пакетов (net/sched), позволяет записать данные за пределы выделенного буфера, что может использоваться для перезаписи данных в страничном кэше по выбранному смещению. Ошибка вызвана тем, что проверка допустимой области для записи данных производилась без учёта того, что смещение на редактируемые поля может измениться во время выполнения операции.

  Проблема проявляется начиная с ядра Linux 5.18 и устранена в выпусках 7.1, 7.0.13, 6.18.36 и 6.12.94. Заявлена возможность эксплуатации проблемы в RHEL 8/9/10, Debian 11/12, openSUSE Leap 15.6, SUSE Linux 15-SP7/16.0 и Ubuntu 18.04-25.10 (в версии Ubuntu 26.4 по умолчанию заблокировано создание user namespace). В качестве обходного пути защиты рекомендуется заблокировать загрузку модуля ядра act_pedit (перестанут работать правила ограничения трафика и перезапись заголовков через "tc pedit")"

  
     echo "blacklist act_pedit" > /etc/modprobe.d/blacklist-act-pedit.conf
     rmmod act_pedit
  

• DirtyClone (CVE-2026-43503, эксплоит) - обходной путь эксплуатации уязвимости Dirty Frag в модуле xfrm-ESP, применяемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload). Для клонирования структуры skb в новом эксплоите используется манипуляция с TEE-расширением к netfilter (модуль xt_TEE), выполняющим операцию клонирования сетевых пакетов.

  Уязвимость устранена в выпусках ядра Linux 7.1, 7.0.10, 5.10.257, 5.15.208, 6.1.174, 6.6.141, 6.12.91 и 6.18.33. Проблема проявляется в Debian, Ubuntu, Fedora, RHEL и SUSE. В качестве обходного пути блокирования уязвимости можно запретить загрузку модулей ядра esp4 и esp6.

Для эксплуатации обеих уязвимостей требуются права доступа CAP_NET_ADMIN, которые непривилегированный пользователь может получить через создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Эксплуатация уязвимостей сводится к чтению файла программы /bin/su с флагом suid root, для его оседания в страничном кэше, и замене в страничном кэше части кода программы кодом для запуска /bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Дополнительно можно отметить создание эксплоита для уязвимости CVE-2026-23111 в подсистеме nf_tables, устранённой в февральских обновлениях ядра Linux. Уязвимость вызвана обращением к памяти после её освобождения (use-after-free) и позволяет непривилегированному пользователю получить права root в системе. Для атаки и у пользователя должна быть возможность создания пространств имён идентификаторов пользователей (user namespace). Работа эксплоита продемонстрирована в Debian 12/13 и Ubuntu 22.04/24.04.

1. Главная ссылка к новости
2. OpenNews: DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux
3. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
4. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
5. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
6. OpenNews: GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

Участники проекта предоставят финансирование, инженерные ресурсы и экспертизу в области компьютерной безопасности для создания совместной команды реагирования на инциденты (SIRT, Security Incident Response Team). Созданная команда будет заниматься выявлением новых уязвимостей, разбором и проверкой отчётов об уязвимостях, подтверждением уровня опасности, разработкой исправлений совместно с сопровождающими открытых проектов и координацией процесса раскрытия информации об уязвимостях. Раскрытие сведений об уязвимостях будет синхронизировано с выпуском исправлений в основных проектах, дистрибутивах и зависимых продуктах.

Отмечается, что если раньше для создания эксплоитов требовались экспертные знания и длительный процесс разработки, то современные возможности AI-инструментов позволяют неквалифицированным злоумышленникам создать рабочий эксплоит за считанные часы, используя информацию о патче с устранением проблемы. В случае, если исправление для уязвимости выпущено без явной огласки о связи с проблемами безопасности, пользователи и разработчики зависимых проектов могут проигнорировать обновление, а злоумышленники при помощи AI-инструментов быстро подготовить эксплоит и начать атаковать необновлённые системы.

В подобных условиях становится важным оперативность устранения проблемы, предотвращение утечек информации во время разработки патчей, одновременное с публикацией исправления раскрытие сведений об уязвимости и доведение до пользователей информации о необходимости установки обновления. Отдельно будет проводиться работа по информированию об уязвимостях операторов критической инфраструктуры, важных сервисов и проектов, так как с точки зрения блокирования потенциальных атак важна не столько публикация патча, сколько его оперативное применение.

Помимо этого проект ставит перед собой цель снятия нагрузки с сопровождающих, беря на себя такую работу, как отсеивание дублирующихся отчётов о проблемах, подтверждение наличия уязвимостей и оказание помощи в разработке и тестировании исправлений. При выявлении уязвимостей в важных пакетах, оставшихся без активных сопровождающих, проект Akrites будет брать на себя работу по подготовке и интеграции в них исправлений.

1. Главная ссылка к новости
2. OpenNews: IBM и Red Hat вложат $5 млрд в обеспечение безопасности открытого ПО
3. OpenNews: Защита от мусорных AI-изменений на GitHub. Оценка влияния вайб-кодинга на экосистему открытого ПО
4. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
5. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
6. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО