Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Задействована новая система сборки на базе инструментария Chisel, позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.
• Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.
• Обеспечено выполнение требований европейского закона CRA (Cyber Resilience Act), который вводит юридическую ответственность за несоблюдение требований безопасности.
• Добавлена возможность применения технологии Livepatch для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.
• Обеспечена интеграция с инструментарием COS (Canonical Observability Stack), основанным на движке оркестровки Juju и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.
• Добавлена поддержка компонентов, позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.
• В Snapd REST API обеспечена совместимость со спецификацией OpenAPI.
• В дисплейный сервер Ubuntu Frame, позволяющий создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.
• Добавлена системная настройка interface.allow-auto-connection для определения правил автоматического подключения интерфейсов.
• Добавлена поддержка механизма Confdb для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.
• Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Ubuntu 26.04
3. OpenNews: Компания Canonical опубликовала MicroCloud 3, инструментарий для развёртывания кластеров
4. OpenNews: Canonical готовит вариант Ubuntu Desktop, содержащий только пакеты Snap
5. OpenNews: Компания Canonical представила оболочку Ubuntu Frame
6. OpenNews: Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 24

Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать ветку Azure Linux 3. Готовые сборки пока не предоставляются, но имеется инструкция по сборке. Специфичные для дистрибутива изменения поставляются под лицензией MIT.

При формировании дистрибутива вместо создания форка Fedora в Azure Linux 4 применён декларативный подход, позволяющий пересобирать RPM-пакеты с необходимыми изменениями и настройками из штатных репозиториев Fedora, используя конфигурационные файлы в формате TOML. Дополнительная функциональность определяется в форме оверлеев, позволяющих генерировать специфичные для Azure Linux spec-файлы пакетов на основе штатных SRPM-пакетов из Fedora Linux. Оверлеи определяют изменения, вносимые поверх пакетов Fedora, такие как дополнительные конструкции в spec-файлах, патчи и параметры сборки.

Пакетной единицей в Azure Linux 4 являются "компоненты" (исходный пакет), которые по большей части импортируются из Fedora через dist-git и могут формировать один или несколько RPM-пакетов. Все компоненты собираются из исходного кода, бинарные пакеты из Fedora не переносятся. Для генерации результирующих RPM-пакетов на основе оверлеев применяется инструментарий azldev, написанный на языке Go и поставляемый под лицензией MIT.

Из особенностей Azure Linux 4 отмечается поставка ядра Linux с дополнительными оптимизациями, защита от атак через зависимости (supply chain), предсказуемый цикл поддержки и выпуска обновлений, встроенные возможности для интеграции с облаком Azure, изменения для усиления безопасности. Система сборки Azure Linux позволяет генерировать как установочные окружения с RPM-пакетами, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа.

Из применяемых в Azure Linux мер по повышению безопасности:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
• Поставка минимально необходимых пакетов, без активации лишних сервисов.

1. Главная ссылка к новости
2. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506
3. OpenNews: Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora
4. OpenNews: Microsoft переименовал дистрибутив CBL-Mariner в Azure Linux и опубликовал Azure Sphere OS 24.03
5. OpenNews: Microsoft представил IoT-платформу Azure Sphere на базе ядра Linux
6. OpenNews: Компания Microsoft продемонстрировала собственный Linux-дистрибутив для коммутаторов

Основные изменения:

• Прокладка дорог и рек теперь поддерживает рисование кистью с зажатой левой кнопкой мыши.
• Добавлена возможность передвигать и копировать мышью объекты на карте.
• В настройках объекта "Великий Артефакт" можно выбрать, какие именно артефакты может получить герой при раскопках.
• Неинтерактивные объекты можно размещать частично за пределами границ карты.
• Исправлена анимация разворота героя на карте приключений.
• Закрыто свыше 20 уведомлений об ошибках и предложений по улучшению проекта.
  1. Главная ссылка к новости
  2. OpenNews: Выпуск fheroes2 1.1.15, открытого движка Heroes of Might and Magic 2
  3. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III
  4. OpenNews: Предварительный выпуск дистрибутива для игровых консолей SteamOS 3.8.0
  5. OpenNews: Реализация игры DOOM, использующая для отрисовки только CSS
  6. OpenNews: Выпуск Bazzite 44, дистрибутива для любителей компьютерных игр

Уязвимость присутствует в реализации сетевого протокола RDS (Reliable Datagram Sockets), предназначенного для высокоскоростного обмена сообщениями между узлами в кластере, с минимальной задержкой и гарантированной доставкой. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0) и ядром, собранным с опциями CONFIG_RDS, CONFIG_RDS_TCP и CONFIG_IO_URING. Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root.

Для автоматической загрузки модуля ядра rds_tcp эксплоит запрашивает отправку данных через RDS с использованием транспорта SO_RDS_TRANSPORT=2. Отмечается, что среди протестированных дистрибутивов Linux в конфигурации по умолчанию модуль ядра rds предоставляется только в Arch Linux. Для блокирования уязвимости обходным путём можно заблокировать автозагрузку модулей ядра rds и rds_tcp:

   rmmod rds_tcp rds
   printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции rds_message_zcopy_from_user(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. В случае сбоя не производилась очистка поля rm->data.op_nents, из-за чего выполнялось двойное освобождение буфера (double-free). Появление некорректного значения в счётчике ссылок удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на фиксированный буфер io_uring.

В остальном механизм эксплуатации типичен для всех уязвимостей данного класса - атакующий добивается оседания файла программы с флагом suid root в страничном кэше, после чего подставляет в ELF-заголовок код для запуска /usr/bin/sh. После данной манипуляции запуск программы приводит к загрузке в память не оригинального исполняемого файла с накопителя, а изменённой копии из страничного кэша. В отличие от прошлых эксплоитов, новый вариант адаптирован не только для атаки на утилиту "su", но и может применяться при наличии в системе таких suid-программ, как mount, passwd, chsh, newgrp, umount и pkexec.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в сетевом стеке ядра Linux
3. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
4. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
5. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
6. OpenNews: Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

IncidentRelay принимает события из систем мониторинга, сопоставляет их с правилами маршрутизации и доставляет уведомления ответственным дежурным или командам. В системе реализованы расписания дежурств, ротации, переопределения смен, подтверждение получения инцидента, перевод инцидента в resolved, напоминания, эскалации и silences для подавления известных или плановых срабатываний.

Поддерживается приём событий из Prometheus Alertmanager, Zabbix и произвольных webhook-ов. Для отправки уведомлений предусмотрены каналы Mattermost, Telegram, email, webhook и голосовые провайдеры. В Mattermost и Telegram уведомления могут содержать действия для подтверждения и решения проблемы, что позволяет обрабатывать инцидент без перехода в отдельный интерфейс.

В IncidentRelay предусмотрена модель разделения доступа по группам и командам. Это позволяет разграничить видимость расписаний, маршрутов, каналов уведомлений и алертов между различными командами. Для автоматизации доступен HTTP API, а для интеграций используются bearer-токены и route-токены.

Проект может применяться как промежуточный слой между системами мониторинга и каналами уведомлений: Alertmanager или Zabbix отправляет событие в IncidentRelay, после чего система определяет команду, текущего дежурного, применяет правила маршрутизации и отправляет уведомление в нужный канал. Для неподтверждённых инцидентов могут выполняться повторные напоминания и эскалация на следующего участника ротации.

1. Главная ссылка к новости
2. OpenNews: Выпуск системы мониторинга Zabbix 7.0, поменявшей лицензию на AGPL
3. OpenNews: Новая версия системы мониторинга Monitorix 3.14.0
4. OpenNews: В рамках проекта Glaber создан форк системы мониторинга Zabbix
5. OpenNews: Выпуск системы мониторинга Cacti 1.2.0

ForgeZero определяет тип файла и автоматически выбирает необходимый бэкенд. Каждый файл с кодом собирается в объектный файл, после чего выполняется проверка дублирующихся глобальных символов во всех объектах и осуществляется компоновка в единых исполняемый файл. Скомпилированные файлы кэшируются и повторно пересобираются только после внесения изменений в связанные с ними файлы с кодом. Возможно опциональное отслеживание изменений в ФС и пересборка после обновления файлов с кодом.

Поддерживаются компиляторы GCC, Clang, G++, Clang++; ассемблеры NASM, GAS, FASM; компоновщики LD, GCC, Clang; архиватор AR. Обязательные предупреждения для C и C++: "-Wall -Wextra -Werror -Wpedantic -Wshadow -Wconversion". По умолчанию включены санитайзеры AddressSanitizer и UndefinedBehaviorSanitizer (отключаются флагом -sanitize=false). Поддерживаются платформы Linux, macOS, Windows (WSL2 и экспериментально нативно).

Основные изменения в версии 1.9.0:

• Добавлен флаг "-target" <triple>, позволяющий выполнять кросс-компиляцию для произвольной архитектуры при наличии соответствующего префиксного инструментария. fz самостоятельно определяет имена компилятора, компоновщика и архиватора по указанному идентификатору (например, "arm-linux-gnueabihf-gcc"). Поддерживаются любые стандартные целевые платформы GNU, в том числе arm-linux-gnueabihf, aarch64-linux-gnu и riscv64-linux-gnu.
• Реализована поддержка поддержка протокола LSP (Language Server Protocol). Флаг "-compile-commands" генерирует файл compile_commands.json (Compilation Database) в корне проекта. Файл считывается языковыми серверами clangd и ccls, обеспечивая работу автодополнения, навигации по коду и диагностики в редакторах с поддержкой LSP (Neovim, VSCode, CLion, Emacs и др.).
• Команда fz "-update" перед установкой новой версии теперь сохраняет текущий бинарный файл в /usr/local/bin/fz.old, что позволяет откатиться к предыдущей версии без переустановки.
• Устранена ошибка, при которой в мультидиректорных проектах файлы с одинаковыми базовыми именами из разных подкаталогов перезаписывали объектные файлы друг друга. Имена объектных файлов теперь формируются на основе полного относительного пути к исходному файлу.
• Реализован интерактивный режим "fz -shell" для сборки одиночных файлов.
• Добавлено тестовое покрытие для команд SplitCommand, CmdSet и CmdBuild. Покрытие тестами пакета компоновщика увеличено с 17% до 60%, а покрытие всех пакетов превысило 40%.
• Добавлен механизм подмены CheckTool для тестирования сценариев с отсутствующими компонентами тулчейна.

Изменения предыдущих выпусков:

• В версии 1.8.0 реализована сборка статических библиотек (-type static / -lib), обеспечена уникальность имён объектных файлов в мультидиректорных проектах, исправлены ошибки в подсистеме сборки, связанные с обходом пути "..".
• В версии 1.7.0 добавлена параллельная компиляция (-j N, 0 — автоопределение числа ядер), поддержка линкер-скриптов (-T) и адреса точки входа (-Ttext), интерактивный режим (fz -shell), явный выбор формата вывода (elf32, elf64, bin), компиляция файлов C++ (.cpp, .cc, .cxx) с теми же строгими флагами предупреждений, что и для C.
• В версии 1.6.0 добавлены инициализация проекта (fz -init, создаёт .fz.yaml, .fzignore, README.md), поддержка формата bin (-format bin) для загрузчиков и прошивок, конфигурационные поля libs, flags.cc, flags.asm, flags.ld.
• В версии 1.5.0 реализованы множественные директории источников (source_dirs), явные списки файлов (source_files), шаблоны include/exclude, поле libs для библиотек компоновщика, файл .fzignore, многоуровневое слияние конфигурационных файлов.

1. Главная ссылка к новости
2. OpenNews: Обновление операционной системы MenuetOS 1.57.70, написанной на ассемблере
3. OpenNews: Обновление ОС KolibriN 10.1 и MenuetOS 1.34, написанных на ассемблере
4. OpenNews: Ассемблер занял десятое место в рейтинге популярности языков программирования
5. OpenNews: asmttpd - http-сервер на ассемблере

CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию внутри эксплоита, в нём используется уязвимость CVE-2026-31635, исправление для которой было принято в ядро в апреле и вошло в состав ветки 7.0.0 и сформированного 18 апреля выпуска 6.18.23. Проблема проявляется начиная с ядра 6.16.

Как и в случае с серией уязвимостей Dirty Frag новая уязвимость присутствует в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Проблема вызвана ошибкой при проверке размера данных в функции rxgk_verify_response() - вместо проверки "if (auth_len > len)" в коде было указано "if (auth_len < len)", что приводило к передаче в функцию rxgk_decrypt_skb() данных с размером, больше допустимого. При выполнении функции rxgk_decrypt_skb() расшифровка данных осуществлялась с подстановкой изменений напрямую в страничный кэш для исключения лишней буферизации. Из-за неверной проверки размера возникала возможность перезаписи данных в страничном кэше по выбранному смещению.

Эксплуатация уязвимости сводится к чтению файла программы с флагом suid root (для его оседании в страничном кэше) и замене в страничном кэше части кода программы кодом для запуска /usr/bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша. В качестве suid-программ в эксплоите предусмотрена возможность использования "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" и "/usr/bin/chsh".

Для эксплуатации уязвимости при сборке ядра должна быть активна опция CONFIG_RXGK (проверить можно командой "grep CONFIG_RXGK /boot/config-$(uname -r)"), а для автозагрузки доступен модуль ядра rxrpc.ko (в некоторых системах он не собирается). Работа экплоита проверена в Fedora, и предполагается, что уязвимость также проявляется в ядрах из Arch Linux и openSUSE Tumbleweed. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модуля ядра rxrpc:

   sh -c "printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"

Дополнительно можно отметить публикацию в списке рассылки разработчиков ядра Linux патчей, полностью отключающих в crypto API (AF_ALG) оптимизации, использующие прямое обращение к страничному кэшу при расшифровке с использованием алгоритмов "skcipher" и "aead". Оптимизации исключают лишнюю буферизацию данных, но создают риски возникновения серьёзных уязвимостей. Предполагается, что их отключение приведёт лишь к незначительному снижению производительности из-за появления дополнительной операции копирования в отдельный буфер. Патчи приняты сопровождающим подсистему crypto API и включены в ветку "cryptodev", в которой развиваются возможности для передачи в основной состав будущих выпусков ядра Linux.

1. Главная ссылка к новости
2. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
3. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
4. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
5. OpenNews: Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы
6. OpenNews: QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы

Основные изменения:

• В производственном модуле появилась система управления рабочими центрами и рабочими заданиями. Рабочие центры описывают производственные участки, а рабочие задания привязываются к производственным заказам и хранят назначенный рабочий центр, плановые дату и время начала и длительность. Добавлен интерактивный дашборд загрузки рабочих центров, на котором планировщик видит загрузку по дням и участкам и может корректировать длительность заданий. Для рабочих заданий реализован цикл статусов «Готово» -> «В работе» -> «Выполнено» с действиями перехода (в том числе массовыми), цветовой подсветкой, фильтрами по статусу, дате, рабочему центру и товару, мультивыбором, историей и комментариями.
• В спецификациях (BoM) появились производственные операции с указанием рабочего центра, времени начала и длительности. Рабочие задания теперь автоматически формируются из операций спецификации при пересчёте строк производственного заказа, включая операции вложенных промежуточных спецификаций, с сохранением связи с исходной спецификацией. Операции и рабочие задания копируются вместе со спецификациями и производственными заказами, а операции можно копировать из других спецификаций прямо на вкладке «Операции». Для компонентов спецификации добавлен поиск по товару и штрихкоду.
• Автозаполнение заказа на закупку теперь учитывает не только потребность отгрузок, но и потребность в материалах для производства. Заказы на закупку можно создавать сразу из выбранных производственных заказов — по ещё не закупленным материалам, с группировкой по поставщику. Служебные затраты из счетов поставщиков можно распределять не только между строками счёта, но и на производственные заказы (по сумме, весу, объёму, количеству и т.п.). В производственном заказе можно вручную указать строку заказа на продажу, а в типе производственного заказа появилась опция увеличения доступного остатка за счёт планового выпуска для заказов в статусах «Ожидание», «Готово» и «В работе». Для типов заказов на продажу и закупку добавлены настраиваемые ограничения на закрытие — пока заказ не полностью отгружён/получен или не оплачен.
• В расчётные листки добавлены типы (например, обычный, премия, аванс) с собственной нумерацией для каждого типа. При формировании пакета расчётных листков выполняется проверка того, что все сотрудники принадлежат компании пакета. Реализована история часовых ставок сотрудников с датами вступления в силу: расчёты за прошлые периоды используют корректные исторические ставки, а ставка для записей времени выбирается по приоритету (назначение на проект -> команда -> историческая ставка сотрудника -> базовая ставка). В карточку сотрудника добавлен блок вложенных файлов (договоры, сканы, сертификаты) и отдельное действие смены пароля вместо встроенного поля.
• В табеле руководителя список сотрудников ограничен активными сотрудниками выбранного проекта; сотрудники с записями времени за период отображаются всегда. В детализации по сотруднику и дате можно скопировать существующую запись времени и создать на её основе новую.
• Реализована поддержка корректировок счетов поставщиков двух типов: «замена» — счёт отражает итоговое исправленное состояние документа, и «разница» — счёт отражает только отклонение от исходного. Добавлен отчёт «Платёжный календарь» с динамикой задолженности по дням, прогнозом остатка денежных средств, разбивкой по типу и партнёру, drill-down к задолженностям и графиком прогноза. Реализован импорт платежей (EnterpriseData). При изменении общей суммы счёта поставщика или счёта на оплату цены строк автоматически пересчитываются. Для заказов и счетов добавлен явный признак включения налога в цену. В тип счёта поставщика добавлен товар по умолчанию, который подставляется в новые строки. Для типа счёта-фактуры добавлена опция, управляющая созданием плановой или фактической отгрузки.
• В CRM добавлен модуль маркетинга для отслеживания источников лидов по измерениям «Кампания», «Канал» и «Источник» — новые поля доступны в карточке и списке лидов, а отчёты по лидам расширены маркетинговыми разрезами; часть значений каналов и источников заполняется по умолчанию. В лид добавлено поле «Товар»: при создании заказа на продажу из такого лида автоматически создаётся строка заказа с указанным товаром и суммой, равной ожидаемой выручке.
• Добавлен отчёт по ценам с возможностью сравнения цен на две даты, цветовой индикацией изменений, фильтром по типам цен и отображением остатков на выбранном складе. В форму автопарка по каждому транспортному средству выведены последние договоры и данные о техобслуживании в разрезе типов. В систему встроен просмотрщик документации в формате Markdown с историей навигации и автоматическим выбором языка. В формы отгрузок, приходов, счетов поставщиков, счетов и заказов добавлены поле и фильтры по коду партнёра, а к счетам партнёров — поле ответственного сотрудника.

1. Главная ссылка к новости
2. OpenNews: Релиз платформы разработки информационных систем lsFusion 6.2
3. OpenNews: Релиз MyCompany 6.1, открытой платформы для автоматизации малого бизнеса

1. Главная ссылка к новости
2. OpenNews: Компания Grafana открыла код системы реагирования на инциденты OnCall
3. OpenNews: Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
4. OpenNews: Grafana меняет лицензию с Apache 2.0 на AGPLv3
5. OpenNews: Сотрудник Wikimedia случайно запустил вредоносный JavaScript-червь, поразивший Meta-Wiki
6. OpenNews: В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

К обсуждению проекта подключился энтузиаст, который заявил, что создание моделей для САПР может осуществляться без специализированных моделей машинного обучения, используя обычные AI-ассистенты, такие как Aider, OpenClaw и QwenCode, с типовыми AI-сервисами. В качестве примера опубликована коллекция промптов, позволяющих на основе описания, перечня желаемых характеристик и изображений с визуальными примерами генерировать программы для платформы OpenSCAD, формирующие CAD-модели в формате STL или OFF с параметризованной конфигурацией.

1. Главная ссылка к новости
2. OpenNews: Valve опубликовала CAD-файлы корпуса Steam Controller
3. OpenNews: Выпуск свободных САПР FreeCAD 1.1 и SolveSpace 3.2
4. OpenNews: Bambu Lab добилась удаления альтернативного проекта для отправки команд на свои 3D-принтеры

Среди изменений:

• Добавлен новый компонент syncbus с реализацией сервера для доступа через D-Bus к функциональности P2P-системы синхронизации файлов Syncthing. На базе библиотеки Adwaita подготовлен начальный прототип мобильного клиента для Syncthing. Код написан на Rust.
• В блок быстрых настроек добавлена кнопка для включения и отключения синхронизации файлов через Syncthing.
• Добавлен интерфейс phosh-first-boot, вызываемый во время первой загрузки для создания пользователя и настройки его окружения. Код написан на Rust.
• На устройствах без датчика освещённости отключена функциональность автоматического изменения яркости и затемнения экрана.
• В композитном сервере Phoc задействованы Wayland-протоколы: "xdg-dialog" для создания модальных диалогов, блокирующих взаимодействие пользователя с остальной частью интерфейса, и ext-data-control-manager-v1 для реализации менеджера буфера обмена. Улучшена реализация модальных диалогов, используя Wayland-протоколы xdg-dialog-v1 и gtk-shell. Добавлен отступ при мозаичной компонентов слева или справа. Улучшена обработка операций сброса GPU.

  Осуществлён переход на выпуск библиотеки wlroots 0.20, в котором реализована поддержка определения цветового представления Wayland-поверхности, управления цветом и использования HDR при помощи протоколов color-representation-v1 и color-management-v1 при использовании бэкенда отрисовки через API Vulkan. Добавлена поддержка Wayland-протоколов cursor-shape-v1 для настройки внешнего вида курсора, ext-workspace-v1 для использования концепции виртуальных рабочих столов и xdg-toplevel-tag-v1 для идентификации окон/поверхностей через привязку тегов.

• В конфигураторе phosh-mobile-settings добавлена новая панель с настройками языка. В настройки экранной клавиатуры добавлена опция для автоматической подстановки пробелов.
• Виджет выбора файлов pfs (Phosh File selector) обновлён до версии 0.1, в которой реализована поддержка закладок. В xdg-desktop-portal-phosh добавлен портал для добавления и использования закладок на файлы и каталоги.
• В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка дисплейных панелей устройств MacBook 14 M1 Pro (2021), MacBook 14 M2 Pro (2023) и Xiaomi Redmi Note 10 Pro.
• Осуществлён переход на компоненты GNOME 50. Обновлены версии зависимостей: ModemManager 1.25.95, wys 0.1.12, callaudiod 0.1.10, Calls 50.0, cellbroadcastd 0.0.3, feedbackd 0.8.9, feedbackd-device-themes 0.8.9, iio-sensor-proxy 3.9, mmsd-tng 2.6.4.

1. Главная ссылка к новости
2. OpenNews: Выпуск Phosh 0.54.0, GNOME-окружения для смартфонов
3. OpenNews: Мобильная платформа ALT Mobile 11.0, построенная на технологиях GNOME
4. OpenNews: Опубликован postmarketOS 25.12, Linux-дистрибутив для смартфонов и мобильных устройств
5. OpenNews: Выпуск Mobian 13.0, редакции Debian для мобильных устройств
6. OpenNews: Смартфон FLX1s, поставляемый с Debian и оболочкой на базе GNOME

16.2% от актуального кода приходится на KDE PIM (Personal Information Management), 15.8% на KDE Plasma, 14% - KDE Frameworks, 9.6% - KOffice/Caligra.

1. Главная ссылка к новости
2. OpenNews: Бета-выпуск KDE Plasma 6.7
3. OpenNews: Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE
4. OpenNews: Опубликован KDE Gear 26.04, набор приложений от проекта KDE
5. OpenNews: Релиз среды рабочего стола KDE Plasma 6.6

Список рассылки "security@kernel.org" является закрытым и сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать отчёты, отправленные другими участниками, и их обсуждение разработчиками ядра. Приватный разбор уязвимостей, выявленных при помощи AI-инструментов, признан пустой тратой времени как для сопровождающих, тратящих ресурсы на отсеивание дубликатов, так и для разработчиков, впустую анализирующих проблемы, о которых уже сообщил кто-то другой.

В связи с этим предписано сообщать об уязвимостях, выявленных при помощи AI, только через публичные списки рассылки, за исключением особо критических проблем. Исследователям безопасности рекомендуется не заниматься бездумной переотправкой того, что выдаёт AI-ассистент, а проанализировать проблему, убедиться в её существовании, изучить документацию по отправке отчётов об ошибках, подготовить патч и тщательно проверить, не исправлена ли уже проблема в актуальной кодовой базе ядра, чтобы сопровождающие не отвлекались на написание ответов о том, что проблема уже исправлена неделю или месяц назад.

По мнению Линуса AI-инструменты великолепны, но только когда действительно помогают, а не создают лишнюю головную боль и бессмысленную имитацию работы. Использование AI-инструментов при разработке ядра допустимо, но так, чтобы это приводило к результату и делало работу приятнее.

1. Главная ссылка к новости
2. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
3. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI
4. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
5. OpenNews: В OpenBSD переименовали поле в pfsync после ложного AI-отчёта об уязвимости
6. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI

В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется под лицензией GPLv3.

Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл /etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобный подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.

При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).

Отдельно предлагается скрипт cve-watch.sh, осуществляющий мониториг списка рассылки linux-cve-announce и REST API nvd.nist.gov на предмет обнаружения уязвимостей в незаблокированных модулях ядра. Как правило CVE-идентификаторы уязвимостей раскрываются раньше устранения проблемы в дистрибутивах, что позволяет на ранних стадиях блокировать проблемы обходным путём.

Дополнение 1: Опубликован скрипт похожего назначения, блокирующий автозагрузку модулей ядра спустя 3 минуты после загрузки системы, за исключением модулей из белого списка /etc/restricted-module-load.whitelist. Для инструментария kmod, используемого для управления загрузкой модулей ядра, подготовлен патч, добавляющий режим работы на основе белого списка, по умолчанию разрешающего загрузку только избранных модулей.

Дополнение 2: В своё время проект grsecurity реализовал небольшой патч, позволяющий разрешить автоматическую загрузку модулей ядра только приложениям, запущенным с правами root.

1. Главная ссылка к новости
2. OpenNews: FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
3. OpenNews: Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в ядре Linux
4. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
5. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
6. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

При запуске Adobe Lightroom CC отображает синхронизированный с облаком каталог и позволяет использовать модуль редактирования с панелью инструментов (освещение, цвета, эффекты, геометрия, оптика, детализация и т.п.). Среди прочего работают инструменты кадрирования/изменения геометрии и удаления/восстановления объектов, что позволяет, например, выровнять горизонт и удалить случайно попавших в кадр людей. Из ещё неработающих возможностей отмечены аварийные завершения при попытке открытия некоторых диалогов, таких как "What's New", и не полное задействование средств для ускорения операций при помощи GPU. В остальном основные функции редактирования работоспособны.

Изменения подготовлены автономно моделью Claude Opus 4.7, используемой через AI-ассистент Claude Code. Модель циклично запускала Adobe Lightroom CC при помощи Wine, анализировала crash-дапмы и логи Wine, изучала исполняемые файлы Adobe при помощи winedump, objdump и разбор сктруктур в формате PE, сравнивала эталонные и предоставляемые в Wine и Proton библиотеки для выявления недостающих функций, модифицировала исполняемые файлы, создавала DLL с заглушками и выполняла проверку работы через анализ скриншотов.

1. Главная ссылка к новости
2. OpenNews: Pixar, Adobe, Apple, Autodesk и NVIDIA начали совместное продвижение платформы OpenUSD
3. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
4. OpenNews: Бета-версия Proton 11.0
5. OpenNews: Компания Adobe представила версию Photoshop для Chrome OS
6. OpenNews: Выпуск PhotoGIMP 2020, модификации GIMP, стилизованной под Photoshop