Руткит оформлен в виде модуля для ядер Linux 6.x и использует механизм ftrace для незаметного перехвата системных вызовов без изменения точек входа в системные вызовы и без модификации функций ядра. Singularity поддерживает скрытие своего присутствия в системе, а также скрытие заданных атакующим процессов и связанных с ними файлов и сетевой активности. Для удобства исследователей функциональность руткита разделена на модули.

Помимо типовых методов маскировки присутствия в системе, таких как скрытие необходимых процессов, файлов, каталогов и модулей ядра, в Singularity реализовано несколько продвинутых методов обхода механизмов защиты и затруднения обнаружения специализированными сканерами руткитов, такими как Falco, ghostscan, tracee, unhide, chkrootkit и rkhunter. Среди прочего, Singularity может скрывать свою активность от инструментов, использующих eBPF, удалять блокировки eBPF, препятствовать загрузке модулей ядра, противостоять анализу ввода/вывода через подсистему io_uring, а также обходить проверки целостности, осуществляемые модулем LKRG (Linux Kernel Runtime Guard).

В Singularity присутствует reverse shell, предоставляющий привилегированный удалённый доступ к системе через отправку ICMP-пакетов, а также обработчики, дающие возможность добиться скрытия процессов или повышения привилегий в системе через определённые манипуляции с сигналами и переменными окружения. Например, для скрытия процесса из /proc и вывода утилит, таких как ps, можно выполнить "kill -59 PID_процесса, а для повышения привилегий выставить переменную окружения "MAGIC=mtz".

Руткит скрывает трафик reverse shell от сетевых анализаторов и позволяет обходить обработчики SELinux, срабатывающие на ICMP. Singularity также включает возможности для скрытия определённых сетевых соединений из таблиц /proc/net/nf_conntrack, netlink-обработчиков SOCK_DIAG/NETFILTER и утилит, подобных netstat, ss, lsof, tcpdump и wireshark. Доступны обработчики для чистки сообщений аудита и вывода в логи (klogctl, syslog, systemd-journal, /sys/kernel/debug/tracing/, dmesg). Имеются фильтры для противостояния анализаторам памяти, таким как Volatility, использующим /proc/kcore, /proc/kallsyms и /proc/vmallocinfo, а также возможности фильтрации прямого обращения к блочным устройствам для предотвращения низкоуровневого анализа содержимого ФС.

1. Главная ссылка к новости
2. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc
3. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
4. OpenNews: Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код в загружаемое ядро Linux
5. OpenNews: Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов
6. OpenNews: Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов

Суммарный размер выплаченных вознаграждений составил 1 миллион 47 тысяч долларов США. Наиболее успешная команда Fuzzware.io сумела заработать на соревнованиях 213 тысячи долларов США. Обладатели второго места (Team DDOS) получили 95 тысяч долларов, а третьего (Synacktiv) - 85 тысяч долларов.

В ходе соревнований продемонстрированы следующие атаки:

• Взлом окружения на базе дистрибутива Automotive Grade Linux ($4000 за эксплуатацию цепочки из трёх уязвимостей, связанных с чтением из области вне буфера, исчерпанием свободной памяти и переполнением буфера).
• 12 взломов информационно-развлекательной системы на базе платформы Alpine iLX-511 ($20000, 2 по $10000 и $5000 за эксплуатацию уязвимостей, приводящих к переполнению буфера; $10000, 2 по $5000 и 4 по $2500 за уязвимость, позволяющую получить доступ к опасному методу; $10000 за уязвимость, приводящую к подстановке команд).
• 12 взломов информационно-развлекательной системы Kenwood DNR1007XR ($20000 и $10000 за уязвимости, вызванные переполнением буфера; $8000 за эксплоит, использующий ранее известную, но не устранённую проблему с жёстко прописанными учётными данными, в сочетании с некорректными правами доступа к важному ресурсу и уязвимостью, приводящую к подстановке команд; $4000 за эксплоит, использующий ранее известные, но не устранённые проблемы с состоянием гонки и некорректными правами доступа; $8000 и 3 по $2500 за эксплуатацию уже известной уязвимости, оставшейся неисправленной; $8000 за эксплуатацию цепочки из 3 уязимостей - жёстко прописанные учётными данными, некорректно выставленные права доступа и отсутствие проверки символической ссылки; $6000, $5000 и $4000 за уязвимости, приводящие к подстановке команд).
• 4 взлома информационно-развлекательной системы Sony XAV-9500ES ($20000 за эксплоит, использующий цепочку из трёх ошибок; 3 по $10000 за эксплуатацию выхода за границу буфера).
• Взлом информационно-развлекательной системы автомобиля Tesla при подключении через USB-порт ($35000 за эксплоит, использующий утечку информации и переполнение буфера).
  
  
  
• 10 взломов зарядной станции Grizzl-E Smart 40A ($40000 за выявление жёстко прописанных в прошивке учётных данных и отсутствие проверки целостности загружаемого кода; $25000 и $10000 за уязвимость, приводящую к обходу аутентификации; $10000 за уязвимость, приводящую к переполнению буфера; $22500, $20000, 3 по $15000 и $5000 за эксплоиты, использующие цепочки из 3 или 2 ошибок).
• 7 взломов зарядной станции Phoenix Contact CHARX SEC-3150 ($50000 за эксплоит, использующий подстановку команд и состояние гонки; $50000, $20000 $19250 и $6750 за эксплоиты, использующие цепочки из 3, 5 и 6 ошибок; $20000 за эксплуатацию уязвимостей, позволивших обойти аутентификацию и повысить свои привилегии; $15000 за эксплоит, использующий цепочку из 3 ошибок).
• 4 взлома зарядной станции Autel MaxiCharger AC Elite Home 40A ($50000, $20000 и $10000 за уязвимости, позволившие обойти аутентификацию и проверку цифровой подписи; $30000 за уязвимость, приводящую к переполнению буфера).
• 4 взлома зарядной станции ChargePoint Home Flex CPH50-K ($40000, 2 по $30000 и $16750 за уязвимости, допускающие подстановку команд, и отсутствие должной обработки символических ссылок).
• 4 взлома зарядной станции Alpitronic HYC50 ($60000 за эксплуатацию уязвимости, приводящей к переполнению буфера; $40000 за уязвимость, позволяющую получить доступ к опасному методу; $20000 за уязвимость, вызванную состоянием гонки; $20000)

Кроме вышеотмеченных успешных атак, 9 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома устройств Kenwood DNR1007XR, Alpine iLX-F511, Autel MaxiCharger AC Elite Home 40A, EMPORIA Pro Charger Level 2, ChargePoint Home Flex, Sony XAV-9500ES и Grizzl-E Smart 40A.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

1. Главная ссылка к новости
2. OpenNews: На соревновании Pwn2Own продемонстрированы взломы смартфонов, NAS, принтеров и устройств умного дома
3. OpenNews: На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox
4. OpenNews: На соревновании Pwn2Own Automotive 2025 представлено 49 уязвимостей автомобильных систем
5. OpenNews: На соревнованиях Pwn2Own продемонстрированы взломы NAS, принтеров, умных колонок и IP-камер
6. OpenNews: На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox

Методы работы с памятью в Rust нацелены на исключение ошибок при манипулировании указателями и защиту от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Встроенная в поставку Rust стандартная си-библиотека Musl, используемая при статической компоновке для целевых платформ "*-linux-musl" (aarch64-unknown-linux-musl, x86_64-unknown-linux-musl, powerpc64le-unknown-linux-musl и т.п.) на системах без Musl, обновлена до версии 1.2.5. Минимально поддерживаемая версия Musl при динамической компоновке также поднята до выпуска 1.2.5. Ранее в Rust использовалась версия Musl 1.2.3, в которой имелись проблемы в реализации DNS-резолвера. В версии Musl 1.2.4 в DNS-резолвер была добавлена возможность отправки запроса по TCP в случае неудачного обращения по UDP, что решило проблему с запросом больших DNS-записей и наладило совместимость с рекурсивными DNS-серверами, не поддерживающими отдачу части результата в обрезанных UDP-ответах. В версии Musl 1.2.5 в DNS-резолвере реализована обработка ответов с длинными последовательностями CNAME и решена проблема, из-за которой отбрасывались некоторые большие ответы, передаваемые через TCP.
• Стандартная библиотека переработана для решения проблем с реентерабельностью при использовании в глобальных аллокаторах памяти, написанных на Rust, макроса std::thread_local! и функции std::thread::current, приводивших к бесконечной рекурсии. Для исключения ситуации, когда std::thread_local! и std::thread::current при попытке выделения памяти вызывали тот же аллокатор в котором используются, в них теперь напрямую применяется системный механизм выделения памяти.
• Внутри блоков "asm!" с ассемблерным кодом разрешено использование атрибутов "cfg", что, например, позволяет управлять задействованием расширенных наборов команд CPU в контексте отдельных выражений внутри asm-блока (ранее атрибуты "cfg" могли задаваться только для asm-блока целиком).

  
     asm!( // или global_asm! или naked_asm!
         "nop",
         #[cfg(target_feature = "sse2")]
         "nop",
         // ...
         #[cfg(target_feature = "sse2")]
         a = const 123, // only used on sse2
     );
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • <[MaybeUninit<T>]>::assume_init_drop
  • <[MaybeUninit<T>]>::assume_init_ref
  • <[MaybeUninit<T>]>::assume_init_mut
  • <[MaybeUninit<T>]>::write_copy_of_slice
  • <[MaybeUninit<T>]>::write_clone_of_slice
  • String::into_raw_parts
  • Vec::into_raw_parts
  • <iN>::unchecked_neg
  • <iN>::unchecked_shl
  • <iN>::unchecked_shr
  • <uN>::unchecked_shl
  • <uN>::unchecked_shr
  • <[T]>::as_array
  • <[T]>::as_array_mut
  • <*const [T]>::as_array
  • <*mut [T]>::as_mut_array
  • VecDeque::pop_front_if
  • VecDeque::pop_back_if
  • Duration::from_nanos_u128
  • char::MAX_LEN_UTF8
  • char::MAX_LEN_UTF16
  • std::fmt::from_fn
  • std::fmt::FromFn
• Целевая платформа "riscv64a23-unknown-linux-gnu" переведена на второй уровень поддержки, который подразумевает гарантию сборки, но отсутствие гарантий при прохождении тестового набора.

Дополнительно можно отметить несколько связанных с Rust проектов:

• Для ядра Linux развивается фреймворк Rex, позволяющий создавать дополнения для ядра Linux на языке Rust, которые можно использовать для расширения функциональности ядра вместо eBPF. Rex предоставляет те же гарантии безопасности, что и eBPF, но использует для изоляции и обеспечения безопасности возможности языка Rust и легковесный Runtime. Для подобных программ не применяется верификатор, а программы компилируются в нативный код компилятором Rust.

  В Rex-программах допускается использование подмножества языка Rust, предоставляющего гарантии безопасности. В текущем виде поддерживается 5 типов программ eBPF: kprobe, perf_event, tracepoint, xdp и tc. Имеется возможность вызывать вспомогательные функции eBPF, взаимодействовать с map-структурами eBPF, управлять ресурсами ядра, обрабатывать исключения и использовать обвязки и абстракции над структурами ядра.

• Доступен выпуск Fjall 3, написанного на Rust встраиваемого хранилища, работающего с данными в формате ключ-значение. Хранение данных производится в форме лога c использованием LSM-дерева (Log-Structured-Merge), как в RocksDB, при котором изменения записываются через добавление данных в конец файла. Для обращения к БД предлагается API в стиле BTreeMap. Поддерживаются такие возможности, как пространства имён, прямой и обратный поиск по диапазонам, встроенное сжатие, сериализируемые транзакции, раздельное хранение ключей и связанных с ними очень больших значений, автоматическое фоновое обслуживание БД. Код открыт под лицензией Apache 2.0.
• Проект Tor опубликовал выпуск Arti 1.9.0, реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии продолжена реализация функциональности для релеев и серверов директорий (Directory Authority), улучшена поддержка работы с динамически назначаемыми портами (proxy.socks_listen = "auto"), добавлен экспериментальный API для управления ключами для onion-сервисов.

1. Главная ссылка к новости
2. OpenNews: Проект Microsoft по использованию AI для перевода кодовой базы с C/C++ на Rust
3. OpenNews: Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust
4. OpenNews: Выпуск uutils 0.5, варианта GNU Coreutils на языке Rust
5. OpenNews: Выпуск Rust 1.92. Rust-проекты для GUI, sandbox-изоляции и создания прошивок
6. OpenNews: Поддержка Rust переведена из экспериментальных в основные возможности ядра Linux

Новая комплектация позволяет подключить к устройству клавиатуру, мышь и монитор, и использовать плату в качестве персонального компьютера с графическим окружением на базе типовых дистрибутивов Linux. Наличие аппаратного AI-ускорителя и DSP также даёт возможность применять плату для решения более серьёзных задач машинного обучения, компьютерного зрения, робототехники и обработки звука, чем те, которые можно было задействовать на плате с 2 ГБ ОЗУ. В качестве дистрибутива рекомендуется использовать Debian GNU/Linux.

Оба варианта платы поставляются с процессором Qualcomm Dragonwing QRB2210 и микроконтроллером STM32U585. Процессор QRB2210 имеет 4 ядра Cortex-A53 (2.0 GHz), оснащён GPU Adreno 702 (с поддержкой OpenGL ES 3.1, Vulkan 1.1 и OpenCL 2.0 и аппаратными декодировщиками H.264, H.265 и VP9) и двухядерным DSP c функциями ускорителя выполнения AI-моделей и обработки звука. Микроконтроллер STM32U585 включает ядро Arm Cortex-M33 160 MHz с поддержкой технологии TrustZone, DSP и FPU, и может использоваться для управления дополнительным оборудованием в режиме реального времени. Плата оснащена USB-C, Wi-Fi 2.4/5 GHz, Bluetooth 5.1. Форм-фактор платы, коннекторы и поддержка периферийных устройств аналогичны модели Arduino Uno.

1. Главная ссылка к новости
2. OpenNews: Qualcomm поглощает Arduino. Представлены плата Arduino UNO Q и среда разработки Arduino App Lab
3. OpenNews: Новая версия среды разработки Arduino IDE 2.3
4. OpenNews: Intel прекращает выпуск модуля Curie и плат Arduino 101
5. OpenNews: Сообщества Arduino.org и Arduino.cc объявили о воссоединении после раскола
6. OpenNews: Intel опубликовал исходные тексты прошивки платы Arduino 101

Использование rpm-репозитория позволяет задействовать штатные для дистрибутивов возможности для установки и обновления пакетов. При сборке пакетов в компиляторе включены дополнительные оптимизации, а также флаги для усиления безопасности. Публикация сборок интегрирована в основной процесс подготовки релизов Firefox. В состав включён .desktop-файл для размещения ярлыка на рабочем столе и в меню дистрибутива.

Для установки ночных сборок Firefox из репозитория можно использовать команды:

Fedora:

   sudo dnf config-manager addrepo --id=mozilla --set=baseurl=https://packages.mozilla.org/rpm/firefox --set=gpgcheck=0 --set=repo_gpgcheck=0
   sudo dnf makecache --refresh
   sudo dnf install firefox-nightly

openSUSE, SUSE Linux:

   sudo zypper ar -G https://packages.mozilla.org/rpm/firefox mozilla
   sudo zypper refresh
   sudo zypper install firefox-nightly

RHEL, CentOS, Rocky Linux, Alma Linux, Oracle Linux

   sudo tee /etc/yum.repos.d/mozilla.repo > /dev/null < EOF
   [mozilla]
   name=Mozilla Packages
   baseurl=https://packages.mozilla.org/rpm/firefox
   enabled=1
   repo_gpgcheck=0
   gpgcheck=0
   EOF

   sudo dnf makecache --refresh
   sudo dnf install firefox-nightly

1. Главная ссылка к новости
2. OpenNews: Разработчики Ubuntu приступили к решению проблем с медленным запуском snap-пакета Firefox
3. OpenNews: Mozilla ввела в строй APT-репозиторий с ночными сборками Firefox
4. OpenNews: Mozilla начала формирование ночных сборок Firefox для Linux-систем на архитектуре ARM64

Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335).

Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются и станут доступны публично спустя 30 дней после публикации исправления. Сведения об уязвимостях переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.

1. Главная ссылка к новости
2. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
3. OpenNews: Уязвимость в библиотеке ruby-saml, приводящая к обходу аутентификации в GitLab
4. OpenNews: Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab
5. OpenNews: 17 уязвимостей в GitLab
6. OpenNews: Критическая уязвимость в GitLab

При этом разработчики LLVM признают, что при должном использовании AI является полезным инструментом, ускоряющим разработку. Утверждённые в LLVM условия применения AI частично основаны на правилах, в прошлом году опубликованных проектом Fedora. Основная идея принятых правил в том, что разработчики не должны перекладывать на сопровождающих работу по рецензированию кода, созданного в AI-ассистентах.

В дополнение к упоминаемой в правилах Fedora ответственности за переданное изменение в правилах LLVM введено требование обязательного ручного рецензирования кода, сгенерированного в AI, перед тем как предложить изменение в проект. Кроме того, подготовивший изменение должен хорошо разбираться в присланном коде и быть готовым ответить на связанные с ним вопросы. Рекомендуется вручную составлять описания к pull-запросам, а не доверять подготовку сопроводительного текста AI.

При передаче изменения, значительная часть которого сгенерирована AI-инструментами, в примечании к pull-запросу необходимо добавить сведения о применении AI, например, указав тег "Assisted-by: название AI-ассистента". Запрещено использование автоматизированных AI-инструментов, таких как интегрированный с GitHub AI-агент @claude, выполняющих действия или отправляющих комментарии без участия человека.

Принятые правила распространяются не только на код в запросах на внесение изменений, но и на RFC-документы с предложением новой функциональности, сообщения об уязвимостях и ошибках, комментарии и отзывы к pull-запросам.

Дополнительно можно отметить решение Дэниела Cтенберга (Daniel Stenberg), автора утилиты для получения и отправки данных по сети curl, о прекращении действия программы выплаты денежных вознаграждений за раскрытие информации об уязвимостях в Curl. Выплата вознаграждений будет прекращена в конце января из-за обилия мусорных заявок, сгенерированных в AI-ассистентах и отправленных без проверки фактического наличия уязвимости.

Сообщается, что за первые две недели января было подано 20 заявок на получение вознаграждения, утверждающих о наличии уязвимостей. Разбор данных заявок показал, что ни в одной из них не выявлено реальных уязвимостей. Авторам отчётов об уязвимостях рекомендуется не сообщать о проблеме, если они не понимают её суть и не могут воспроизвести ошибку. Проверка подобных заявок отнимает много времени у команды, отвечающей за безопасность. Предполагается, что прекращение выплаты вознаграждений снизит мотивацию людей присылать мусорные и плохо проверенные отчёты об уязвимостях, независимо от того, сгенерированы они в AI или нет.

Дополнение: Об ограничении приёма заявок на выплату вознаграждений за выявление уязвимостей также объявил проект Node.js, который теперь будет принимать на HackerOne только заявки от участников с высоким рейтингом, уже имеющих опыт отправки корректных отчётов о проблемах (signal > 1). В качестве причины изменения называется значительное увеличение числа низкокачественных заявок. Разбор мусорных заявок отнимает время и ресурсы, которые можно было бы направить на реальную работу по повышению безопасности платформы. С 15 декабря по 15 января проект получил более 30 подобных заявок.

1. Главная ссылка к новости
2. OpenNews: В Fedora утверждены правила использования AI-инструментов при разработке
3. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
4. OpenNews: Проект GNOME запретил использование AI для генерации дополнений к GNOME Shell
5. OpenNews: Сравнение числа ошибок в коде, написанном людьми и AI
6. OpenNews: Линус Торвальдс поэкспериментировал с вайб-кодингом в своём новом проекте AudioNoise

COSMIC развивается как универсальный проект, не привязанный к конкретному дистрибутиву и соответствующий спецификациям Freedesktop. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования, а также предлагает архитектуру, привычную для разработчиков, знакомых с языком декларативного построения интерфейсов Elm. Предоставляется несколько движков отрисовки, поддерживающих Vulkan, Metal, DX12, OpenGL 2.1+ и OpenGL ES 2.0+. Разработчикам предлагается готовый набор виджетов, возможность создавать асинхронные обработчики и использовать адаптивную компоновку элементов интерфейса в зависимости от размера окна и экрана.

Помимо использования языка Rust из особенностей COSMIC выделяются режимы гибридной мозаичной компоновки окон и стекового закрепления окон (группировка окон по аналогии со вкладками в браузере), которые могут включаться в привязке к виртуальным рабочим столам. Проектом также разрабатывается композитный сервер cosmic-comp на базе Wayland.

Основные изменения в выпусках 1.0.1, 1.0.2 и 1.0.3:

• Реализована поддержка скругления углов для всех окон, а не только для приложений COSMIC. Добавлена возможность отображения теней для окон, среди прочего и при мозаичной компоновке. Для выбора вида углов и теней окон в настройки внешнего вида добавлена секция "Settings > Desktop > Appearance > Window shadow and corners".
• В композитном сервере реализована активация окон X11-клиентами, работающими через XWayland, что позволяет индикаторам в системном лотке переключать фокус на окна в других виртуальных рабочих столах. Размер пиктограмм для X11-приложений адаптирован для выставленного уровня масштабирования.
• В файловом менеджере добавлена функция открытия нескольких каталогов в отдельных вкладках. Добавлена опция для переноса времени создания и изменения файла при копировании. Реализована возможность ввода сетевых путей в панели. Добавлено автодополнение ввода пути в панели нажатием клавиши Tab или Shift-Tab. Добавлен диалог подтверждения операции очистки корзины.
• В мультимедийном проигрывателе cosmic-player обеспечено отключение звука при показе миниатюр с изображением кадра, соответствующего выбранной позиции на полосе прокрутки.
• В конфигураторе реализована функция быстрой активации поиска - начало набора на клавиатуре приводит к появлению строки поиска в любом разделе конфигуратора. Добавлена возможность применения тем оформления в формате RON (Rusty Object Notation) через интерфейс командной строки. На страницу настройки комбинаций клавиш добавлен подраздел с параметрами для людей с ограниченными возможностями. Добавлен комбинация Super+Alt+S для активации экранного ридера. Включена по умолчанию симуляция клика касанием к тачпаду. Добавлена поддержка VPN-соединений, требующих двухфакторной аутентификации.
• В эмуляторе терминала реализована загрузка паролей в память только при открытии страницы работы с паролями и удаление паролей из памяти при её закрытии. Добавлена поддержка выделения содержимого кликом с удержанием клавиши Shift.
• В интерфейсе начальной настройки (COSMIC Initial Setup) добавлена поддержка систем с несколькими мониторами и активирован по умолчанию экранный ридер.
• В менеджере приложений (COSMIC Store) появилась опция для очистки данных Flatpak-приложений после их удаления.
• В интерфейсе переключения виртуальных рабочих столов реализована зацикленная прокрутка при использовании колеса мыши, аналогичная поведению апплета переключения рабочих столов на панели. Улучшена скорость прокрутки эскизов рабочих столов при помощи тачпада.
• В текстовом редакторе добавлена поддержка выделения текста комбинацией Shift+клик.
• В программе для создания скриншотов обеспечено запоминание выделенной области экрана.

1. Главная ссылка к новости
2. OpenNews: Первый стабильный релиз среды рабочего стола COSMIC
3. OpenNews: Выпуск дистрибутива Pop!_OS 24.04, поставляемого с рабочим столом COSMIC

Список значимых изменений в MySQL 9.6 полностью повторяет отчёт об изменениях в MySQL 9.5. В нём также упоминается отмеченное ранее изменение поведения параметра "innodb_log_writer_threads", изменение значения по умолчанию параметра "binlog_transaction_dependency_history_size", объявление устаревшим метода аутентификации SCRAM-SHA-1 и прекращение поддержки переменных "group_replication_allow_local_lower_version_join" и "replica_parallel_type". Общий список исправлений отличается и содержит следующие заметные изменения:

• Переработана система аудита, в которой реализована модульная подсистема Audit Log, позволяющая отдельно устанавливать и управлять различными компонентами для ведения лога аудита, а также упрощающая настройку формата логов, размещения файлов аудита и параметров буферизации. Для изменения системной переменной audit_log_rotate_on_size system теперь требуются привилегии AUDIT_ADMIN.
• Задействована новая структура данных и новая встроенная библиотека функций для работы с наборами глобальных идентификаторов транзакций (GTID, Global Transaction ID), используемых при репликации. Новая реализация отличается более высокой производительностью и упрощением кода.
• В хранилище InnoDB повышена эффективность генерации уникальных идентификаторов rowid в таблицах без первичных ключей. Решена проблема с некорректным восстановлением состояния транзакций, которые на момент аварийного завершения имели статус "PREPARED".
• Добавлена новая опция "--container_aware", во время запуска включающая определение выставленных в контейнере ограничений на CPU и память.
• Расширены возможности по отладке репликации.
• SQL-функции MD5() и SHA1() выделены в отдельный компонент "classic_hashing", который можно отключить при необходимости блокировать использование небезопасных алгоритмов хэширования.
• Устранено 14 уязвимостей, из которых две могут быть эксплуатированы удалённо. Наиболее серьёзная проблема имеет критический уровень опасности (9.8), присутствует в официальном Docker-образе c MySQL и связана с уязвимостью в библиотеке SQLite (CVE-2025-6965), которая используется во вспомогательных инструментах для настройки и работы с MySQL. Вторая удалённо эксплуатируемая уязвимость имеет уровень опасности 7.5 и вызвана переполнением буфера (CVE-2025-9230) в библиотеке OpenSSL. Менее опасные уязвимости затрагивают OpenSSL, InnoDB, оптимизатор, DDL, парсер, Pluggable Auth и Thread Pooling. Детали пока не сообщаются.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
3. OpenNews: Выпуск СУБД MySQL 9.5.0
4. OpenNews: Oracle уволил 70 сотрудников из команды проекта MySQL
5. OpenNews: Представлен openHalo, инструментарий для миграции с MySQL на PostgreSQL
6. OpenNews: Доступна СУБД MySQL 9.0.0

Некоторые проблемы:

• 11 проблем с безопасностью в Java SE. Все уязвимости в Java SE могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасные проблемы в Java SE имеют уровень опасности 7.5 и затрагивают JavaFX (WebKitGTK, libxslt), AWT и систему защиты. Уязвимости устранены в выпусках Java SE 25.0.2, 21.0.10, 17.0.18, 11.0.30, 8u481.
• 14 уязвимостей в сервере MySQL, из которых две могут быть эксплуатированы удалённо. Наиболее серьёзная проблема имеет критический уровень опасности (9.8), присутствует в официальном Docker-образе c MySQL и связана с уязвимостью в библиотеке SQLite (CVE-2025-6965), которая используется во вспомогательных инструментах для настройки и работы с MySQL. Вторая удалённо эксплуатируемая уязвимость имеет уровень опасности 7.5 и вызвана переполнением буфера (CVE-2025-9230) в библиотеке OpenSSL. Менее опасные уязвимости затрагивают OpenSSL, InnoDB, оптимизатор, DDL, парсер, Pluggable Auth и Thread Pooling. Проблемы устранены в выпусках MySQL Community Server 9.6.0 и 8.0.45.
• 14 уязвимостей в VirtualBox, пять из которых помечены как опасные (8.2 из 10). Одна из уязвимостей может быть эксплуатирована удалённо. Детали о характере уязвимостей не раскрываются. Проблемы будут устранены в выпуске VirtualBox 7.2.6, который ожидается в течение дня.
• 4 уязвимости в Solaris, которые затрагивают драйверы, ядро и файловую систему (максимальный уровень опасности 5.8 из 10). Уязвимости устранены в обновлении Solaris 11.4 SRU89. В новой версии Solaris также обновлены версии пакетов Wireshark 4.6.2, Firefox 140.6.0esr, Thunderbird 140.6.0esr, Unbound 1.24.2, Apache httpd 2.4.66, OpenSSH 10.2, Django 5.2.9 и squid 7.3.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
3. OpenNews: Выпуск дистрибутива Oracle Linux 10.1
4. OpenNews: Выпуск Java SE 25 LTS и OpenJDK 25
5. OpenNews: Выпуск СУБД MySQL 9.5.0
6. OpenNews: Выпуск операционной системы Solaris 11.4 SRU87

Проект придерживается классической организации интерфейса, без перехода к интегрированным в Firefox 29 и 57 интерфейсам Australis и Photon, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox, в браузер возвращена поддержка расширений, использующих XUL, и сохранена возможность применения как полноценных, так и легковесных тем оформления.

Основные изменения:

• Обновлена тема оформления, применяемая по умолчанию в Windows. Обеспечена интеграция оформления с Windows 11 и улучшена поддержка тёмных акцентных цветов.
• Реализован объект WeakRef для определения слабых ссылок (weak reference) на объекты JavaScript, позволяющие сохранить ссылку на объект, но не блокирующие удаление связанного объекта сборщиком мусора.
• Добавлен метод URL.canParse(), упрощающий разбор и проверку корректности URL.
• Добавлены CSS-свойства inset-block и inset-inline.
• Добавлена настройка "privacy.forgetaboutsite.clearPasswords" для очистки паролей при вызове функции очистки информации о сайте в менеджере полномочий.
• Генератор псевдослучайных чисел в JavaScript переведён на алгоритм Xoroshiro128+.
• Возвращена поддержка каскадных слоёв CSS (@layer) и CSS-функции color-mix.
• Решена проблема с сайтами, использующими CSS-свойство "overflow-x: clip" без выставления "overflow-y".
• Добавлена поддержка CSS-свойства "appearance".
• Обновлены версии NSS 3.90.9, ICU 78.1, Unicode 17 и expat 2.7.3.
• Добавлена поддержка сборки на оборудовании LoongArch64, Sparc64 и Mac PowerPC.
• Добавлена поддержка запуска во FreeBSD 15.
• Возвращена возможность выполнения NPAPI-плагинов внутри основного процесса.
• Повышена стабильность JavaScript-движка IonMonkey на ARM и Mac SoC.
• Linux-сборки с GTK теперь всегда собираются с gio, поддержка gconf удалена.

1. Главная ссылка к новости
2. OpenNews: Выпуск браузера Pale Moon 33.9.0
3. OpenNews: В Pale Moon планируют повысить требования к CPU в готовых сборках
4. OpenNews: Проект Pale Moon добился прекращения разработки браузера Mypal
5. OpenNews: Проект Pale Moon блокировал доступ пользователей форка Mypal к каталогу дополнений
6. OpenNews: Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков

Проблема вызвана тем, что для проверки пароля процесс telnetd вызывает утилиту "/usr/bin/login", передавая в качестве аргумента имя пользователя, указанного клиентом при подключении к серверу. Утилита "login" поддерживает опцию "-f", позволяющую осуществить вход без выполнения аутентификации (подразумевается, что эта опция используется, когда пользователь уже прошёл проверку). Таким образом, если добиться подстановки опции "-f" в имени пользователя, можно подключиться без проверки пароля.

При обычном подключении использовать имя пользователя вида "-f root" не получится, но в telnet имеется режим автоматического подключения, активируемый опцией "-a". В данном режиме имя пользователя берётся не из командной строки, а передаётся через переменную окружения USER (клиент передаёт переменные окружения на сервер при помощи опции ENVIRON). При вызове утилиты login значение данной переменной окружения подставлялось без дополнительной проверки и без экранирования спецсимволов. Таким образом, для подключения под пользователем root достаточно выставить в переменную окружения USER значение "-f root" и подключиться к telnet-серверу, указав опцию "-a":

   $ USER='-f root' telnet -a имя_сервера  

Приведшее к уязвимости изменение было добавлено в код telnetd в марте 2015 года и было связано с устранением проблемы, не позволявшей определить имя пользователя в режиме autologin без аутентификации в Kerberos. В качестве решения была добавлена поддержка передачи имени пользователя для режима autologin через переменную окружения, но проверку корректности имени пользователя из переменной окружения добавить забыли.

В 2007 году похожая проблема c передачей аргумента "-f" при вызове login была выявлена в telnet из состава Solaris, а в 1994 году в rlogin из AIX.

Дополнение: уязвимости назначен идентификатор CVE-2026-24061.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в KDE Konsole, позволяющая выполнить код при открытии страницы в браузере
3. OpenNews: Уязвимость в системе инициализации finit, позволяющая войти в систему без пароля
4. OpenNews: Критическая проблема безопасности в telnet сервисе Solaris
5. OpenNews: Во FreeBSD устранено 5 уязвимостей, включая критическую root-уязвимость в telnetd
6. OpenNews: Получение root привилегий через telnetd демон во FreeBSD (опубликован патч)

Среди изменений в новом выпуске:

• Обновлены версии браузерного движка Chromium 144, платформы Node.js 24.11.1 и JavaScript-движка V8 14.4 (в прошлой ветке использовались Chromium 142, Node.js 22.20.0 и V8 14.2).
• Добавлена поддержка признака завершения дочернего процесса "memory-eviction", применяемого при завершении процесса для предотвращения исчерпания свободной памяти в системе (OOM, out-of-memory).
• В режиме отрисовки в буфер (Offscreen Rendering) появилась поддержка вывода в формате RGBAF16 с цветовым пространством scRGB HDR .
• Добавлен метод app.isHardwareAccelerationEnabled() для проверки включения аппаратного ускорения.
• В API net.request добавлена опция bypassCustomProtocolHandlers для игнорирования вызова дополнительных обработчиков протокола.
• Добавлены методы для выборочного включения средств для людей с ограниченными возможностями.
• Добавлена возможность импорта внешних текстур в виде объекта VideoFrame, представляющего видеокадр.
• На платформе Linux появилась возможность использования свойства systemPreferences.getAccentColor для получения информации о системных акцентных цветах, применяемых для выделения активных элементов, а также цвета границы активного окна.
• Добавлена поддержка предоставления доступа к API File System, ограниченного текущим сеансом.
• Добавлена поддержка динамической загрузки ESM-модулей в предварительно загружаемых скриптах (preload), для которых отключена изоляция контекста (contextIsolation = false).
• Объявлена устаревшей возможность доступа к API Сlipboard из процессов, выполняющих отрисовку.

Платформа Electron позволяет создавать любые графические приложения с использованием браузерных технологий, логика работы которых определяется на JavaScript, HTML и CSS, а функциональность может быть расширена через систему дополнений. Разработчикам доступны модули Node.js, а также расширенный API для формирования нативных диалогов, интеграции приложений, создания контекстных меню, интеграции с системой вывода уведомлений, манипуляции окнами, взаимодействия с подсистемами Chromium.

В отличие от web-приложений, программы на базе Electron поставляются в виде самодостаточных исполняемых файлов, не привязанных к браузеру. При этом разработчику не нужно заботиться о портировании приложения для различных платформ, Electron обеспечит возможность сборки для всех систем, поддерживаемых в Chromium. Electron также предоставляет средства для организации автоматической доставки и установки обновлений (обновления можно доставлять как с отдельного сервера, так и напрямую с GitHub).

Из программ, построенных на базе платформы Electron можно отметить редакторы Atom и Visual Studio Code, почтовый клиент Mailspring, инструментарий для работы с Git GitKraken, систему ведения блогов WordPress Desktop, BitTorrent-клиент WebTorrent Desktop, а также официальные клиенты к таким сервисам, как Signal, Slack, Basecamp, Twitch, Ghost, Wire, Wrike и Discord. Всего в каталоге программ Electron представлено 612 приложений. Для упрощения разработки новых приложений подготовлен набор типовых демонстрационных приложений, включающих примеры кода для решения различных задач.

1. Главная ссылка к новости
2. OpenNews: Выпуск Electron 38, платформы создания приложений на базе движка Chromium
3. OpenNews: Tauri 1.0 - конкурирующая с Electron платформа для создания пользовательских приложений
4. OpenNews: Выпуск GNU Mes 0.27, инструментария для самодостаточной сборки дистрибутивов
5. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.16.0

В новом выпуске:

• Осуществлена синхронизация с пакетной базой Debian 13.3. Ядро Linux обновлено до версии 6.12.
• Обновлены сборки с расширенной поддержкой оборудования (AHS), которые поставляются с Xfce, ядром 6.18 c патчами от проекта liquorix и Мesa 25.3.3.
• Возобновлено формирование совмещённых iso-образов, в которых на выбор доступны системы инициализации systemd и sysVinit. В Live-сборках пользователь может выбрать желаемую систему инициализации в загрузочном меню.

1. Главная ссылка к новости
2. OpenNews: Опубликован AV Linux MX 25, дистрибутив для создания аудио- и видеоконтента
3. OpenNews: Выпуск дистрибутива MX Linux 25
4. OpenNews: Выпуск легковесных дистрибутивов antiX 23.2 и MX Linux 23.4
5. OpenNews: Подготовлена редакция дистрибутива MX Linux для плат Raspberry Pi
6. OpenNews: Выпуск легковесного дистрибутива antiX 23.1

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

В новом выпуске:

• Добавлен планировщик LINSTOR для оптимального размещения pod-ов. Собственный "scheduler extender" для Kubernetes работает совместно со стандартным планировщиком Kubernetes и помогает оптимально размещать pod-ы на узлах с хранилищем LINSTOR. Когда pod запрашивает том LINSTOR, планировщик узнает у контроллера LINSTOR, на каких узлах есть локальные реплики нужных томов. Приоритет отдаётся узлам, где данные уже присутствуют, что минимизирует сетевой трафик и повышает I/O-производительность. Дополнительно реализован admission-вебхук, который автоматически направляет pod-ы, использующие CSI-тома LINSTOR, на собственный планировщик, обеспечивая бесшовную интеграцию без ручной настройки.
• Хранилище SeaweedFS SeaweedFS обновлено до версии 4.05, в которой проведена оптимизация S3-трафика (traffic locality): запросы теперь уходят на ближайшие серверы, что сокращает задержки и ускоряет работу хранилища. Также появился новый admin-компонент с веб-интерфейсом и поддержкой авторизации, и worker-ы для выполнения распределённых задач. В Grafana добавлены продвинутые дашборды, позволяющие следить за bucket-ами, вызовами API и производительностью. Добавлена поддержка TLS-сертификатов для компонентов admin и worker.
• Механизм valuesFrom из FluxCD заменил lookup-функции в Helm-чартах. Такое архитектурное улучшение обеспечивает более чистую передачу параметров и устраняет необходимость в контроллерах принудительной синхронизации (reconciliation). Конфигурация из ConfigMaps и ссылок на сервисы теперь централизованно управляется через ключ cozystack-values в каждом пространстве имён.
• В компонента для интеграции с LINSTOR реализована поддержка функции auto-diskful, переводящей бездисковые (diskless) узлы в дисковые (diskful), если те удерживают ресурсы DRBD в состоянии Primary более 30 минут.
• Внедрены системы автоматического управления версиями для PostgreSQL, Kubernetes, MariaDB и Redis, которые отслеживают обновления в апстрим-репозиториях и предоставляют механизмы автоматического обновления версий.

1. Главная ссылка к новости
2. OpenNews: Выпуск Cozystack 0.38, открытой PaaS-платформы на базе Kubernetes
3. OpenNews: Проект Cozystack выпустил Talm, менеджер конфигураций для Talos Linux
4. OpenNews: Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра
5. OpenNews: Проект Cozystack принят в организацию CNCF
6. OpenNews: Опубликован код COSI-драйвера для SeaweedFS