В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется под лицензией GPLv3.

Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл /etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобны подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.

При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).

1. Главная ссылка к новости
2. OpenNews: FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
3. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
4. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
5. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

При запуске Adobe Lightroom CC отображает синхронизированный с облаком каталог и позволяет использовать модуль редактирования с панелью инструментов (освещение, цвета, эффекты, геометрия, оптика, детализация и т.п.). Среди прочего работают инструменты кадрирования/изменения геометрии и удаления/восстановления объектов, что позволяет, например, выровнять горизонт и удалить случайно попавших в кадр людей. Из ещё неработающих возможностей отмечены аварийные завершения при попытке открытия некоторых диалогов, таких как "What's New", и не полное задействование средств для ускорения операций при помощи GPU. В остальном основные функции редактирования работоспособны.

Изменения подготовлены автономно моделью Claude Opus 4.7, используемой через AI-ассистент Claude Code. Модель циклично запускала Adobe Lightroom CC при помощи Wine, анализировала crash-дапмы и логи Wine, изучала исполняемые файлы Adobe при помощи winedump, objdump и разбор сктруктур в формате PE, сравнивала эталонные и предоставляемые в Wine и Proton библиотеки для выявления недостающих функций, модифицировала исполняемые файлы, создавала DLL с заглушками и выполняла проверку работы через анализ скриншотов.

1. Главная ссылка к новости
2. OpenNews: Pixar, Adobe, Apple, Autodesk и NVIDIA начали совместное продвижение платформы OpenUSD
3. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
4. OpenNews: Бета-версия Proton 11.0
5. OpenNews: Компания Adobe представила версию Photoshop для Chrome OS
6. OpenNews: Выпуск PhotoGIMP 2020, модификации GIMP, стилизованной под Photoshop

Основные новшества:

• Добавлена поддержка контроллеров x2APIC (Intel Advanced Programmable Interrupt Controller).
• Улучшена поддержка CPU Intel Lunar и Panther Lake.
• Улучшена оценка производительности кэшей и ОЗУ.
• В сборках для архитектуры x86_64 включены оптимизации на базе инструкций SIMD (SSE2).
• Решены проблемы с загрузкой на системах с AMI BIOS и системах со старым GRUB.

1. Главная ссылка к новости
2. OpenNews: Выпуск системы тестирования памяти Memtest86+ 8.0
3. OpenNews: Phoenix - атака на чипы DDR5, приводящая к искажению содержимого памяти
4. OpenNews: Intel и AMD стандартизируют механизм ChkTag для защиты от уязвимостей при работе с памятью
5. OpenNews: До 10% аварийных завершений Firefox вызваны аппаратными проблемами с памятью
6. OpenNews: Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU

Суммарный размер выплаченных вознаграждений составил более $1.2 миллиона долларов США ($1 298 250). Наиболее успешная команда DEVCORE сумела заработать на соревнованиях 505 тысяч долларов США. Обладатели второго места (STARLabs SG) получили 242 тысячи долларов, а третьего (Out Of Bounds) - 95 тысяч долларов.

Осуществлённые атаки:

• Red Hat Enterprise Linux: 4 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения, состоянием гонки и использованием неинициализированной памяти. Участникам выплачено $20 000, $10 000, $7 000 и $5 000.
• Windows 11: 5 успешных атак, позволивших получить права администратора. Уязвимости вызваны целочисленным переполнением, переполнением буфера, обращением к памяти после освобождения и некорректным управлением доступом. Участникам выплачено $30 000, две премии по $15 000 и две премии по $7 500.
  
  
  
• VMware ESX: атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено $200 000.
• NV Container Toolkit: 2 успешные атаки, позволившие обойти изоляцию контейнера. Проблемы вызваны обращением к памяти после освобождения. Участникам выплачено $25 000 и $50 000
  
  
  
• Microsoft Edge: Удалённое выполнение кода c обходом sandbox. Участникам выплачено $175 000.
• Microsoft SharePoint: Удалённое выполнение кода. Участникам выплачено $100 000.
• Microsoft Exchange: Удалённое выполнение кода с правами SYSTEM. Участникам выплачено $200 000.
  
  
  
• OpenAI Codex: 4 успешных взлома. Выплачено: две премии по $20 000 и по одной премии в $40 000 и $10 000.
• NVIDIA Megatron Bridge: 4 успешных взлома. Выплачено: две премии по $10 000, $20 000, $2 500.
• Anthropic Claude Code: 3 успешных взлома. Выплачены три премии по $20 000.
• LM Studio: 2 успешных взлома. Выплачено: $40 000 и $20 000.
• Cursor: 2 успешных взлома. Выплачено: $30 000 и $15 000.
• LiteLLM: 3 успешных взлома. Выплачено: $17 750, $40 000 и $8 000.
• Chroma: Один взлом, выплачено $20 000.
• Ollama: Один взлом, выплачено $28 000.
• Anthropic Claude Desktop: Один взлом, выплачено $10 000.

Кроме вышеотмеченных успешных атак, 7 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома VMware ESXi, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux, Firefox, OpenAI Codex, Oracle Autonomous AI Database, NV Container Toolkit.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

1. Главная ссылка к новости
2. OpenNews: На соревновании Pwn2Own Automotive 2026 продемонстрировано 76 уязвимостей автомобильных систем
3. OpenNews: На соревновании Pwn2Own продемонстрированы взломы смартфонов, NAS, принтеров и устройств умного дома
4. OpenNews: На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox
5. OpenNews: На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox
6. OpenNews: На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu

Для загрузки и установки "с нуля" в ближайшие часы будут подготовлены установочные сборки c Debian 13.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.5, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.

Одновременно доступен новый выпуск предыдущей стабильной ветки Debian 12.14, в который включено 99 обновлений с устранением проблем со стабильностью и 145 обновлений с устранением уязвимостей. Обновлены до свежих стабильных версий пакеты 7zip, apache2, arduino-core-avr, dpkg, openssl, postgresql-15, wireless-regdb. Удалены пакеты suricata (актуальная версия имеется в бэкпортах) и zulucrypt (остался без сопровождения и имеет неустранённые уязвимости).

1. Главная ссылка к новости
2. OpenNews: В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов
3. OpenNews: Выпуск дистрибутива Debian 13.4
4. OpenNews: Избран новый лидер проекта Debian
5. OpenNews: В Debian 14 намерены удалить слой для совместимости systemd со скриптами sysv-init
6. OpenNews: В Debian 14 намерены прекратить поставку GTK2

Основную массу связанных с безопасностью ошибок предписывается обрабатывать публично, чтобы привлечь максимально широкую аудиторию и найти оптимальное решение. В отдельный приватный список рассылки предлагается отправлять только экстренные сообщения об уязвимостях, легко эксплуатируемых, представляющих угрозу для многих пользователей и позволяющих получить расширенные привилегии или возможности.

Уязвимости, выявленные при помощи AI-ассистентов, всегда предлагается обсуждать публично, так как подобные проблемы часто обнаруживаются одновременно несколькими исследователями. При этом не следует раскрывать в отчёте экплоит - достаточно упомянуть, что он доступен, и передать его в частном порядке в ответ на запрос сопровождающего.

Отдельно описываются правила передачи отчётов, созданных при помощи AI-ассистентов. Подобных отчётов присылают очень много и благодаря им время от времени удаётся выявлять ошибки в плохо отрецензированных частях кода, но сопровождающие часто их игнорируют из-за низкого качества и неточностей. Основные требования к отчётам, созданными при участии AI:

• Краткость, без воды и с указанием сути и важных деталей в самом начале.
• Только голый текст без Markdown-тегов и декорирования.
• Понимание модели угроз и указание проверяемых фактов (например, "ошибка позволяет любому пользователю получить CAP_NET_ADMIN"), а не теоретических измышлений и домыслов о последствиях уязвимости.
• Перед отправкой отчёта обязательно тщательно протестировать работоспособность эксплоита, сформированного через AI, и убедиться в возможности воспроизвести проблему.
• Привлечение AI для разработки и тестирования исправления выявленной проблемы.

По статистике сопровождающих, большинство отчётов об ошибках, присылаемых под видом устранения уязвимостей, таковыми не являются, и должны обрабатываться в общем порядке как обычные ошибки. Для разделения уязвимостей и обычных ошибок описана модель угроз ядра Linux. Среди возможностей и гарантий, нарушение которых может рассматриваться как уязвимость:

• Изоляция на уровне пользователей: доступ к файлам только для владельца, память процесса недоступна другим пользователям, ptrace запрещён для чужих процессов, изоляция IPC и сетевых коммуникаций.
• Защита на основе capabilities: без CAP_SYS_ADMIN нельзя менять конфигурацию ядра, память, состояние системы, без CAP_NET_ADMIN нельзя менять сетевые настройки или перехватывать трафик, без CAP_SYS_PTRACE нельзя отслеживать процессы других пользователей.
• Пространство имён идентификаторов пользователей (CONFIG_USER_NS) позволяет непривилегированным пользователям создавать свои изолированные окружения, из которых нельзя влиять на глобальное пространство имён, например, менять время, загружать модули и монтировать блочные устройства.
• Отладочные интерфейсы (/proc/kmsg, perf, debugfs), через которые можно получить доступ к конфиденциальной информации, доступны только после явного предоставления доступа администратором.

Возможности, которые не рассматриваются как уязвимости:

• Использование устаревших веток ядра.
• Сборка с включением опций для разработчиков или снижающих безопасность (например, CONFIG_NOMMU).
• Выставление небезопасных настроек sysctl, опций командной строки, прав доступа в ФС, capabilities или открытие непривилегированным пользователям доступа к привилегированным интерфейсам (например, доступ на запись в procfs и debugfs).
• Проблемы в функциях, предназначенных только для разработки и отладки ядра, таких как LOCKDEP, KASAN и FAULT_INJECTION, которые не предназначены для включения в рабочих конфигурациях.
• Проблемы в драйверах, модулях и подсистемах, находящихся в секции STAGING или помеченных как экспериментальные, небезопасные или неработоспособные.
• Использование сторонних модулей ядра или неофициальных форков ядра.
• Требование избыточных привилегий, таких как необходимость выполнения действий с правами root или от пользователя, имеющего права CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_SYS_RAWIO и CAP_SYS_MODULE.
• Теоретические атаки, требующие лабораторных условий, миллиардов попыток, эмуляции или модификации оборудования, несоразмерных затрат и нереалистичных конфигураций (например, системы с десятками тысяч ядер CPU).
• Обход механизмов защиты (например, ASLR) без демонстрации эксплоита. Отсутствие проверок аргументов и возвращаемых кодов ошибок, не имеющих явных последствий.
• Случайные утечки информации, неподконтрольные атакующим, такие как остаточные данные в сообщениях об ошибках и утечки адресов/указателей на память ядра без прямой возможности эксплуатации.
• Ошибки при монтировании повреждённых дисковых образов, если драйвер не заявлен как пригодный для использования с не заслуживающими доверия носителями. Проблемы с дисковыми образами, выявляемые и устраняемые через запуск утилиты fsck.
• Атаки требующие физического доступа к оборудованию, модификации оборудования или подключения аппаратных устройств, таких как платы для атаки на DMA и логические анализаторы, если система специально не настроена для защиты от подобных атак (IOMMU).
• Регрессии c функциональностью и производительностью, устраняемые настройкой прав и лимитов.

1. Главная ссылка к новости
2. OpenNews: Введён в строй AI-сервис Sashiko для рецензирования изменений в ядре Linux
3. OpenNews: Набор подсказок для рецензирования изменений в ядре Linux и systemd при помощи AI
4. OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
5. OpenNews: Проект OpenPaX развивает аналог механизмов защиты Grsecurity/PaX для ядра Linux
6. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Основные новшества:

• В SSH-сервере по умолчанию отключены сервисы shell и exec, а также подсистема SFTP. Для выполнения Erlang-кода аутентифицированными пользователями через SSH теперь требуется изменение настроек. В SSH по умолчанию активирован гибридный алгоритм обмена ключами mlkem768x25519-sha256.
• В библиотеке SSL в конфигурации по умолчанию выставлен наиболее приоритетным гибридный алгоритм обмена ключами "x25519mlkem768", стойкий к подбору на квантовом компьютере и представляющий собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber).
• Добавлен атрибут "-unsafe" для пометки функций небезопасными (unsafe). В библиотеке Erlang/OTP подобные функции помечены и для них компилятор теперь выдаёт предупреждение. Добавлена возможность отслеживания через xref вызова unsafe-функций и функций без документации.
• Для корректной работы сторонних сборочных инструментов, таких как Rebar3, фильтрация игнорируемых вызовов (ignore_xref) теперь выполняется непосредственно внутри xref.
• Добавлен модуль ct_doctest для автоматического тестирования примеров кода из документации.
• Добавлен модуль io_ansi для создания консольных приложений, поддерживающих подстановку в терминал ANSI-последовательностей (Virtual Terminal Sequences), например, для изменения стиля и цвета текста.
• При поиске файловых путей с кодом (PATH) текущий каталог (".") перемещён с первой на последнюю позицию списка и теперь проверяется в последнюю очередь.
• Прекращено формирования 32-разрядных сборок для Windows.
• Реализован полноценный отдельный тип данных для записей (native record, EEP-79), который можно использовать вместо традиционных записей, построенных на кортежах.
• Добавлен ограничитель "is_integer/3" для проверки целых чисел на принадлежность диапазону (например, "is_integer(I, 0, 100)").
• Реализованы генераторы списков с множественными значениями (EEP-78), возвращающие несколько элементов за итерацию (например, "[-I, I || I <- [1, 2, 3]]" выдаст "[-1,1,-2,2,-3,3]").
• Добавлен флаг compr_assign, позволяющий связывать переменные прямо внутри генераторов (например, "[H || E <- List, H = erlang:phash2(E), H rem 10 =:= 0]").
• В JIT-компиляторе улучшена генерация машинного кода для сопоставления и создания бинарных данных с несколькими little-endian сегментами.
• В компиляторе повышена эффективность генерируемого кода в ситуациях, когда значения в "map" не зависят от генератора (например, "#{K => 42 || K <- List}").
• В компиляторе реализован вывод предупреждений при использовании устаревшего оператора "catch" вместо "try...catch", экспорта переменных из подвыражений (например, "file:open(File, AllOpts = [write, {encoding,utf8}])"), использования "and"/"or" вместо "andalso"/"orelse", указания неоптимальных шаблонов сопоставления (например, "{a,B} = {X,Y}").
• В STDLIB реализованы функции rand:shuffle/1 и rand:shuffle_s/2 для перемешивания списков в случайном порядке.

1. Главная ссылка к новости
2. OpenNews: Релиз Erlang/OTP 25
3. OpenNews: Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода
4. OpenNews: Умер Джо Армстронг, один из авторов языка программирования Erlang

Среди изменений, добавленных за прошедшую неделю в ветку KDE 6.7:

• Во встроенный сервер для организации удалённой работы с рабочим столом (krdp), реализующий протокол RDP, добавлена поддержка режима прогрессивного кодирования (Progressive Encoding Mode), который может использоваться для клиентов, не поддерживающих кодек H.264, имеющих проблемы с работой кодека или использующих канал связи с недостаточной пропускной способностью. Переключение между H.264 и прогрессивным кодированием производится динамически. Отмечается, что прогрессивное кодирование более эффективно при такой активности в сеансе, как редактирование текста, при которой содержимое экрана меняется не часто и изменяется незначительно. Кроме того, в сервер krdp внесены оптимизации для повышения производительности и снижения задержек.
• В Kwin добавлена поддержка версии 3.2 протокола text-input, позволяющего композитным серверам реализовывать методы ввода и отправлять текст в приложения. В новой версии протокола реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа и скрытия панели ввода, добавлен флаг preedit_hint для настройки стиля предварительного редактирования.
• Предоставлена возможность настройки ситуаций, в которых показывается виртуальная клавиатура. Например, кроме включения/выключения поддержки виртуальной клавиатуры теперь можно привязать её показ к наличию сенсорного экрана и планшета на системах с подключённой мышью и без неё.
• При создании скриншотов реализована функций избранного исключения из снимка выбранных окон, которая ранее была доступна только для скринкастов.
• Опция для закрепления окна поверх других окон перемещена из вложенного подменю в основную часть контекстного меню, показываемого в заголовке окна.
• В менеджере приложений Discover на странице со списком установленных программ по умолчанию включена разбивка на категории для упрощения поиска искомого приложения.
• Вместо проявления и затухания уведомлений, они теперь плавно выезжают сбоку и уезжают за край экрана, что позволяет привлечь к ним больше внимания, но при этом не сделать их навязчивыми.
  
  
• Реализована поддержка запоминания подтверждённого пользователем разрешения на доступ к захвату устройства ввода, которое раньше требовалось подтверждать при каждом запросе.
• В интерфейсе запуска программ Kickoff улучшен запуск приложений нажатием Enter после быстрого набора поискового запроса.
• Для просмотра изображений в формате SVG по умолчанию задействовано приложение Gwenview вместо GIMP.
• Улучшена поддержка разблокировки сеанса при помощи смарткарты.

Из изменений в ветке KDE Plasma 6.8 можно отметить реализацию в виджете настройки беспроводной сети опции для автоматического выбора беспроводного канала при работе в режиме точки доступа.

1. Главная ссылка к новости
2. OpenNews: Бета-выпуск KDE Plasma 6.7
3. OpenNews: Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE
4. OpenNews: В KDE ускорена программная отрисовка и реализован новый движок стилей Union
5. OpenNews: Ветка KDE Plasma 6.7 перешла на стадию мягкой заморозки
6. OpenNews: Опубликован KDE Gear 26.04, набор приложений от проекта KDE

Наиболее важные изменения:

• В состав включена библиотека SQLite 3.51.1.
• Реализована начальная поддержка системных потоков. В ntdll добавлены функции для создания потока с использованием pthread.
• Добавлена поддержка приостановки потока в эмулируемом коде при выполнении на системах ARM64.
• Улучшена совместимость с VBScript.
• В драйвере winewayland.drv, позволяющем использовать Wine в окружениях на базе протокола Wayland, для выставления позиции курсора задействован Wayland-протокол wp_pointer_warp_v1, позволяющй мгновенно переместить указатель в указанную позицию.
• В d3d9 добавлена фиктивная последовательность инициализации таблицы виртуальных методов (d3d9_device_vtbl, Virtual Method Table), включающая только метод d3d9_device_GetDisplayModeEx. Изменение позволило обеспечить совместимость с платформой онлайн-игр BFME Online Arena.
• Закрыты отчёты об ошибках, связанные с работой приложений: Lotus Notes 8.x, Photoshop CS 2, Logos 9, WinSCP, Homesite 5.5, GOM Player, Graphpad Prism 9, GXSCC, ExamDiff Pro Fileeditor, SteelSeries GG 110.0.
• Закрыты отчёты об ошибках, связанные с работой игр: Wargaming Game Center, Command & Conquer 3, Command & Conquer Red Alert 3.

Одновременно сформирован выпуск проекта Wine Staging 11.9, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 273 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.9 и обновлён код vkd3d. В основной состав Wine перенесены патчи, устраняющие проблемы со сборкой vkd3d при помощи инструментария mingw и добавляющие в устройство d3d9 фиктивную последовательность инициализации vtbl.

1. Главная ссылка к новости
2. OpenNews: Доступны Wine 11.8, Wine-staging 11.8 и Proton-CachyOS 11
3. OpenNews: Бета-версия Proton 11.0
4. OpenNews: Релиз Proton 10.0-4, пакета для запуска Windows-игр в Linux

Программа 3D Movie Maker позволяет детям создавать фильмы, размещая трёхмерных персонажей и реквизит в заранее сформированном окружении, а также добавляя звуковые эффекты, музыку и диалоги. Несмотря на то, что программа разработана в 1995 году, энтузиасты до сих пор продолжают публиковать фильмы в формате 3mm, а также развивать моды и расширения с реализацией новых сцен, персонажей и реквизита.

1. Главная ссылка к новости
2. OpenNews: Компания Microsoft открыла исходные тексты программы 3D Movie Maker

В репозитории "security" будут публиковаться только экстренные обновления, формируемые в случаях, когда без предварительного уведомления раскрываются сведения о критических уязвимостях и имеется рабочий эксплоит, но разработчики RHEL не успели сформировать обновления с исправлениями. Подобная ситуация наблюдалась с уязвимостями Copy Fail, Dirty Frag и Fragnesia.

Благодаря репозиторию "security", проект Rocky Linux сможет самостоятельно оперативно опубликовать обновления, не дожидаясь, когда это сделает компания Red Hat. После выхода исправления от RHEL, опубликованный для RHEL пакет заменит собой пакет с исправлением от Rocky Linux. По умолчанию репозиторий "security" отключён, потребуется выполнить команду "sudo dnf --enablerepo=security update" для его активации.

Тем временем, дистрибутив Alma Linux, не дожидаясь RHEL, публиковал обновления пакетов для оперативного устранения уязвимостей ssh-keysign-pwn, NGINX Rift, Fragnesia, Dirty Frag и Copy Fail. Вначале пакеты размещались в тестовом репозитории "almalinux-testing", а затем переносились в основной.

1. Главная ссылка к новости
2. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
3. OpenNews: Выпуск дистрибутива Rocky Linux 10.1
4. OpenNews: CentOS и Rocky Linux объявили о поддержке архитектуры RISC-V
5. OpenNews: Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы
6. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Обе уязвимости присутствуют в коде cxl-mailbox-utils.c. Первая уязвимость проявляется начиная с выпуска QEMU 7.1.0 и приводит к чтению памяти из области вне выделенного буфера из-за того, что функция cmd_logs_get_log() ошибочно трактует запрошенное смещение CEL-лога как индекс в массиве, в то время как оно задаётся в байтах. Вторая уязвимость проявляется начиная с QEMU 11.0.0 и приводит к переполнению буфера в функции cmd_features_set_feature() из-за обработки смещения на структуры при записи атрибутов без проверки, что вычисленное значение "offset + bytes_to_copy" укладывается в размер выбранной структуры.

Фактически атака возможна только на последнюю ветку QEMU 11.0.0. Об исправлении пока ничего не сообщается, указано только, что перед раскрытием уязвимости, информация о ней была передана разработчикам QEMU, которые ответили, что поддержка устройства CXL в QEMU реализована не для использования при виртуализации.

Эксплоит проверен с кодовой базой QEMU от 11 мая с последним коммитом 5e61afe. Работа эксплоита завязана на раскладку структур в памяти каждой конкретной сборки QEMU и системной libc, но по мнению исследователей, воспользовавшись для сканирования памяти уязвимостью, приводящей к чтению из области вне буфера, можно создать универсальный эксплоит, работающий с разными версиями QEMU.

1. Главная ссылка к новости
2. OpenNews: Опасные уязвимости в QEMU, Node.js, Grafana и Android
3. OpenNews: На соревновании Tianfu Cup продемонстрированы 0-day уязвимости в Chrome и qemu-kvm
4. OpenNews: Уязвимость в vhost-net, позволяющая обойти изоляцию в системах на базе QEMU-KVM
5. OpenNews: Уязвимость, позволяющая выйти из изолированного окружения QEMU
6. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA

Недовольство связано с намерением использовать в составе Fedora AI Developer Desktop сторонние модули ядра и проприетарные компоненты для поддержки технологии NVIDIA CUDA. Поставка сторонних модулей нарушает сложившийся в проекте консенсус в отношении политики поставки сторонних модулей ядра, а поставка CUDA идёт в разрез с идеологией проекта, не приветствующей продвижение проприетарного ПО и привязку решений к одному производителю. Кроме того, в новой редакции предлагалось поставлять LTS-ветки ядра, но не ясно кто их будет поддерживать отдельно от штатных постоянно обновляемых пакетов с ядром, сопровождаемых в Fedora.

По мнению изменившего свой голос члена управляющего совета, изменение стратегии в отношении поставки модулей для ядра в Fedora требует дополнительного согласования и получения экспертных мнений от инженеров и юристов. Предполагается, что проблема может быть урегулирована через переход к поставке штатного драйвера Nova вместо сторонних отрытых модулей от компании NVIDIA, доведение которого до готовности ожидается ближе к концу года.

Изначально предполагалось, что участники из сообщества обратятся к представителям управляющего совета в случае опасений по тем или иным предстоящим решениям, но на деле совет не был уведомлен о возможных проблемах и голосовал на основе информации, предоставленной автором инициативы. Для того чтобы не допускать в будущем решений совета, идущих в разрез с мнением сообщества, Джеф Спалета (Jef Spaleta), лидер проекта Fedora, предложил до начала голосования публиковать позиции совета, по которым в достигнут консенсус, чтобы сообщество могло успеть отреагировать и попытаться переубедить участников. Также упоминается вариант введения предварительного голосования на этапе обсуждения вопросов, вынесенных на рассмотрение совета, с публикацией результатов вне протоколов заседаний для ознакомления сообщества с мнением совета до проведения окончательного голосования.

Проект Fedora AI Developer Desktop нацелен на создание дополнительных атомарно обновляемых дектоп-редакций Fedora Linux для разработчиков, использующих и разрабатывающих AI-технологии. В качестве основы планировалось использовать наработки дистрибутивов Silverblue (GNOME) и Kinoite (KDE), дополненные модулями ядра, инструментариями, платформами и библиотеками для развёртывания AI-моделей на локальной системе, а также разработки приложений, использующих AI. Для тестирования доступен прототип сборки Fedora AI Developer Desktop на базе Fedora Silverblue.

Конечной целью называется желание предоставить решение для использования AI из коробки, не требующее ручной настройки и установки дополнительного ПО. Для корректной работы многих AI-фреймворков обычно требуется ручная настройка и согласование версий ядра, драйверов NVIDIA, инструментария CUDA и runtime для запуска контейнеров. Fedora AI Developer Desktop предоставит уже протестированное рабочее окружение, позволяющее сразу запускать готовые контейнеры с преднастроенными AI-платформами и использовать средства ускорения выполнения AI-моделей при помощи GPU.

Все AI-инструменты и платформы по умолчанию будут поставляться без отправки телеметрии и с отключённым обращением к облачным сервисам. Для задействования ускорения на GPU NVIDIA в состав включены открытые компанией NVIDIA модули ядра, используемые в проприетарных драйверах NVIDIA (в будущем модули ядра NVIDIA планируют заменить на драйвер Nova). Поверх открытых модулей предусмотрена возможность установки CUDA Runtime или CUDA Toolkit. Помимо GPU NVIDIA в планах упомянута возможность работы на системах с GPU ARM, AMD и Intel. Из входящих в базовую поставку компонентов, отмечены преднастроенные AI-агент Goose и графический интерфейс для создания, запуска и управления контейнерами Podman Desktop.

1. Главная ссылка к новости
2. OpenNews: Планы по введению статуса проверенного участника Fedora
3. OpenNews: В Fedora утверждены правила использования AI-инструментов при разработке
4. OpenNews: Red Hat опубликовал первый выпуск дистрибутива Red Hat Enterprise Linux AI
5. OpenNews: NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA
6. OpenNews: В Ubuntu намечена интеграция AI

Сведения об уязвимости не были запланированы для раскрытия, но один из исследователей безопасности на основе предложенного для ядра патча смог определить суть уязвимости, позволяющей прочитать файлы, доступные только пользователю root, например, /etc/shadow. В добавленном в ядро изменении корректировалась логика использования функции get_dumpable() в ptrace при определении уровня доступа в функции ptrace_may_access().

Непосредственно уязвимость вызвана состоянием гонки, приводящим к возможности непривилегированного доступа к файловому дескриптору pidfd после обращения к файлу из suid root процесса. В момент времени между открытием файла и сбросом привилегий в suid-программе (например, через функцию setreuid), возникает ситуация, когда приложение, запустившее suid root программу, через дескриптор pidfd может обратиться к открытому в suid-программе файлу, даже если это не позволяют права доступа на файл.

Окно для эксплуатации возникает из-за того, что функция "__ptrace_may_access()" пропускает проверку возможности доступа к файлу, если поле task->mm оказывается выставлено в значение NULL после выполнения exit_mm(), но до вызова exit_files(). В данный момент системный вызов pidfd_getfd считает, что идентификатор пользователя (uid) вызывающего процесса, соответствует идентификатору, которому разрешён доступ к файлу. Примечательно, что ранее на проблему обращали внимание ещё в 2020 году, но она осталась неисправленной.

В эксплоите, получающем содержимое /etc/shadow, атака сводится к цикличному запуску через fork+execl приложения /usr/bin/chage с флагом suid root, читающего содержимое /etc/shadow. После того как процесс ответвился выполняется системный вызов pidfd_open и осуществляется цикличный перебор доступных pidfd-дескрипторов через системный вызов pidfd_getfd и их проверка через /proc/self/fd. В эксплоите sshkeysign_pwn похожие манипуляции осуществляются с suid root программой ssh-keysign.

CVE-идентификатор проблеме пока не присвоен, обновление ядра и пакетов в дистрибутивах не опубликованы. В выпущенных несколько часов назад ядрах 7.0.7, 6.18.30 и 6.12.88 уязвимость не устранена. На момент написания новости можно использовать только патч. Обсуждаются возможные обходные пути блокирования уязвимости, такие как выставление sysctl kernel.yama.ptrace_scope=3 или удаление флага suid root с исполняемых файлов в системе (как минимум с утилит ssh-keysign и chage, используемых в эксплоитах).

Дополнение: Уязвимости присвоен идентификатор CVE-2026-46333. Сформированы обновления ядра Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 и 5.10.256 с устранением уязвимости. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

1. Главная ссылка к новости
2. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux
3. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
4. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
5. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
6. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша

SoDeV представляет собой комбинированный продукт, сочетающий дистрибутив AGL UCB, LXC (Linux Containers), VirtIO, гипервизор Xen, Zephyr RTOS и другие проекты Linux Foundation. Первый релиз SoDeV может запускаться на платах Renesas Sparrow Hawk, в облачных окружениях или в виртуальных машинах. Проект позволяет автопроизводителям ускорить вывод продукта на рынок, благодаря отделению разработки программного обеспечения от аппаратных систем с абстрагированием оборудования через виртуализацию. В течение 2026 года планируют реализовать более широкую поддержку SoC, применяемых автопроизводителями. Проект развивается при участии компаний Panasonic Automotive Systems, Honda, Toyota, Mazda, AISIN и Renesas.

Дистрибутив AGL UCB основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Renesas H3, Intel Up², Raspberry Pi 4 и Raspberry Pi 5. В разработке дистрибутива участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Среди изменений в новой версии AGL UCB:

• Осуществлена синхронизация с компонентами платформы Yocto 5.0.16;
• Обновлены инструментарии Flutter Embedder и Workspace Automation, в которые повышена производительность, решены проблемы с отрисовкой, добавлены новые возможности интерфейса пользователя. Обновлены версии Flutter SDK 3.38.3 и языка Dart 3.10.1.
• Задействована библиотека Qt 6.8.
• До версии 6.0 обновлена спецификация VSS (Vehicle Signal Specification).
• Фреймворк распределённого отображения (Distributed Display Framework) переведён на использование протокола gRPC.
• Обновлены слои BSP (Board Support Package): meta-arm, meta-freescale, meta-freescale-3rdparty, meta-raspberrypi, meta-renesas, meta-riscv, meta-rockchip, meta-tegra, meta-ti.
• Обновлены слои meta-aws, meta-clang, meta-flutter, meta-openembedded, meta-selinux, meta-virtualization, meta-python-ai, meta-qt6.

1. Главная ссылка к новости
2. OpenNews: Выпуск свободной операционной системы реального времени Zephyr 1.8
3. OpenNews: Toyota Camry станет первым автомобилем, оснащённым платформой Automotive Grade Linux
4. OpenNews: Toyota развивает собственный открытый игровой движок Fluorite
5. OpenNews: Компания LG опубликовала платформу webOS Open Source Edition 2.28
6. OpenNews: Компания Igalia представила Moonforge, дистрибутив для встраиваемых систем