Основные изменения:

• Режим по умолчанию для языка C++ переключён на использование стандарта C++20 (диалект GNU C++20, -std=gnu++20) вместо ранее предлагавшегося C++17. Реализация C++20 в стандартной библиотеке объявлена стабильной.
• В состав включён экспериментальный фронтэнд ga68 для компиляции программ на языке программирования Алгол 68 (Algol 68).
• Добавлена возможность вывода диагностической информации в формате HTML. Расширена информация о ходе выполнения программы, включаемая при выводе диагностики в формате SARIF, основанном на JSON (поддержка "-fdiagnostics-format=json" прекращена).
• Расширены оптимизации на этапе связывания (LTO, Link-Time Optimization). Добавлена опция "-flto-toplevel-asm-heuristics", включающая эвристику для улучшения оптимизации кода с ассемблерными вставками. Техника спекулятивной девиртуализации (-fdevirtualize-speculatively) теперь не ограничена преобразованием виртуальных методов и может применяться при преобразовании в прямые вызовы любых косвенных вызовов функций, например, вызовов через указатели.
• Реализована поддержка векторизации циклов, для которых на этапе компиляции неизвестно число итераций. Повышена эффективность обработки досрочных выходов из цикла (например, через break).
• Добавлена экспериментальная поддержка многих возможностей недавно утверждённого стандарта C++26. Например, реализованы:
  • Рефлексия (Reflection, "-freflection"), позволяющая отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "^^" для получения метаинформации о грамматической конструкции и "[:…:]" для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами.
  • Контрактное программирование (Contracts), позволяющее определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений. Возможность появится в GCC 16.
  • Оператор "template for" для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений.
  • Библиотека std::simd для распараллеливания выполнения операций над данными при помощи наборов инструкций SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.
  • Библиотеки std::inplace_vector, std::optional<T&>, std::copyable_function, std::function_ref, std::indirect, std::polymorphic и std::owner_equal.
• Реализованы возможности, связанные со стандартом C++23, такие как явное управление временем жизни объектов и поддержка указания кодировки символов диагностических сообщений.
• Расширена поддержка стандарта C23, например, реализована возможность использования атрибута "counted_by" для проверки корректности использования указателей.
• Продолжена реализация стандартов OpenMP 5.0, 5.1, 5.2 и 6.0 (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Улучшена реализация спецификаций параллельного программирования OpenACC 3.0, 3.3 и 3.4, определяющих средства для выноса операций (offloading) на GPU и специализированные процессоры, такие как NVIDIA PTX.
• В бэкенд для архитектуры x86 добавлена поддержка процессоров AMD на основе микроархитектуры Zen6 (-march=znver6), а также процессоров Intel Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).
• В бэкенде генерации кода для GPU AMD Radeon (GCN) реализована поддержка ускорителей AMD Instinct MI300 (gfx942).
• Для архитектур RISC-V, ARM, S/390 и LoongArch реализована поддержка типа "_BitInt (N)" для определения целых чисел с указанным числом битов.
  1. Главная ссылка к новости
  2. OpenNews: Релиз набора компиляторов GCC 15
  3. OpenNews: GCC-бэкенд достиг возможности полной раскрутки компилятора rustc. Выпуск Rust Coreutils 0.1.0
  4. OpenNews: Релиз набора компиляторов LLVM 22
  5. OpenNews: Утверждён стандарт C++26

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG) ядра Linux, допущенной в 2017 году при внесении оптимизации, убирающей лишнюю буферизацию через выполнение по месту (in-place) операций блочного шифрования AEAD (Authenticated Encryption with Associated Data). Проблема возникла из-за необдуманного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. После внесения оптимизации при передаче файла в сокет AF_ALG для расшифровки в структуру scatterlist записывалась не ссылка на отдельный буфер, а прямая ссылка на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD вместе использовались привязанные по ссылке данные тега аутентификации ("authentication tag") из страничного кэша и копируемые в RX-буфер дополнительные аутентифицируемые данные (AAD, Associated Authenticated Data) и шифротекст, а смещение для операции записи в тег аутентификации рассчитывалось с учётом скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта по выбранному смещению, что позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в запускаемые исполняемые файлы или загружаемые разделяемые библиотеки.

Для выполнения кода с правами root достаточно добиться изменения страничного кэша для любого исполняемого файла с флагом suid root. В предложенном эксплоите выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для подстановки в него своего кода. При последующем запуске утилиты "su" будет загружен в память не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA. Актуальные версии Android не подвержены атаке из-за ограничения доступа к сокетам AF_ALG при помощи SELinux.

На системах, в которых поддержка AEAD собрана в форме модуля (в некоторых дистрибутивах ядра собраны с CONFIG_CRYPTO_USER_API_AEAD=y), в качестве обходного пути защиты можно отключить модуль ядра algif_aead. AF_ALG используется в OpenSSL при явном включении движка afalg и в отдельных приложениях (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG").

   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead

Дополнение 1: Опубликованы обновления ядра 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85 с устранением уязвимости. Рассматривание возможность пометки функциональности AF_ALG устаревшей с последующим удалением из ядра в пользу использования криптобиблиотек в пространстве пользователя.

Дополнение 2: Доступны варианты эксплоитов на языках Си и Go.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
3. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
4. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе
5. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
6. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

• Реализована изоляция процесса мониторинга при помощи механизма Landlock, позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.
• Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.
• Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.
• Устранена уязвимость (CVE-2026-39402), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала новую версию системы управления контейнерами LXD 6.8. LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений в LXD 6.8:

• Добавлена функция связывания кластеров (Cluster links), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.
• Добавлена новая роль узлов кластера - "control-plane", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.
• Реализованы репликаторы, позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.
• Добавлена поддержка горячего подключения устройств GPU CDI (Container Device Interface) к работающим контейнерам.
• В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).
• В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.

1. Главная ссылка к новости
2. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
3. OpenNews: Выпуск системы управления контейнерами LXC 5.0
4. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
5. OpenNews: Первый выпуск Incus, форка системы управления контейнерами LXD
6. OpenNews: Компания Canonical перевела проект LXD на лицензию AGPLv3

Основные изменения:

• C движком поставляются новые карты от энтузиастов, созданные на новом редакторе: "Ravenhold", "Apocalypse", "Final Invasion", а также обновлённые версии уже знакомых карт - "Eruption" и "7 Deserts".
• В окно с информацией о сценарии для каждой карты добавлена кнопка "О карте", позволяющая посмотреть подробности о картах.
• Добавлены новые спрайты перекрёстков дорог для естественного отображения определённых соединений на карте.
• Реализована возможность выбирать артефакты для объектов "случайный артефакт".
• Исправлены недочёты в генераторе случайных карт.
• Дополнены условия размещения объектов в редакторе, что позволит создавать ещё более уникальные ландшафты.
• Ускорен процесс переключения между языками внутри движка.
• Реализован новый дизайн окна режима "Битва" и добавлена поддержка "злого" оформления для этого окна.
• "Порядок действий" в бою по выбору игрока можно отображать под окном битвы.
• Добавлена полноценная поддержка MIDI для PS Vita.
• Закрыто свыше 40 уведомлений об ошибках и предложений по улучшению проекта.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск fheroes2 1.1.11, открытого движка Heroes of Might and Magic 2
  3. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III

Разработчики проекта GTK прекратили сопровождение GTK2 более пяти лет назад, а пакеты с GTK2 уже исключены из официальных репозиториев дистрибутивов Red Hat Enterprise Linux, SUSE Linux Enterprise Server, openSUSE и Arch Linux (доступен через AUR). Из значимых проектов GTK2 продолжает использовать звуковой редактор Ardour, но данный проект не зависит от внешних библиотек и поддерживает собственный форк GTK2 - YTK. В репозитории Debian остаётся около 150 пакетов, связанных зависимостями с GTK2, среди которых afterstep, Double Commander, fpc, gkrellm, gmpc, hexchat, lazarus, mplayer, navit, pidgin, sane-frontends, scim, sylpheed, tickr, tilem, uim, usermode, xsane, xzgv и z88.

В GTK2-NG добавлено несколько десятков изменений, в основном связанных с переносом исправлений, распространявшихся в форме патчей в пакетах из AUR и Debian, и исправлением предупреждений, выдаваемых компилятором. Из улучшений отмечается модернизация функции сортировки массивов g_sort_array и замена алгоритма масштабирования для повышения чёткости пиктограмм. В виджете выбора файлов (filechooser) решены имевшиеся проблемы и проведена оптимизация отображения в виде иконок содержимого каталогов с большим числом файлов. Протестирована сборка с использованием GCC 14 и Clang 21.

Из планов на будущее отмечается перенос изменений из форка GTK2, развиваемого участником проекта Xlibre - stefan11111, а также бэкпортирование кода из YTK, форка GTK2 от проекта Ardour. Среди задач также называется проверка сборки в GCC 15 и добавление поддержки использования libppd для вывода на печать на системах с CUPS 3.x. Не исключается задействование лицензии GPLv3 для нового кода и смена названия для исключения претензий от проекта GNOME.

1. Главная ссылка к новости
2. OpenNews: В Debian 14 намерены прекратить поставку GTK2
3. OpenNews: Эксперимент по использованию AI для перевода приложения с GTK2 и OpenGL на GTK4 и Vulkan
4. OpenNews: Ardour прекратил поддержку сборки с GTK2 в пользу форка YTK
5. OpenNews: В звуковом редакторе Ardour 8.4 создано собственное ответвление GTK2
6. OpenNews: Доступен графический тулкит GTK 4.22 со встроенным движком отрисовки SVG

GameNetworkingSockets реализует поверх UDP похожий на TCP протокол, обеспечивающий установку соединения, но ориентированный на передачу сообщений вместо потоков. Через установленный канал связи сообщения могут передаваться как в режиме гарантированной доставки, так и с использованием более быстрого режима ненадёжной передачи.

Протокол поддерживает такие возможности как обработка фрагментации, пересборка пакетов, прогнозирование и ограничение пропускной способности, создание P2P-каналов связи, обход трансляторов адресов (через WebRTC ICE) и шифрование. Данные в пакетах шифруются с использованием алгоритма блочного шифрования AES, а для обмена ключами и проверки сертификатов применяются цифровые подписи на базе эллиптических кривых Ed25519. Механизмы доставки ключей и выбора вектора инициализации для каждого пакета основаны на методах, применяемых в протоколе QUIC.

Среди изменений в новой версии:

• API ISteamNetworkingSockets::SendMessages расширен для упрощения обработки сбоев при отправке и инициирования повторных попыток доставки.
• Добавлены новые настройки для ECN, jitter-а, определения локального IP (IPLocalHost) и отключения аутентификации (AllowWithoutAuth).
• Добавлен вариант API ISteamNetworkingMessages для языка Си.
• Реализована начальная версия обвязки для языка Rust.
• Исправлены ошибки в реализации режима P2P.
• Реализована автоматическая корректировка ситуаций, связанных с нарушением порядка прихода пакетов и сообщений.
• Улучшена интеграция с инструментариями CMake и vcpkg.
• Налажена совместимость с новыми версиями библиотек protobuf и abseil.
• Добавлена поддержка диагностики через ETW (Event Tracing for Windows).
• Устранены уязвимости, информация о которым не детализируется, но судя по логу изменений речь о целочисленном переполнении в функциях отправки пакетов и возможности обхода проверки сертификата в функции CheckCertPOPID.

1. Главная ссылка к новости
2. OpenNews: Компания Valve представила приставку Steam Machine и VR-шлем Steam Frame, поставляемые с Linux
3. OpenNews: Разработчик из Valve оптимизировал драйвер RADV для работы с Llama.cpp
4. OpenNews: Компания Valve опубликовала дистрибутив для игровых консолей SteamOS 3.7
5. OpenNews: Компания Valve опубликовала код игры Team Fortress 2
6. OpenNews: Компания Valve запустила проект Frog для ускорения продвижения новых протоколов Wayland

Проект запущен подразделением Open Source Program Office, созданным при Министерстве внутренних дел и по делам королевства Нидерландов, и продвигает философию "Открыто, если не оговорено иное" ("Open, tenzij"), в соответствии с которой по умолчанию код развиваемых для госучреждений программных продуктов по возможности должен публиковаться в открытом доступе, чтобы другие госучреждения, граждане и компании могли проверять, использовать для собственных целей и улучшать код. Предполагается, что подобный подход не только повысит качество ПО, но и позволит добиться увеличения прозрачности процессов.

На текущем этапе хостинг открытого кода запущен в пилотном режиме и доступен ограниченной группе организаций. Заинтересованные в участии разработчики и организации могут присоединиться к тестированию, отправив заявку координатору проекта. Предполагается, что в ближайший год к проекту смогут подключиться различные государственные службы Нидерландов, от министерств до муниципалитетов.

Платформа Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

1. Главная ссылка к новости
2. OpenNews: Готовность платформы совместной разработки Fedora Forge
3. OpenNews: Доступна платформа совместной разработки Forgejo 13.0
4. OpenNews: Госучреждения Дании уходят от продуктов Microsoft в пользу открытого ПО
5. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora
6. OpenNews: Часть компьютеров в госучреждениях Франции планируют перевести с Windows на Linux

Дистрибутив поставляется в форме монолитного образа, не разделяемого на отдельные пакеты и обновляемого как единое целое. Приложения устанавливаются в формате Flatpak или в форме контейнеров. Для запуска Android-игр задействован Waydroid. В состав входит Steam и подборка компонентов, востребованных любителями компьютерных игр, а также дополнительные драйверы для игровых контроллеров и Wi-Fi. В системные компоненты внесены оптимизации для повышения отзывчивости и улучшения поддержки HDR и VRR.

В новой версии:

• Среды рабочего стола обновлены до KDE Plasma 6.6 (с задействованием Plasma Login Manager) и GNOME 50.
• Задействовано ядро Linux 6.19 с патчами от проекта OGC, оптимизированное для повышения производительности и эффективности при выполнении компьютерных игр. Готовится к публикации пакет с ядром 7.0, включающим VRAM-патчи от Valve.
• Обновлены версии Mesa 26.0.5, композитного сервера Gamescope (из git) и каталога приложений Bazaar 0.7.15.
• В сборках на базе KDE эмулятор терминала Ptyxis заменён на Konsole.
• Добавлена поддержка карт видеозахвата Elgato 4K.
• Размер системных образов сокращён на 1 ГБ за счёт выноса QEMU и ROCM в отдельную сборку Bazzite-DX.
• Применены свежие патчи от проекта ASUS Linux для улучшения работы на устройствах ASUS ROG.
• Добавлен установщик для игрового сервера Sunshine, который теперь не входит в базовую поставку.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива CachyOS 260426
3. OpenNews: Выпуск дистрибутива Fedora Linux 44
4. OpenNews: Выпуск Bazzite 1.0, редакции Fedora Silverblue для любителей компьютерных игр
5. OpenNews: Создан альянс для развития унифицированных компонентов игровых Linux-дистрибутивов
6. OpenNews: Доля пользователей Linux в Steam по статистике Valve превысила 5%

Не связанные с безопасностью изменения в Firefox 150.0.1:

• Решена проблема с некорректным отображением выпадающих меню (вместо выпадающего списка все элементы сразу показывались в раскрытом виде).
• Исправлена ошибка, приводившая к некорректной загрузке Facebook и других сайтов на системах с установленным антивирусом Bitdefender.
• Устранена проблема, приводившая к повторному выводу запроса предоставления доступа к данным о местоположении после отказа предоставить доступ.
• Решена проблема, не позволявшая добавить вкладки в некоторых ранее сохранённые группы вкладок.
• Устранена ошибка, приводившая к пропаданию рамок и контуров у некоторых элементов страниц после использования масштабирования щипком или умного масштабирования в macOS и Windows.

Компания Google сформировала обновление Chrome 147.0.7727.137 с исправлением 30 уязвимостей, из которых 4 помечены как критические. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что уязвимости вызваны обращениями к уже освобождённой памяти (Use-after-free) в Canvas (CVE-2026-7363), средствах для людей с ограниченными возможностями (CVE-2026-7344), компоненте формировании интерфейса Views (CVE-2026-7343) и коде, специфичном для платформы iOS (CVE-2026-7361).

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 150 с устранением 359 уязвимостей
3. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave
4. OpenNews: Уязвимость в API IndexedDB, позволяющая идентифицировать пользователей Firefox и Tor Browser
5. OpenNews: Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения
6. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, историю операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

1. Главная ссылка к новости
2. OpenNews: Компрометация PyPI-пакета Telnyx
3. OpenNews: В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц
4. OpenNews: Атакующие получили доступ к 174 учётным записям в каталоге PyPI
5. OpenNews: Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words
6. OpenNews: Инциденты с безопасностью в репозиториях PyPI и crates.io

Поддерживаемые алгоритмы:

• ГОСТ Р 34.11-2012 (RFC 6986) - хэш-функция "Стрибог" 256 и 512 бит.
• ГОСТ Р 34.12-2015 - блочный шифр "Кузнечик", ключ 256 бит.
• ГОСТ Р 34.13-2015 - режимы шифрования CBC, CFB, CTR (ГАММА), OFB; имитовставка (CMAC).
• ГОСТ Р 34.10-2012 (RFC 7091) - электронная подпись 256 и 512 бит.
• HMAC-Стрибог (RFC 7836, HMAC-Streebog-256 и HMAC-Streebog-512).
• MGM (Multilinear Galois Mode) - AEAD-режим для Кузнечика (RFC 9058). Совместим с OpenSSL.
• SCrypt (RFC 7914) - функция формирования ключа на основе пароля.

1. Главная ссылка к новости
2. OpenNews: Реструктуризация проекта OpenSSL. Переход под крыло OpenSSL библиотек Bouncy Castle и Cryptlib
3. OpenNews: Выпуск криптографической библиотеки OpenSSL 4.0.0
4. OpenNews: Выпуск криптографической библиотеки LibreSSL 4.3

Наиболее значимые изменения в Fedora Linux 44:

• Среда рабочего стола GNOME обновлена до ветки 50, в которой удалён код для поддержки X11, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.
• Во всех вариантах дистрибутива со средой рабочего стола KDE (Fedora KDE Plasma Desktop Edition, Fedora KDE Plasma Mobile Spin и Fedora Kinoite) для настройки системы после установки задействован развиваемый проектом KDE мастер начальной настройки Plasma Setup, а в инсталляторе Anaconda отключены пересекающиеся с данным приложением стадии конфигурирования системы.
• Во всех редакциях с KDE менеджер входа SDDM заменён на Plasma Login Manager, развиваемый проектом KDE.
• Переработана редакция Fedora Games Lab, предлагающая подборку пакетов и настроек для любителей компьютерных игр. В новом варианте обновлён программный стек для запуска игр и задействованы актуальные технологии, такие как Wayland и PipeWire.
• Пользовательское окружение Budgie обновлено до ветки 10.10, переведённой на Walyand.
• В инсталляторе Anaconda изменена логика создания сетевых профилей (файлов с настройками для NetworkManager) в установленной системе. Подобные профили теперь создаются не для всех имеющихся проводных сетевых устройств, а только для устройств, настроенных в процессе установки через GUI, загрузочные опции или kickstart-файл. Создание профилей для всех доступных устройств, а не только выбранных пользователем, требовало удаления лишних профилей после установки и вызывало трудности при последующей необходимости изменения настроек.
• По умолчанию активирован модуль ядра NTSYNC, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Модуль реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Значительный прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя.
• На системах с архитектурой Аarch64 обеспечен автоматический выбор файла описания оборудования DTB (Device Tree Blobs) для загрузчика UEFI, что решило проблемы с загрузкой Live-сборок Fedora на ARM-ноутбуках, поставляемых с Windows.
• В Live-сборках задействован набор скриптов livesys-scripts для настройки рабочего окружения и новые возможности инструментария Dracut для автоматического создания сохраняемого между перезагрузками оверлейного хранилища при записи образа на USB-накопители.
• Продолжена работа по переводу инфраструктуры непрерывной интеграции (dist-git CI), выполняющей пересборку RPM-пакетов после внесения изменений или обновления версий, на использование по умолчанию инструментария Packit вместо Fedora CI и Zuul.
• Включено по умолчанию использование жёстких ссылок для связывания идентичных файлов, устанавливаемых из разных пакетов в иерархию /usr. Создание жёсткой ссылки осуществляется автоматически при установке пакета обработчиком на стадии "post install".
• В репозиторий добавлен инструментарий с пакетным менеджером Nix, позволяющий устанавливать пакеты в формате Nix из коллекции nixpkgs. Пакеты можно ставить в однопользовательском (в домашний каталог пользователя) и многопользовательском (в каталог /nix) режимах.
• Прекращена поставка сборок QEMU для 32-разрядных хост-систем (i686). Изменение отражает работу проекта QEMU по удалению поддержки 32-разрядных хост-систем.
• Из состава атомарных редакций Fedora для десктоп систем удалены исполняемые файлы и библиотеки FUSE 2 (ранее данная версия была объявлена устаревшей и все пакеты переведены на использование FUSE 3). Также прекращена поддержка устаревших правил polkit, поставлявшихся в файлах с расширением pkla.
• PackageKit переключён на использование нового бэкенда DNF5, собранного с библиотекой libdnf5.
• В редакции дистрибутива с композитным менеджером MiracleWM оболочка рабочего стола nwg-shell заменена на Dank Material Shell.
• В Fedora Cloud вместо отдельного раздела /boot теперь предлагается одноимённый подраздел Btrfs.
• Прекращена поставка пакета libreoffice-KF5 с компонентами для интеграции LibreOffice с Qt5, на смену которому пришёл пакет libreoffice-kf6, обеспечивающий интеграцию с Qt6.
• Загрузка библиотеки OpenSSL ускорена за счёт распределения сертификатов по подкаталогам (формат directory-hash) вместо их размещения в одном файле /etc/pki/tls/cert.pem.
• Обновлены версии пакетов: ядро Linux 7.0, GCC 16.1-prerelease, LLVM 22, Ruby 4.0, Go 1.26, binutils 2.46, glibc 2.43, gdb 16.3, CMake 4.0, MariaDB 11.8, IBus 1.5.34, uutils-coreutils 0.5, nushell 0.109.2, Django 6.x, TagLib 2, Helm 4, Ansible 13, TeXLive 2025, GHC 9.10, PHP 8.5.
• Проведена работа по доведению инфраструктуры для воспроизводимых сборок до охвата не менее чем 99% пакетов в репозитории Fedora. В прошлых выпусках охват воспроизводимыми сборками оценивался в 90%, благодаря внесению в сборочную систему изменений, синхронизирующих метаданные о времени модификации файлов с эталонным исходным кодом, а также обеспечивающих постоянный порядок перечисления метаданных и структур в бинарных файлах. Для обеспечения воспроизводимых сборок в оставшихся 10% к участию были привлечены сопровождающие проблемных пакетов. Воспроизводимые сборки дают пользователю возможность лично убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений, осуществлённых в результате компрометации компилятора или сборочного инструментария.

Для Fedora 44 введены в строй репозитории "free" и "nonfree" от проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Fedora Linux 43
3. OpenNews: Планы по введению статуса проверенного участника Fedora
4. OpenNews: Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora
5. OpenNews: Готовность платформы совместной разработки Fedora Forge
6. OpenNews: В Fedora утверждены правила использования AI-инструментов при разработке

В основе платформы заложена парадигма комбинаторного программирования (function-level), что существенно отличает lsFusion от существующих на рынке платформ (например SAP, Dynamics AX, 1С, .Net). Также внутри активно используются событийное, реактивное и объектно-ориентированное программирование.

Основные изменения в версии 6.2:

• Для операторов SEEK и VALUE добавлены альтернативные ключевые слова ACTIVATE и ACTIVE.
• Библиотека JasperReports обновлена до версии 6.21.5, в которой появилась поддержка экспорта в Excel отчётов с изображениями в формате WebP.
• Имя экспортируемого PDF-отчёта в веб-клиенте теперь соответствует имени формы вместо фиксированного lsfreport.pdf.
• В блок DESIGN для табличных колонок добавлен атрибут footerClass для CSS-стилизации footer-ячеек по аналогии с captionClass.
• В операторе EXTERNAL HTTP поддержаны адреса с не-ASCII символами.
• Для XML-данных в EXTERNAL HTTP POST задействован корректный MIME-тип "application/xml" вместо устаревшего "text/xml".
• При работе через Nginx-прокси корректно определяется адрес реального клиента в свойстве remoteAddress.
• Восстановлена работа интервальных формул для типов TIME, DATETIME и ZDATETIME.
• Устранены сбои при использовании MATERIALIZED со свойством, построенным оператором JSON.
• Корректно обновляются материализованные свойства, зависящие от вновь созданных статических объектов, при синхронизации структуры БД.
• Присваивание NULL свойствам LOCAL теперь корректно удаляет запись.
• Планировщик задач корректнее обрабатывает прерывание потоков и не теряет записи журнала для задач с заданным таймаутом.
• В LRU-кэше игнорируются устаревшие события нехватки памяти.

1. Главная ссылка к новости
2. OpenNews: Релиз платформы разработки информационных систем lsFusion 6.1

При выборе AI-инструментов предпочтения будут отдаваться открытым моделям, распространяемым под лицензиями, отвечающими духу дистрибутива, а также AI-платформам на базе открытого кода. По умолчанию AI-модели будут выполняться локально. Интеграция с внешними облачными AI-системами будет в форме опции, подконтрольной пользователю.

Подчёркивается, что цель инициативы не в превращении Ubuntu в AI-продукт и не в продвижении AI ради AI, а в выборочной интеграции в дистрибутив AI-возможностей там, где это будет действительно полезным для пользователей. Для тех, кто не желает использовать AI будет предоставлена возможность отключения AI-возможностей. В качестве примеров применения AI упоминается обработка голосовых команд, диагностика сетевых и системных проблем, настройка сервисов, анализ логов, выполнение рутинных задач и проведение аудита серверов.

Добавляемая в дистрибутив AI-функциональность разделена на неявное и явное использование AI. В первом случае AI-модели расширяют имеющиеся функции без изменения способа взаимодействия с пользователем, например, применяются для распознавания и синтеза речи. Во втором случае, AI-модели предлагаются как самостоятельные решения, например, как AI-агенты для автоматизации работы, AI-ассистенты для обучения, генерации и анализа контента.

Для обеспечения безопасности и упрощения установки AI-модели решено поставлять вместе с инструментарием для их выполнения в форме snap-пакетов, оптимизированных для различных аппаратных платформ. Модели будут выполняться в изолированном окружении, не имеющем прямого доступа к остальной системе, а AI-агенты будут функционировать в соответствии с существующими механизмами разграничения доступа и аудита.

Внутри компании Canonical решено не отталкиваться изначально от определённого AI-стека, а в течение следующих 6 месяцев предоставить командам возможность углубиться в тему, попробовать разные AI-стеки, выбрать оптимальные для их задач AI-решения, понять сильные стороны AI-инструментов и их ограничения. Сотрудники компании по-прежнему будут оцениваться по тому, как хорошо они выполняют свои задачи, а не по тому, используют ли они AI.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Ubuntu 26.04
3. OpenNews: Интервью с Грегом Кроа-Хартманом о созданных через AI отчётах об ошибках
4. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
5. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
6. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений

Основные изменения:

• Обновлены конфигурации префиксов.
• Обновлён список версий Wine.
• Обновлены языковые стандарты.
• Обновлены библиотеки и драйверы в контейнере.
• Добавлена функция завершения запущенных процессов StartWine перед установкой.
• Добавлено диалоговое окно для загрузки изображений через встроенный браузер.
• Исправлена ошибка в меню на панели задач.
• Исправлена ошибка при обновлении установленных данных приложения.
• Исправлен сбой при отображении изображений ярлыков.
• Устранена проблема с зависанием индикатора выполнения при загрузке игр из GOG и Epic Games.
• Исправлен скрипт установки.

1. Главная ссылка к новости
2. OpenNews: Доступны Wine 11.7, Wine-staging 11.7 и бета-версия Proton 11.0
3. OpenNews: Релиз StartWine-Launcher 420, программы для запуска Windows-приложений и игр в Linux
4. OpenNews: Стабильный релиз Wine 11.0
5. OpenNews: Стабильный релиз Proton 10.0, пакета для запуска Windows-игр в Linux