Уязвимость вызвана некорректной проверкой размера OID ("trapOidLen >= 0" вместо "trapOidLen > 0") перед копированием указанных в пакете данных в буфер фиксированного размера. Передача специально оформленных пакетов приводит к записи данных за границу буфера trapOid, что может быть эксплуатировано для выполнения кода атакующего с правами под которыми выполняется процесс snmptrapd. Уязвимость устранена в обновлениях Net-SNMP 5.9.5 и 5.10.pre2. В качестве дополнительной защиты рекомендуется заблокировать доступ из внешних сетей к UDP-порту 162 на межсетевом экране.

Дополнение: Уязвимость была добавлена при неудачной попытке исправить предыдущую проблему с переполнением буфера из-за некорректной проверки "trapOid[trapOidLen - 1] != 0". Изначальный код "trapOid[trapOidLen - 1] != 0" присутствует в кодовой базе с 23 июня 2003 года, когда выполнялся рефакторинг файла snmptrapd_handlers.c.

В master-ветке исправление "> 0" уже откатили и заменили на универсальную проверку. Переполнения trapOid было успешно исправлено за три попытки: 1, 2, 3. Что характерно, до этой уязвимости с trapOid были другие проблемы с записью за границу буфера.

1. Главная ссылка к новости
2. OpenNews: Обновление голосовых данных Mozilla Common Voice 20
3. OpenNews: В Net-SNMP нашли возможность записи в "read-only" ресурс.
4. OpenNews: Возможность обхода SNMPv3 аутентификации в Net-SNMP, Cisco и Juniper
5. OpenNews: Релиз пакета Net-SNMP 5.6
6. OpenNews: DoS-уязвимость в Net-SNMP

Так как SFC подпадает под льготную категорию налогообложения, проведение средств на развитие U-Boot через эту организацию позволит организовать налоговый вычет при переводе пожертвований. К числу проектов, развиваемых при поддержке SFC, относятся BusyBox, CoreBoot, Git, Inkscape, Mercurial, OpenWrt, QEMU, Samba, Sourceware, Wine, Xorg и ещё около десятка свободных проектов.

1. Главная ссылка к новости
2. OpenNews: В U-boot добавлена поддержка загрузки с использованием протокола HTTP
3. OpenNews: Интервью с автором U-Boot о важных достижениях Linux на поприще встраиваемых систем
4. OpenNews: Проект Gentoo перешёл под крыло организации SPI
5. OpenNews: Хостинг свободных проектов Sourceware перешёл под крыло организации SFC
6. OpenNews: Имущественные права на Shotwell и Geary переданы организации Software Freedom Conservancy

Основные изменения в Simply Linux 11.1:

• Задействованы новые версии пакетов: ядро Linux Linux 6.12.61, Mesa 25.1.9, PortProton 1.7.3, Chromium 142, Systemd 257.9, X.org Server 21.1.20, Thunderbird 145.0, Audacious 4.5.1, VLC 3.0.22, драйверы NVIDIA 470 и 580.
• Обновлено оформление экрана входа (LightDM).
• Изменены настройки среды рабочего стола Xfce: унифицированы с другими дистрибутивами комбинации клавиш (например, Ctrl+Alt+T для запуска терминала), включены по умолчанию системные звуки событий, приведено в общему стилю меню приложений, возвращена поддержка поиска файлов через меню приложений, добавлены темы оформления Papirus-Light (по умолчанию) и Papirus-Dark. В меню приложений Whisker скруглены углы и добавлен прозрачный фон. Включены тени окон. Уменьшена прозрачность панели задач. Повышена наглядность выделение пиктограмм на рабочем столе.
• В состав включена утилита Mugshot для настройки аватара, имени пользователя и контактной информации, отображаемых в меню приложений и на экранах входа и блокировки.
• Для управления энергопотреблением задействован фоновый процесс power-profiles-daemon, а в настройки добавлена возможность выбора профилей: "сбалансированный" (по умолчанию), "энергосбережение" и "производительность".
• Для устаревших видеокарт NVIDIA добавлен открытый драйвер nouveau (по умолчанию выключен).
• Вместо Vulkan-драйвера vulkan-amdgpu для видеокарт AMD задействован драйвер RADV из состава Mesa.
• Аудиомикшер pavucontrol заменён на pwvucontrol, лучше работающий c PipeWire.
• В инсталляторе заменено фоновое изображение и добавлено уведомление об автоматической перезагрузке на финальном шаге установки.
• Изменены права доступа к домашним каталогам, в которых теперь запрещён просмотр содержимого другими пользователями. Общий доступ может быть предоставлен через плагин "Shares" в файловом менеджере Thunar.

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив Simply Linux 11.0
3. OpenNews: Выпуск дистрибутива Альт Сервер 11.0
4. OpenNews: Опубликована одиннадцатая платформа ALT
5. OpenNews: Выпуск дистрибутива Альт Виртуализация 11.0
6. OpenNews: Выпуск дистрибутива Альт Рабочая станция К 11.2

Окружение дистрибутива построено на основе Sway - композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера PCManFM-GTK3 и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола Azote, полноэкранное меню приложений nwg-drawer, программа для вывода содержимого скриптов на экран nwg-wrapper (используется для отображения подсказки по горячим клавишам на рабочем столе), менеджер настройки тем GTK, курсора и шрифтов nwg-look и скрипт Autotiling, автоматически компонующий окна открытых приложений на манер динамических мозаичных оконных менеджеров.

В состав дистрибутива входят программы как с графическим интерфейсом, такие как Firefox, Qutebrowser, Audacious, Transmission, Libreoffice, Pluma и MATE Calc, так и консольные приложения и утилиты, такие как музыкальный проигрыватель Musikcube, видеопроигрыватель MPV, утилита для просмотра изображений Swayimg, утилита для просмотра документов PDF Zathura, текстовый редактор Neovim, файловый менеджер Ranger и другие.

Другой особенностью дистрибутива является полный отказ от использования пакетного менеджера Snap, все программы поставляются в виде обычных deb-пакетов, в том числе веб-браузер Firefox, для установки которого задействован официальный PPA-репозиторий Mozilla Team. Установщик дистрибутива основан на фреймворке Calamares.

В новом выпуске осуществлен переход на пакетную базу Ubuntu 25.10, задействован компонент swaykbdd для установки индивидуальной раскладки клавиатуры для каждого окна, проведены небольшие оптимизации системных скриптов и устранен ряд мелких недоработок.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Ubuntu Sway Remix 25.04
3. OpenNews: Выпуск пользовательского окружения Sway 1.11
4. OpenNews: Обновление дистрибутива TileOS 1.2

Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.

В новой версии:

• Полностью переделан синтаксис правил, определяющих поведение окон (windowrules). Заданные пользователями правила требуется переписать с использованием нового синтаксиса:

  
     windowrule {
       name = apply-something
       match:class = my-window
  
       border_size = 10
     }
  
     windowrule = match:class my-window, border_size 10
  

• Для запуска Hyprland предложена специальная утилита start-hyprland, отслеживающая состояние рабочего процесса и перезапускающая его в случае аварийного завершения. Утилита также позволяет запускать Hyprland в безопасном режиме (safe mode), при котором не загружаются файлы конфигурации, что может быть полезно для разбора причин повторяющегося аварийного завершения сеанса.
• Добавлено новое приложение Welcome, запускаемое при первом входе и показывающее экран с ознакомительной информацией о Hyprland.
• Менеджер обоев рабочего стола Hyprpaper переведён на использование библиотек hyprtoolkit и hyprwire, что привело к изменению IPC-протокола.
• Добавлен новый инструментарий для локализации и перевода элементов интерфейса.
• Добавлена опция для скрытия курсора при вводе с планшета.

Дополнительно можно отметить выпуск инструментария Hyprtoolkit 0.5, развиваемого разработчиками Hyprland для создания графических интерфейсов на языке C++, нативно поддерживающих Wayland. Из особенностей Hyprtoolkit заявлен простой C++ API для создания графических приложений, встроенная поддержка анимационных эффектов, завязка на Wayland и упрощённая система тем оформления.

1. Главная ссылка к новости
2. OpenNews: Выпуск композитного сервера Hyprland 0.52 и GUI-библиотеки Hyprtoolkit 0.2
3. OpenNews: Доступен дистрибутив Nitrux 5.0, переведённый с NX Desktop на Hyprland
4. OpenNews: Композитный сервер Hyprland удалён из Debian Testing и не войдёт в релиз Debian 13
5. OpenNews: Выпуск miracle-wm 0.8, композитного менеджера на базе Wayland и Mir
6. OpenNews: Выпуск композитного сервера Niri 25.11, использующего Wayland

Если раньше в публичном доступе был весь исходный код, включая тестовый фреймфорк и внутреннюю документацию, то теперь доступен только амальгамированный исходный код библиотеки. Обещано, что вскоре будет представлен расширенный пример использования C++ API, который одновременно будет простым smoke-тестом. Причины достаточно подробны объяснены в комментариях встроенных в слайды презентации. В частности, декларируется желание поставлять библиотеку в максимального готовом виде, без зависимостей, необходимых только для её разработки и глубокого тестирования.

Кроме раскрытия уже разрабатываемых и запланированных возможностей libmdbx, в опубликованной стратегии анонсированы основные черты нового формата БД и обеспечиваемые им возможности:

1. Усовершенствованное префиксное дерево, наложенное поверх дерева Меркла, образуемого базовой структурой B+tree. Структура будет похожа на Patricia Tree, но буквальный формат и технические детали совсем другие.
2. Поддержка длинных ключей и сжатие префиксов. Сквозная нумерация элементов для точной оценки мощности выборов. Поддержка больших BLOB-объектов в потоковом режиме.
3. Опциональное использование отображения файла БД в память. Поддержка шифрования и сжатия данных.
4. Предоставление нового API с интенсивным использованием SWIG для автоматической генерации привязок к востребованным языкам программирования.
5. Поддержка репликации реализуемой с учётом опыта полученного при разработке ReOpenLDAP.

В ходе очной презентации также было заявлено о намерении попробовать совместить внутри MithrilDB несколько реализаций написанных на разных языках, в частности C, С++ и Rust, обеспечив при этом прозрачное перекрёстное взаимодействие (приложения на С/С++ смогут использовать реализацию на Rust и наоборот).

Из разрабатываемых сейчас возможностей, которые станут доступны в ближайшее время, стоит отметить «Поиск с кэшированием». Суть которого в хранении указателей на данные непосредственно внутрь БД, с предельно быстрой проверки их актуальности. При этом поиск от корня дерева к листовым страницам останавливается, как только доходит до страницы, не изменённой после последней проверки соответствующего элемента кэша. Таким образом, вместо полного поиска по B-tree, выполняется минимально возможное количество действий, в зависимости об объёма изменений после последнего получения данных. Всё вместе обеспечивает кардинальное ускорение до нескольких десятков тысяч раз. В худшем же случае такой поиск с «кэшированием» не медленнее обычного.

1. Главная ссылка к новости
2. OpenNews: Выпуск встраиваемой СУБД libmdbx 0.13.10
3. OpenNews: Релиз LDAP-сервера ReOpenLDAP 1.2.0

Arcan не привязан к отдельным графическим подсистемам и может работать поверх различных системных окружений (BSD, Linux, macOS, Windows), используя подключаемые бэкенды. Например, имеется возможность запуска поверх Xorg, egl-dri, libsdl и AGP (GL/GLES). Под управлением дисплейного сервера Arcan могут выполняться клиентские приложения на базе X11, Wayland и SDL. Проект развивает свой форк X.org-сервера - xarcan, а также композитный сервер arcan-wayland (waybridge), позволяющий запускать приложения на базе Wayland. В качестве ключевых критериев, применяемых при проектировании API Arcan, упоминаются безопасность, производительность и пригодность для отладки. Для упрощения разработки интерфейсов предлагается использовать язык Lua.

Особенности Arcan:

• Сочетание возможностей композитного сервера, дисплейного сервера и оконного менеджера.
• Поддержка работы в обособленном режиме, при котором приложение на базе Arcan является самодостаточным звеном, работающим без дополнительных графических прослоек.
• Встроенный мультимедийный фреймворк, предоставляющих средства для работы с графикой, обработки потокового видео и звука, анимации, загрузки изображений, работы с устройствами захвата видео.
  
  
• Многопроцессная модель подключения обработчиков источников данных (например, видеопотоков и вывода запущенных программ).
  
  
• Жёсткая модель разделения привилегий - компоненты движка разбиваются на небольшие непривилегированные процессы, взаимодействующие через интерфейс разделяемой памяти Shmif.
• Встроенные средства мониторинга и анализа аварийных завершений работы процессов. Движок может сериализировать внутреннее состояние Lua-скриптов для упрощения отладки.
• Возможность отката (Fallbacks) на другой обработчик - в случае сбоя из-за ошибки в программе движок может запустить запасное приложение, сохранив те же внешние источники данных и соединения.
• Средства для совместного доступа и удалённого подключения к рабочему столу. Доступ по сети обеспечивает графический сервер "arcan-net", реализующий P2P-протокол A12, объединяющий возможности таких технологий, как mDNS (определение локальных сервисов), SSH (интерактивная текстовая оболочка), X11/VNC/RDP (интерактивная графическая оболочка), RTSP (потоковая передача мультимедийных данных) и HTTP (загрузка ресурсов и синхронизация состояния).
• Командная оболочка Cat9, позволяющая привязывать выполнение команд к отдельным ячейкам, формирующим подобие электронной таблицы (видео с демонстрацией). Предложенная концепция позволяет перенаправлять потоки данных между окнами, связывая данные и обработчики в разных окнах по аналогии с ячейками в электронных таблицах (например, можно перенаправить вывод из одного окна в запущенный в терминале shell-обработчик и использовать результат в другом окне).

Связанные с проектом изменения:

• Портирован развиваемый компанией Valve композитный сервер Gamescope, при помощи которого реализована возможность запуска игр из Steam без манипуляций с Xwayland.
• Улучшен Qt-плагин qtarcan, позволяющий запускать в Arcan приложения, использующие Qt5 и Qt6, такие как Qbittorrent и Binary Ninja.
• Созданы патчи и скрипт для запуска KeepassXC.
• Развивается просмотрщик для протокола A12 и взаимодействия через него.
• Развивается интерактивный оконный менеджер Lasso.
• Добавлена утилита Xkbd2Lua для преобразования раскладок клавиатуры из X11 в формат, поддерживаемый Arcan.
• Развиваются nix-пакеты для создания рабочего загрузочного окружения на базе Arcan, рабочего стола Durden и командной оболочки.
• Добавлена поддержка постквантового алгоритма шифрования ML-KEM.
• Добавлена возможность возобновления клиентами прерванных сетевых соединений (после восстановления оборванного соединения приложение будет повторно сопряжено без потери состояния его окна).
• Добавлена опция "--cast", позволяющая организовать работу других пользователей с копией вывода приложения в режиме только для чтения.
• В сервер каталогов добавлена поддержка новых унифицированных (Unified) и референтных (Referential) ссылок, при помощи которых можно объединять серверы в единое пространство имён или выстраивать цепочки серверов. В первом случае для пользователя группа серверов выглядит как один сервер, а во втором можно запускать приложения на одном сервере, подключившись к другому.
• В API добавлена функция launch_target для динамического запуска приложения на сервере по запросу клиента. Для приложения можно создать контроллер - набор Lua-скриптов для управлением обмена сообщениями и доступа к ресурсам.
• Добавлена поддержка внешних определителей ресурсов (External Resource Resolver), которые могут перехватывать операции с хранилищем Arcan и обрабатывать операции запроса ресурсов, например, организовать локальное кэширование или загрузку данных из Web, BitTorrent или IPFS вместо отдачи с локального диска.
• Реализовано подобие тонких клиентов, позволяющих клиенту без полного стека Arcan (имея только просмотрщик Smash), перенести логику выполнения программ на сервер. Например, для запуска среды рабочего стола durden на сервере myserver можно выполнить "arcan-net --host-appl myserver@ durden".
• В командную оболочку Cat9 добавлен бэкенд с отладчиком, поддерживающим протокол DAP (Debug Adapter Protocol) для локальной или удалённой отладки.
• Добавлена большая порция изменений, связанных с развитием протокола A12, среды для выполнения скриптов на языке Lua, сетевой подсистемы, сервера каталогов для связывания компонентов, разнесённых по сети, системы разделяемой памяти Shmif и модуля egl-dri.

Одновременно опубликован выпуск среды рабочего стола Durden 0.6.3. Прошлый релиз был сформирован в 2020 году. В Durden поддерживается мозаичный и классический режимы компоновки окон с полноценными средствами управления при помощи клавиатуры. Возможна работа в системах с несколькими мониторами, имеющими разные DPI.

Предоставляется расширенный буфер обмена, сохраняющий историю изменения и доступный в двух вариантах - глобальный и в привязке к отдельным окнам. Имеется поддержка переключения раскладок клавиатуры и работы с расширенными устройствами, такими как игровые пульты. Поддерживаются такие возможности, как глобальное меню, меню в заголовке окна, виджеты, настройка отдельного поведения для каждого окна. Все настройки, включая методы ввода, шрифты и визуальные эффекты, могут меняться на лету, без необходимости перезагрузки конфигурации.

Версия 0.6.3 является подготовительным выпуском перед находящимся в разработке релизом Durden 0.7, в котором будет предложен набор существенных нововведений, таких как экранные жесты, поддержка вертикальных заголовков и панелей, компактный режим отображения заголовков и панелей, новый конфигуратор, предпросмотр по наведению мыши, экранная клавиатуры osdkbd, режим совмещения окон, поддержка синтезатора речи, интеграция компонентов a12net и a12_directory для обеспечение сетевой прозрачности и удалённого доступа.

1. Главная ссылка к новости
2. OpenNews: Выпуск десктоп-движка Arcan 0.7
3. OpenNews: Представлены дисплейный сервер Arcan и десктоп-окружение Durden
4. OpenNews: Проект Genode опубликовал выпуск ОС общего назначения Sculpt 25.10

Выпуск 1.1 примечателен добавлением экспериментальной поддержки Direct3D 6 в дополнение к ранее развиваемой поддержке Direct3D 7. Поддержку более ранних API добавлять не планируется, так как D3D6 и D3D7 достаточно близки к D3D9, в то время как механизм отрисовки в D3D5 значительно отличается от D3D9 и его проблематично транслировать в данный API.

Из других изменений отмечается решение проблем с работой игр:

• Conquest: Frontier Wars
• Gothic/Gothic 2
• Sacrifice
• Sacred
• Star Trek: Deep Space Nine: The Fallen

Добавлена поддержка игр на базе API Direct3D 6:

• Arabian Nights
• Drakan: Order of the Flame
• Earth 2150
• Expendable
• Tachyon: The Fringe
• Tomb Raider Chronicles.

Ранее была подтверждена работа игр на базе API Direct3D 7:

• Black & White
• Carmageddon TDR 2000
• Colin McRae Rally 2 0
• Dark Reign 2
• Deus Ex
• Disciples II
• Emperor: Battle for Dune
• Giants: Citizen Kabuto
• Hitman: Codename 47
• No One Lives Forever
• Sacrifice
• Star Trek: Bridge Commander
• Undying
• Unreal Tournament
• Vampire: The Masquerade - Redemption
• Wizardry 8

1. Главная ссылка к новости
2. OpenNews: Первый стабильный выпуск D7VK, реализации Direct3D 7 поверх API Vulkan
3. OpenNews: Стабильный релиз Proton 10.0, пакета для запуска Windows-игр в Linux
4. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
5. OpenNews: Выпуск DXVK-Sarek 1.11.0, реализации Direct3D 8/9/10/11 для GPU без поддержки Vulkan 1.3

Из специфичных для Orbitiny возможностей отмечается: вызов действий через экранные жесты (очерчивание мышью определённого контура на пустой области рабочего стола); метки на пиктограммах (показываются для новых, изменённых, пустых или перемещённых через буфер обмена файлов, а также пустых каталогов); возможность вставки файла одновременно в несколько выбранных каталогов; поддержка размещения содержимого рабочего стола в любом каталоге (не только в $HOME/Desktop); использование отдельных десктоп-каталогов для каждого виртуального рабочего стола и монитора. Список типовых возможностей Orbitiny можно посмотреть в прошлом анонсе.

Отмечается, что по числу изменений новый выпуск стал крупнейшим в истории проекта. Среди изменений:

• Реализован режим использования Orbitiny в качестве общесистемной среды рабочего стола с хранением настроек каждого пользователя в каталоге $HOME/.config/orbitiny. Добавлен графических инсталлятор для общесистемной установки Orbitiny. При этом сохранена и возможность запуска Orbitiny поверх существующих пользовательских окружений, таких как KDE и GNOME, а также поддержка работы в переносимом режиме, при котором все необходимые для работы файлы и программы размещаются в отдельном каталоге или на Flash-накопителе для воссоздания имеющегося окружения на другой системе.
• Проведена реструктуризация проекта, в результате которой многие функции вынесены в отдельные приложения, не привязанные к рабочему столу. Реализован автоматический перезапуск аварийно завершившихся процессов. Сбои в таких компонентах, как панель или рабочий стол, теперь не приводят к аварийному завершению всей среды рабочего стола.
• Добавлен движок с реализацией динамически изменяемых тем оформления. Темы теперь не определяются статически и их можно корректировать на лету через изменение CSS-файлов на диске.
• Расширена функциональность виртуальных рабочих столов, при переключении которых теперь могут меняться каталоги с настройками и содержимым рабочего стола, т.е. виртуальный рабочий стол не ограничивается группировкой окон и может обрабатываться как обособленное окружение.
• Добавлена поддержка отслеживания изменения настроек рабочего стола в режиме реального времени, позволяющая сразу применять изменения после редактирования файла конфигурации settings.ini.
• Предложен новый конфигуратор (Control Panel), в интерфейсе которого используется навигация на основе пиктограмм. Функциональность конфигуратора вынесена в отдельные приложения.
• Добавлены эффекты для плавного проявления пиктограмм при наведении на них курсора мыши, а также для отбрасывания пиктограммами тени для придания им объёма.
• В файловый менеджер (Qutinty) добавлено отображение на пиктограммах меток для визуального выделения пустых файлов и каталогов. Реализована опция "Paste with rsync" для копирования файлов с использованием утилиты rsync. Добавлена кнопка для применения изображения в качестве обоев рабочего стола. Предложена новая тема оформления Coconut. Обеспечен запрос подтверждения при попытке удалить важные каталоги или файлы конфигурации, такие как .config, .local и Desktop.
• В контекстное меню, выводимое для скриптов, добавлена опция "Run & Mark as Safe", позволяющая пометить скрипт безопасным и при последующих запусках не выводить диалог подтверждения операции, если контрольная сумма для файла со скриптом не изменилась.
• Полностью переделан интерфейс для выставления обоев рабочего стола, который теперь не привязан к файловому менеджеру.
• Добавлен менеджер панелей, позволяющий добавлять, удалять, переименовывать и активировать панели, а также создавать профили панелей, управлять плагинами и выбирать темы оформления панелей. Реализован новый интерфейс настройки панели.
• Из LXQt портиована утилита управления звуком pavucontrol-qt.

1. Главная ссылка к новости
2. OpenNews: Седьмой экспериментальный выпуск среды рабочего стола Orbitiny
3. OpenNews: Пятый экспериментальный выпуск среды рабочего стола Orbitiny
4. OpenNews: Четвёртый экспериментальный выпуск среды рабочего стола Orbitiny
5. OpenNews: Опубликована среда рабочего стола Orbitiny, использующая Qt
6. OpenNews: Третий экспериментальный выпуск среды рабочего стола Orbitiny

Уязвимости вызваны ошибками в коде для обработки данных и разбора форматов, и не связаны с брешами в криптоалгоритмах. Например, ошибка в парсере приводит к сбою при определении фактически подписанных данных и создаёт условия при которых проверяемые данные могут не совпадать с подписанными данными, что позволяет атакующему подменить открытый текст без доступа к приватному ключу.

Выявленные проблемы:

• Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера (CVE-2025-68973). Проблема может привести к выполнению кода при обработке в gpg специально оформленных данных. Уязвимость проявляется в функции armor_filter() и вызвана двойным увеличением счётчика "n" в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла при записи данных в буфер "buf[n++]". В итоге за пределы буфера записывается лишний байт, а переменная с размером "ret_len" выставляется в значение, превышающее фактическое.
• Возможность создания или перезаписи любого файла, насколько позволяют текущее права доступа, из-за некорректной обработки содержимого поля "filename" в пакете с данными. Уязвимость может использоваться для организации выполнения кода в системе при выполнении получателем команд "gpg --decrypt poc.enc" и "gpg poc.enc" для просмотра присланного атакующим файла poc.enc. Добиться выполнения кода можно, например, через создание файлов ~/.bash_completion или ~/.ssh/authorized_keys.
• Возможность подмены открытого текста, показываемого пользователю при указании опции "--decrypt" и верификации с использованием отдельно поставляемых цифровых подписей (Detached Signature, создаются опцией "--detach-sig" и поставляются в отдельном sig-файле). Суть проблемы в том, что при раздельной отправке сообщения и sig-файла, атакующий, контролирующий промежуточный трафик (MITM), может внести в sig-файл изменения, после которых верификация останется успешной, но при просмотре сообщения из sig-файла при помощи опции "--decrypt" будет выведено другое содержимое.

  
    echo Plaintext > plaintext
    gpg --detach-sig plaintext
  
    # изменение  plaintext.sig атакующим с добавлением дополнительного текста
  
    gpg --verify plaintext.sig plaintext # верифицировано
    gpg --decrypt plaintext.sig # верифицировано, но выводится другой текст
  

• Возможность дополнения подписанного сообщения произвольными данными с сохранением успешной проверки подписи (CVE-2025-68972). Проблема возникает из-за обрезки данных по границе 20000 символов при вычислении хэша.
• Некорректная проверка кодов аутентифицированного шифрования (MDC - Modification Detection Codes), позволяющая манипулировать зашифрованными пакетами так, что при расшифровке полученный контент будет обработан как другой тип пакета (например, воспринят как предназначенный для публикации открытый ключ).
• Возможность подстановки дополнительных данных в CS-подписи (Cleartext Signature), созданные с использованием флага "--not-dash-escaped" или сконвертированные из отдельно подставляемых подписей (Detached Signature). Уязвимость может использоваться для создания у пользователя ложного впечатления о том, какие данные были фактически подписаны. Например, пользователь может загрузить из заслуживающих доверия источников корректный ключ для проверки цифровой подписи, но атакующий в ходе MITM-атаки может подменить загружаемый пользователем iso-образ и добавить в подпись к образу дополнительный хэш, таким способом, что верификация подменённого образа пройдёт успешно при наличии в системе проверочного корректного ключа.
• Подстановка дополнительных данных в ASCII-представление CS-подписи (Cleartext Signature) через вставку символа с нулевым кодом. Уязвимость, например, позволяет вставить произвольный текст в заголовок Hash.
• Некорректная интерпретация формата OpenPGP, из-за которой сообщение "One-Pass Signed Message" в ASCII-кодированном формате может быть обработано как сообщение "Cleartext Signature" при определённом изменении заголовка. Уязвимость позволяет заменить оригинальные подписанные данные на вредоносное содержимое, сохранив видимость успешной верификации.
• Отсутствие явного разделения в выводе информации об успешности проверки цифровой подписи и содержимого сообщения, что позволяет создавать поддельные неподписанные сообщения, которые при выполнении "gpg --decrypt" выглядят как подлинные.
• Возможность создания OpenPGP-сообщений, которые в gpg будут обрабатываться иначе, чем в других реализациях OpenPGP. Проблема вызвана особенностью обработки очень длинных строк в ASCII-представлени OpenPGP-данных.
• Создание условий в процессе верификации цифровой подписи для отката алгоритма проверки хэша до небезопасного SHA1.
• Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа. Атака осуществляется через добавление фальшивого хранилища ключей при помощи опции "--keyring".

Дополнительно выявлены две уязвимости в minisign, упрощённом инструментарии для создания и проверки по цифровым подписям. Обе уязвимости (1, 2) позволяют использовать управляющие последовательности терминала ("\e[1E") или спецсимволы ("\r") в поле с комментарием для модификации вывода программы, например, для замены информации о результате верификации.

Дополнение: Опубликован корректирующий выпуск GnuPG 2.5.15, в котором устранено несколько отмеченных уязвимостей. Наиболее опасные проблемы в парсере ASCII-Armor и обработчике поля filename были исправлены в ноябрьском выпуске 2.5.14 без информирования о том, что это уязвимости.

1. Главная ссылка к новости
2. OpenNews: Автор GnuPG основал LibrePGP, форк стандарта OpenPGP
3. OpenNews: Автор GnuPG прекращает передачу имущественных прав Фонду СПО
4. OpenNews: Критическая уязвимость в библиотеке Libgcrypt 1.9.0, затрагивающая GnuPG и systemd
5. OpenNews: Разработчики GnuPG предупредили о трудноустранимой атаке на серверы ключей
6. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи

• Для библиотек GNOME по умолчанию продолжает использоваться язык Си и более 2/3 строк кода базовых компонентов GNOME написаны на данном языке. Наиболее крупными из подобных компонентов являются GTK (820 тысяч строк), GLib (560 тысяч строк) и Mutter (390 тысяч строк).
• На Rust написано 523 тысячи строк кода, из которых примерно 400 тысяч используются в обвязках для базовых библиотек и большей частью сгенерированы автоматически. Из библиотек на Rust отмечаются Librsvg и glycin.
• Около 190 тысяч строк написаны на языке Vala, из которых около 100 тысяч строк присутствует в репозитории Vala.
• На Python имеется 242 тысячи строк кода, из которых 110 тысяч приходятся на приложение Orca.
• 106 тысяч строк написаны на JavaScript и из них 65 тысяч присутствует в GNOME Shell, что составляет примерно половину от всего кода GNOME Shell.

Распределение языков программирования, используемых в библиотеках и компонентах GNOME:

Распределение языков программирования в базовых приложениях для GNOME: 44.8% кода написано на Си, 20.7% на Vala, 10.3% на Rust, 6.9% на Python, 13.8% на JavaScript и 3.45% на C++.

При рассмотрении сторонних программ, размещённых в каталоге GNOME Circle, большая часть кода (41.7%) написана на Rust, на втором месте (29.2%) - Python, а на третьем (13%) - Vala. На Си написано 6% программ, JavaScript - 10%, Crystal - 1%. Наиболее популярные программы из каталога GNOME Circle (по числу установок последнего обновления): Blanket, Eyedropper, Newsflash, Fragments и Shortwav.

1. Главная ссылка к новости
2. OpenNews: Проект GNOME запретил использование AI для генерации дополнений к GNOME Shell
3. OpenNews: Эксперимент по использованию AI для перевода приложения с GTK2 и OpenGL на GTK4 и Vulkan
4. OpenNews: В GNOME будет усилена зависимость от systemd
5. OpenNews: Дистрибутив GNOME OS перешёл на стадию тестирования на реальном оборудовании
6. OpenNews: Анализ вклада в разработку GNOME и GTK 4

Пользовательское окружение построено на базе кастомизированной среды рабочего стола Xfce, работающей с использованием протокола Wayland. В состав входят средства разработки (clang, gcc, clang++, Python, make, cmake, git и т.п.), web-браузер, эмулятор терминала, порты многих интегрированных сред разработки и редакторов кода (Geany, Emacs, Neovim, vim), файловый менеджер Thunar и примеры кода на языках C, C++ и Python.

QNX Developer Desktop поставляется в самодостаточном системном образе, включающем инструменты для сборки программ для QNX 8.0 и коллекцию портированных открытых пакетов. Системный образ, пригодный для запуска в Linux-системах при помощи QEMU, доступен для бесплатной загрузки под именем "QNX SDP 8.0 Quick Start Target Image for QEMU" в приложении "QNX Software Center".

Ранее в QNX развивалась собственная среда рабочего стола Photon microGUI, которая в QNX 7 была заменена на графический фреймворк QNX Screen, ориентированный на создание предметно-ориентированных интерфейсов и не предоставляющий отдельную среду рабочего стола.

1. Главная ссылка к новости
2. OpenNews: Выпущена QNX RTOS 6.4 "Neutrino"
3. OpenNews: Открытие исходных текстов микроядерной ОС QNX
4. OpenNews: Открыт код файловых систем из состава ОС QNX
5. OpenNews: Research In Motion покупает подразделение, развивающее ОС QNX
6. OpenNews: Операционная система QNX стала бесплатной для некоммерческого использования

В феврале 2024 года разработчики FFmpeg выявили использование в коде модуля av1d_cbs из состава MPP нескольких тысяч строк кода, напрямую перенесённых из развиваемого проектом FFmpeg декодировщика H.265, входящего в состав библиотеки libavcodec. Код был перенесён со сменой лицензии с LGPLv2.1 на Apache 2.0, что недопустимо из-за их несовместимости.

Представитель компании Rockchip признал проблему, извинился за то, что не разобрался в несовместимости лицензий LGPL и Apache, и пообещал устранить нарушение и заменить код в грядущем обновлении. С того момента прошло почти два года, но обещание о замене кода так и не было выполнено.

Более того, дополнительный анализ показал, что похожим образом из libavcodec перенесён код ещё в 10 файлов MPP - av1d_codec.h, av1d_parser2_syntax.c, h265d_codec.h, h265d_parser.c, h265d_ps.c, vp9d_codec.h, vp9d_parser.c, vp9data.h, vpx_rac.c, vpx_rac.h. Структура кода, имена идентификаторов и комментарии в указанных файлах идентичны коду из FFmpeg, за исключением закомментированных обращений к внутренним функциям FFmpeg. При этом при переносе кода указана другая лицензия (Apache 2.0), удалено примечание об авторских правах и заменена информация об авторах.

Представители FFmpeg устали ждать обещанного устранения нарушений и отправили в GitHub DMCA-жалобу с информацией о нарушении, после которой GitHub заблокировал репозиторий. В качестве мер по устранению нарушений предлагается удалить из файлов с кодом ложные заявления об авторстве Rockchip, восстановить исходное примечание об авторстве FFmpeg и перейти на распространение кода под лицензией, совместимой с LGPLv2.1.

1. Главная ссылка к новости
2. OpenNews: Выпуск мультимедиа-пакета FFmpeg 8.0
3. OpenNews: GitHub повторно заблокировал репозиторий проекта RE3
4. OpenNews: GitHub заблокировал репозиторий SymPy после ложной жалобы
5. OpenNews: В коде Winamp обнаружено нарушение лицензии GPL
6. OpenNews: GitHub заблокировал игровой движок OpenXRay (блокировка отменена)

Ключевые изменения:

• Прекращено формирование стабильных сборок в пользу непрерывно обновляемых версий на базе Slackware Current.
• Добавлена поддержка установки пакетов в формате Flatpak и использования каталога Flathub.
• Обновлены версии, например, ядро Linux 6.18.2, драйвер NVIDIA 590.48.01, Cinnamon 6.6.3, COSMIC 1.0, GNOME 49.2, KDE Plasma 6.5.4.
• В модуль 002-gui добавлены flatpak и intel-media-driver (включает аппаратное ускорение видео на новых GPU Intel). В модуль 001-core добавлен пакет ensurepip.
• Добавлена ​​поддержка некоторых сетевых карт Realtek.
• В LXQt добавлен патч для передачи информации об использовании X11 или Wayland.
• В ядре включена поддержка SYSRQ.
• В Cinnamon добавлен набор символьных пиктограмм xapp-symbolic-icons.
• Из сборки с KDE Plasma удалены пакеты appstream и libfyaml, а из сборки с MATE - mate-themes.
• В LXDE улучшены настройки Openbox.
• Улучшена поддержка графического API Vulkan (решены проблемы с некоторыми играми в Steam).
• Налажена поддержка опции zram в /porteux/porteux.cfg.
• Обеспечена работа инсталлятора с разделами NTFS3.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Slackel 8.0
3. OpenNews: Новые версии дистрибутива Slax 15.0.3 и 12.1.0
4. OpenNews: Релиз дистрибутива Porteus 5.01
5. OpenNews: Slackware Linux исполнилось 30 лет

В новой версии исправлено 124 ошибки. 24 исправленных проблемы приводили к аварийному завершению или зависанию, в основном при открытии некоторых файлов или экспорте определённых объектов. Улучшен импорт файлов в формате PDF. Налажен экспорт изображений в формате JPEG на платформе Windows. Решены проблемы с отображением в интерфейсе прямоугольных заполнителей вместо некоторых букв на платформе macOS.

1. Главная ссылка к новости
2. OpenNews: Выпуск редактора векторной графики Inkscape 1.4
3. OpenNews: Следы вредоносной активности на сервере загрузки Inkscape (дополнено)
4. OpenNews: Выпуск экспериментального векторного графического редактора VPaint 1.7
5. OpenNews: Выпуск векторного графического редактора sK1 2.0RC2