В ядре Linux выявлена уязвимость, по аналогии с уязвимостями Copy Fail, Dirty Frag и Fragnesia позволяющая непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимости присвоено кодовое имя DirtyDecrypt (проблема также упоминается под именем DirtyCBC). Доступен прототип эксплоита.
CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию внутри эксплоита, в нём используется уязвимость CVE-2026-31635, исправление для которой было принято в ядро в апреле и вошло в состав ветки 7.0.0 и сформированного 18 апреля выпуска 6.18.23. Проблема проявляется начиная с ядра 6.16.
Как и в случае с серией уязвимостей Dirty Frag новая уязвимость присутствует в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Проблема вызвана ошибкой при проверке размера данных в функции rxgk_verify_response() - вместо проверки "if (auth_len > len)" в коде было указано "if (auth_len < len)", что приводило к передаче в функцию rxgk_decrypt_skb() данных с размером, больше допустимого. При выполнении функции rxgk_decrypt_skb() расшифровка данных осуществлялась с подстановкой изменений напрямую в страничный кэш для исключения лишней буферизации. Из-за неверной проверки размера возникала возможность перезаписи данных в страничном кэше по выбранному смещению.
Эксплуатация уязвимости сводится к чтению файла программы с флагом suid root (для его оседании в страничном кэше) и замене в страничном кэше части кода программы кодом для запуска /usr/bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполнядолжен бытьемый файл с накопителя, а изменённая копия из страничного кэша. В качестве suid-программ в эксплоите предусмотрена возможность использования "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" и "/usr/bin/chsh".
Для эксплуатации уязвимости при сборке ядра должна быть активна опция CONFIG_RXGK, а для автозагрузки доступен модуль ядра rxrpc.ko (в некоторых системах он не собирается). Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch,
Fedora. В качестве обходного пути защиты можно заблокировать загрузку модуля ядра rxrpc:
Дополнительно можно отметить публикацию в списке рассылки разработчиков ядра Linux патчей, полностью отключающих в crypto API (AF_ALG) оптимизации, использующие прямое обращение к страничному кэшу при расшифровке с использованием алгоритмов "skcipher" и "aead". Оптимизации исключают лишнюю буферизацию данных, но создают риски возникновения серьёзных уязвимостей. Предполагается, что их отключение приведёт лишь к незначительному снижению производительности из-за появления дополнительной операции копирования в отдельный буфер. Патчи приняты сопровождающим подсистему crypto API и включены в ветку "cryptodev", в которой развиваются возможности для передачи в основной состав будущих выпусков ядра Linux.
Опубликован релиз MyCompany 6.2 - свободной ERP-системы для малого и среднего бизнеса, построенной на платформе lsFusion. Решение покрывает задачи складского и финансового учёта, управления закупками и продажами, производством, розничной торговлей и услугами и т.д. Типовое решение MyCompany распространяется под лицензией Apache 2.0 и развивается как открытый проект на GitHub. Для начала работы доступны демо-стенд и документация по установке и настройке.
В производственном модуле появилась система управления рабочими центрами и рабочими заданиями. Рабочие центры описывают производственные участки, а рабочие задания привязываются к производственным заказам и хранят назначенный рабочий центр, плановые дату и время начала и длительность. Добавлен интерактивный дашборд загрузки рабочих центров, на котором планировщик видит загрузку по дням и участкам и может корректировать длительность заданий. Для рабочих заданий реализован цикл статусов «Готово» -> «В работе» -> «Выполнено» с действиями перехода (в том числе массовыми), цветовой подсветкой, фильтрами по статусу, дате, рабочему центру и товару, мультивыбором, историей и комментариями.
В спецификациях (BoM) появились производственные операции с указанием рабочего центра, времени начала и длительности. Рабочие задания теперь автоматически формируются из операций спецификации при пересчёте строк производственного заказа, включая операции вложенных промежуточных спецификаций, с сохранением связи с исходной спецификацией. Операции и рабочие задания копируются вместе со спецификациями и производственными заказами, а операции можно копировать из других спецификаций прямо на вкладке «Операции». Для компонентов спецификации добавлен поиск по товару и штрихкоду.
Автозаполнение заказа на закупку теперь учитывает не только потребность отгрузок, но и потребность в материалах для производства. Заказы на закупку можно создавать сразу из выбранных производственных заказов — по ещё не закупленным материалам, с группировкой по поставщику. Служебные затраты из счетов поставщиков можно распределять не только между строками счёта, но и на производственные заказы (по сумме, весу, объёму, количеству и т.п.). В производственном заказе можно вручную указать строку заказа на продажу, а в типе производственного заказа появилась опция увеличения доступного остатка за счёт планового выпуска для заказов в статусах «Ожидание», «Готово» и «В работе». Для типов заказов на продажу и закупку добавлены настраиваемые ограничения на закрытие — пока заказ не полностью отгружён/получен или не оплачен.
В расчётные листки добавлены типы (например, обычный, премия, аванс) с собственной нумерацией для каждого типа. При формировании пакета расчётных листков выполняется проверка того, что все сотрудники принадлежат компании пакета. Реализована история часовых ставок сотрудников с датами вступления в силу: расчёты за прошлые периоды используют корректные исторические ставки, а ставка для записей времени выбирается по приоритету (назначение на проект -> команда -> историческая ставка сотрудника -> базовая ставка). В карточку сотрудника добавлен блок вложенных файлов (договоры, сканы, сертификаты) и отдельное действие смены пароля вместо встроенного поля.
В табеле руководителя список сотрудников ограничен активными сотрудниками выбранного проекта; сотрудники с записями времени за период отображаются всегда. В детализации по сотруднику и дате можно скопировать существующую запись времени и создать на её основе новую.
Реализована поддержка корректировок счетов поставщиков двух типов: «замена» — счёт отражает итоговое исправленное состояние документа, и «разница» — счёт отражает только отклонение от исходного. Добавлен отчёт «Платёжный календарь» с динамикой задолженности по дням, прогнозом остатка денежных средств, разбивкой по типу и партнёру, drill-down к задолженностям и графиком прогноза. Реализован импорт платежей (EnterpriseData). При изменении общей суммы счёта поставщика или счёта на оплату цены строк автоматически пересчитываются. Для заказов и счетов добавлен явный признак включения налога в цену. В тип счёта поставщика добавлен товар по умолчанию, который подставляется в новые строки. Для типа счёта-фактуры добавлена опция, управляющая созданием плановой или фактической отгрузки.
В CRM добавлен модуль маркетинга для отслеживания источников лидов по измерениям «Кампания», «Канал» и «Источник» — новые поля доступны в карточке и списке лидов, а отчёты по лидам расширены маркетинговыми разрезами; часть значений каналов и источников заполняется по умолчанию. В лид добавлено поле «Товар»: при создании заказа на продажу из такого лида автоматически создаётся строка заказа с указанным товаром и суммой, равной ожидаемой выручке.
Добавлен отчёт по ценам с возможностью сравнения цен на две даты, цветовой индикацией изменений, фильтром по типам цен и отображением остатков на выбранном складе. В форму автопарка по каждому транспортному средству выведены последние договоры и данные о техобслуживании в разрезе типов. В систему встроен просмотрщик документации в формате Markdown с историей навигации и автоматическим выбором языка. В формы отгрузок, приходов, счетов поставщиков, счетов и заказов добавлены поле и фильтры по коду партнёра, а к счетам партнёров — поле ответственного сотрудника.
Компания Grafana Labs, развивающая одноимённую открытую платформу мониторинга и визуализации данных, раскрыла сведения о попадании в руки атакующих токена доступа к GitHub-окружению. Атакующие воспользовались токеном для загрузки кода проприетарных продуктов компании из приватных репозиториев и попытались вымогать деньги, угрожая раскрытием полученной кодовой базы. Представители Grafana Labs отказались платить. По заявлению компании атакующие не получили доступ к персональной информации и данным пользователей. Подробности об инциденте планируют опубликовать после завершения расследования.
Исследователи из массачусетского технологического института развивают проект GenCAD, предоставляющий модель машинного обучения для генерации 3D-моделей на основе двумерного изображения или эскиза детали. GenCAD выдаёт на выходе не просто 3D-модель, а полную параметрическую CAD-программу с историей команд построения модели, пригодную для импортирования в параметрические САПР.
К обсуждению проекта подключился энтузиаст, который заявил, что создание моделей для САПР может осуществляться без специализированных моделей машинного обучения, используя обычные AI-ассистенты, такие как Aider, OpenClaw и QwenCode, с типовыми AI-сервисами. В качестве примера опубликована коллекция промптов, позволяющих на основе описания, перечня желаемых характеристик и изображений с визуальными примерами генерировать программы для платформы OpenSCAD, формирующие CAD-модели в формате STL или OFF с параметризованной конфигурацией.
Опубликован релиз Phosh 0.55, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, ALT Mobile, Droidian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру. Наработки проекта распространяются под лицензией GPLv3+.
Добавлен новый компонент syncbus с реализацией сервера для доступа через D-Bus к функциональности P2P-системы синхронизации файлов Syncthing. На базе библиотеки Adwaita подготовлен начальный прототип мобильного клиента для Syncthing. Код написан на Rust.
В блок быстрых настроек добавлена кнопка для включения и отключения синхронизации файлов через Syncthing.
Добавлен интерфейс phosh-first-boot, вызываемый во время первой загрузки для создания пользователя и настройки его окружения. Код написан на Rust.
На устройствах без датчика освещённости отключена функциональность автоматического изменения яркости и затемнения экрана.
В композитном сервере Phoc задействованы Wayland-протоколы: "xdg-dialog" для создания модальных диалогов, блокирующих взаимодействие пользователя с остальной частью интерфейса, и ext-data-control-manager-v1 для реализации менеджера буфера обмена.
Улучшена реализация модальных диалогов, используя Wayland-протоколы xdg-dialog-v1 и gtk-shell. Добавлен отступ при мозаичной компонентов слева или справа. Улучшена обработка операций сброса GPU.
Осуществлён переход на выпуск библиотеки wlroots0.20, в котором реализована поддержка определения цветового представления Wayland-поверхности, управления цветом и использования HDR при помощи протоколов color-representation-v1 и color-management-v1 при использовании бэкенда отрисовки через API Vulkan. Добавлена поддержка Wayland-протоколов cursor-shape-v1 для настройки внешнего вида курсора,
ext-workspace-v1 для использования концепции виртуальных рабочих столов и xdg-toplevel-tag-v1 для идентификации окон/поверхностей через привязку тегов.
В конфигураторе phosh-mobile-settings добавлена новая панель с настройками языка. В настройки экранной клавиатуры добавлена опция для автоматической подстановки пробелов.
Виджет выбора файлов pfs (Phosh File selector) обновлён до версии 0.1, в которой реализована поддержка закладок. В xdg-desktop-portal-phosh добавлен портал для добавления и использования закладок на файлы и каталоги.
В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка дисплейных панелей устройств
MacBook 14 M1 Pro (2021), MacBook 14 M2 Pro (2023) и Xiaomi Redmi Note 10 Pro.
Осуществлён переход на компоненты GNOME 50. Обновлены версии зависимостей: ModemManager 1.25.95, wys 0.1.12, callaudiod 0.1.10, Calls 50.0, cellbroadcastd 0.0.3, feedbackd 0.8.9, feedbackd-device-themes 0.8.9, iio-sensor-proxy 3.9,
mmsd-tng 2.6.4.
Корнелиус Шумахер (Cornelius Schumacher), президент организации KDE e.V., проанализировал статистику о размере кодовой базы KDE. Суммарный актуальный размер кода библиотек KDE Frameworks, среды рабочего стола KDE Plasma и базового набор приложений KDE Gear составил 8 173 148 строк. Объём кода удвоился по сравнению с 2009 годом (было 4 273 291 строк). Общее число добавленных в репозиторий строк кода, с учётом изменённых и удалённых строк, оценивается в 55 млн.
16.2% от актуального кода приходится на KDE PIM (Personal Information Management), 15.8% на KDE Plasma, 14% - KDE Frameworks, 9.6% - KOffice/Caligra.
В анонсе очередного предварительного выпуска ядра 7.1-rc4 Линус Торвальдс призвал исследователей безопасности, использующих AI, не отправлять отчёты о найденных уязвимостях в приватный список рассылки "security@kernel.org" и следовать принятым на днях правилам и модели угроз при отправке информации об уязвимостях. Отмечается, что использование типовых AI-инструментов приводит к выявлению одних и тех же уязвимостей и отправке большого числа дублирующихся отчётов, разбор которых создаёт огромную дополнительную нагрузку на сопровождающих и мешает нормальной работе через список рассылки.
Список рассылки "security@kernel.org" является закрытым и сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать отчёты, отправленные другими участниками, и их обсуждение разработчиками ядра. Приватный разбор уязвимостей, выявленных при помощи AI-инструментов, признан пустой тратой времени как для сопровождающих, тратящих ресурсы на отсеивание дубликатов, так и для разработчиков, впустую анализирующих проблемы, о которых уже сообщил кто-то другой.
В связи с этим предписано сообщать об уязвимостях, выявленных при помощи AI, только через публичные списки рассылки, за исключением особо критических проблем. Исследователям безопасности рекомендуется не заниматься бездумной переотправкой того, что выдаёт AI-ассистент, а проанализировать проблему, убедиться в её существовании, изучить документацию по отправке отчётов об ошибках, подготовить патч и тщательно проверить, не исправлена ли уже проблема в актуальной кодовой базе ядра, чтобы сопровождающие не отвлекались на написание ответов о том, что проблема уже исправлена неделю или месяц назад.
По мнению Линуса AI-инструменты великолепны, но только когда действительно помогают, а не создают лишнюю головную боль и бессмысленную имитацию работы. Использование AI-инструментов при разработке ядра допустимо, но так, чтобы это приводило к результату и делало работу приятнее.
Джаспер Нюйенс (Jasper Nuyens), основатель организации Linux Belgium, создавший надстройку для использования Linux в информационной системе автомобилей Tesla, предложил простой способ снизить поверхность атаки на ядро Linux для снижения вероятности компрометации на фоне всплеска выявления опасных уязвимостей при помощи AI. Так как многие уязвимости находят в специфичных модулях ядра, доступных для автозагрузки, но обычно не применяемых большинством пользователей, Джаспер предложил по умолчанию блокировать неиспользуемые в текущей системе или в общем виде редко используемые модули.
В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется под лицензией GPLv3.
Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл
/etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобный подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.
При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).
Отдельно предлагается скрипт cve-watch.sh, осуществляющий мониториг списка рассылки linux-cve-announce и REST API nvd.nist.gov на предмет обнаружения уязвимостей в незаблокированных модулях ядра. Как правило CVE-идентификаторы уязвимостей раскрываются раньше устранения проблемы в дистрибутивах, что позволяет на ранних стадиях блокировать проблемы обходным путём.
Дополнение 1: Опубликован скрипт похожего назначения, блокирующий автозагрузку модулей ядра спустя 3 минуты после загрузки системы, за исключением модулей из белого списка /etc/restricted-module-load.whitelist. Для инструментария kmod, используемого для управления загрузкой модулей ядра, подготовлен патч, добавляющий режим работы на основе белого списка, по умолчанию разрешающего загрузку только избранных модулей.
Дополнение 2: В своё время проект grsecurity реализовал небольшой патч, позволяющий разрешить автоматическую загрузку модулей ядра только приложениям, запущенным с правами root.
C использованием AI-ассистента подготовлен набор патчей, настроек, скриптов и DLL-библиотек с реализацией заглушек недостающих функций, позволяющих запустить программу обработки фотографий Adobe Lightroom CC (не путать с Lightroom Classic) в Linux при помощи Wine 11.8 и DXVK. Также возможен запуск приложения Creative Cloud для подключения к облаку Adobe, отображения панели приложений и установки Adobe Lightroom CC и других программ Adobe.
При запуске Adobe Lightroom CC отображает синхронизированный с облаком каталог и позволяет использовать модуль редактирования с панелью инструментов (освещение, цвета, эффекты, геометрия, оптика, детализация и т.п.). Среди прочего работают инструменты кадрирования/изменения геометрии и удаления/восстановления объектов, что позволяет, например, выровнять горизонт и удалить случайно попавших в кадр людей. Из ещё неработающих возможностей отмечены аварийные завершения при попытке открытия некоторых диалогов, таких как "What's New", и не полное задействование средств для ускорения операций при помощи GPU. В остальном основные функции редактирования работоспособны.
Изменения подготовлены автономно моделью Claude Opus 4.7, используемой через AI-ассистент Claude Code. Модель циклично запускала Adobe Lightroom CC при помощи Wine, анализировала crash-дапмы и логи Wine, изучала исполняемые файлы Adobe при помощи winedump, objdump и разбор сктруктур в формате PE, сравнивала эталонные и предоставляемые в Wine и Proton библиотеки для выявления недостающих функций, модифицировала исполняемые файлы, создавала DLL с заглушками и выполняла проверку работы через анализ скриншотов.
Доступен выпуск программы для тестирования оперативной памяти Memtest86+ 8.10. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти. В случае выявления проблем построенная в Memtest86+ карта сбойных участков памяти может использоваться в ядре Linux для исключения проблемных областей при помощи опции memmap. Код проекта распространяется под лицензией GPLv2.
Основные новшества:
Добавлена поддержка контроллеров x2APIC (Intel Advanced Programmable Interrupt Controller).
Улучшена поддержка CPU Intel Lunar и Panther Lake.
Улучшена оценка производительности кэшей и ОЗУ.
В сборках для архитектуры x86_64 включены оптимизации на базе инструкций SIMD (SSE2).
Решены проблемы с загрузкой на системах с AMI BIOS и системах со старым GRUB.
Подведены итоги трёх дней соревнований Pwn2Own Berlin 2026, на которых были продемонстрированы успешные атаки с использованием 47 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.
Суммарный размер выплаченных вознаграждений составил более $1.2 миллиона долларов США ($1 298 250). Наиболее успешная команда
DEVCORE сумела заработать на соревнованиях 505 тысяч долларов США. Обладатели второго места (STARLabs SG) получили 242 тысячи долларов, а третьего (Out Of Bounds) - 95 тысяч долларов.
Осуществлённые атаки:
Red Hat Enterprise Linux: 4 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения, состоянием гонки и использованием неинициализированной памяти. Участникам выплачено $20 000, $10 000, $7 000 и $5 000.
Windows 11: 5 успешных атак, позволивших получить права администратора. Уязвимости вызваны целочисленным переполнением, переполнением буфера, обращением к памяти после освобождения и некорректным управлением доступом. Участникам выплачено $30 000, две премии по $15 000 и две премии по $7 500.
VMware ESX: атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено $200 000.
NV Container Toolkit: 2 успешные атаки, позволившие обойти изоляцию контейнера. Проблемы вызваны обращением к памяти после освобождения. Участникам выплачено $25 000 и $50 000
Microsoft Edge: Удалённое выполнение кода c обходом sandbox. Участникам выплачено $175 000.
Microsoft SharePoint: Удалённое выполнение кода. Участникам выплачено $100 000.
Microsoft Exchange: Удалённое выполнение кода с правами SYSTEM. Участникам выплачено $200 000.
OpenAI Codex: 4 успешных взлома. Выплачено: две премии по $20 000 и по одной премии в $40 000 и $10 000.
NVIDIA Megatron Bridge: 4 успешных взлома. Выплачено: две премии по $10 000, $20 000, $2 500.
Anthropic Claude Code: 3 успешных взлома. Выплачены три премии по $20 000.
Anthropic Claude Desktop: Один взлом, выплачено $10 000.
Кроме вышеотмеченных успешных атак, 7 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома VMware ESXi, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux, Firefox, OpenAI Codex,
Oracle Autonomous AI Database, NV Container Toolkit.
В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.
Сформировано пятое корректирующее обновление дистрибутива Debian 13, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 144 обновления с устранением проблем со стабильностью и 103 обновления с устранением уязвимостей. Из изменений в Debian 13.5 можно отметить обновление до свежих стабильных версий пакетов apache2, openssl и systemd. Удалён пакет dav4tbsync, функциональность которого теперь доступна в Thunderbird 140.
Для загрузки и установки "с нуля" в ближайшие часы будут подготовлены установочные сборки c Debian 13.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.5, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.
Одновременно доступен новый выпуск предыдущей стабильной ветки Debian 12.14, в который включено 99 обновлений с устранением проблем со стабильностью и 145 обновлений с устранением уязвимостей. Обновлены до свежих стабильных версий пакеты 7zip, apache2, arduino-core-avr, dpkg, openssl, postgresql-15, wireless-regdb. Удалены пакеты
suricata (актуальная версия имеется в бэкпортах) и zulucrypt (остался без сопровождения и имеет неустранённые уязвимости).
Линус Торвальдс принял в состав ядра документ, регламентирующий процесс обработки ошибок, связанных с безопасностью, определяющий модель угроз, поясняющий, какие ошибки в ядре трактуются как уязвимости, и разбирающий действия с ошибками, выявленными при помощи AI. Документ подготовлен Вилли Тарро (Willy Tarreau), автором HAProxy и давним разработчиком ядра Linux, отвечавшим за сопровождение нескольких стабильных веток ядра. В качестве основы использованы договорённости, достигнутые в ходе обсуждения недавно выявленных критических уязвимостей в ядре (1, 2, 3, 4), раскрытых до публикации исправлений и для которых, благодаря AI, удалось сразу создать рабочие эксплоиты.
Основную массу связанных с безопасностью ошибок предписывается обрабатывать публично, чтобы привлечь максимально широкую аудиторию и найти оптимальное решение. В отдельный приватный список рассылки предлагается отправлять только экстренные сообщения об уязвимостях, легко эксплуатируемых, представляющих угрозу для многих пользователей и позволяющих получить расширенные привилегии или возможности.
Уязвимости, выявленные при помощи AI-ассистентов, всегда предлагается обсуждать публично, так как подобные проблемы часто обнаруживаются одновременно несколькими исследователями. При этом не следует раскрывать в отчёте экплоит - достаточно упомянуть, что он доступен, и передать его в частном порядке в ответ на запрос сопровождающего.
Отдельно описываются правила передачи отчётов, созданных при помощи AI-ассистентов. Подобных отчётов присылают очень много и благодаря им время от времени удаётся выявлять ошибки в плохо отрецензированных частях кода, но сопровождающие часто их игнорируют из-за низкого качества и неточностей. Основные требования к отчётам, созданными при участии AI:
Краткость, без воды и с указанием сути и важных деталей в самом начале.
Только голый текст без Markdown-тегов и декорирования.
Понимание модели угроз и указание проверяемых фактов (например, "ошибка позволяет любому пользователю получить CAP_NET_ADMIN"), а не теоретических измышлений и домыслов о последствиях уязвимости.
Перед отправкой отчёта обязательно тщательно протестировать работоспособность эксплоита, сформированного через AI, и убедиться в возможности воспроизвести проблему.
Привлечение AI для разработки и тестирования исправления выявленной проблемы.
По статистике сопровождающих, большинство отчётов об ошибках, присылаемых под видом устранения уязвимостей, таковыми не являются, и должны обрабатываться в общем порядке как обычные ошибки. Для разделения уязвимостей и обычных ошибок описана модель угроз ядра Linux. Среди возможностей и гарантий, нарушение которых может рассматриваться как уязвимость:
Изоляция на уровне пользователей: доступ к файлам только для владельца, память процесса недоступна другим пользователям, ptrace запрещён для чужих процессов, изоляция IPC и сетевых коммуникаций.
Защита на основе capabilities: без CAP_SYS_ADMIN нельзя менять конфигурацию ядра, память, состояние системы, без CAP_NET_ADMIN нельзя менять сетевые настройки или перехватывать трафик, без CAP_SYS_PTRACE нельзя отслеживать процессы других пользователей.
Пространство имён идентификаторов пользователей (CONFIG_USER_NS) позволяет непривилегированным пользователям создавать свои изолированные окружения, из которых нельзя влиять на глобальное пространство имён, например, менять время, загружать модули и монтировать блочные устройства.
Отладочные интерфейсы (/proc/kmsg, perf, debugfs), через которые можно получить доступ к конфиденциальной информации, доступны только после явного предоставления доступа администратором.
Возможности, которые не рассматриваются как уязвимости:
Использование устаревших веток ядра.
Сборка с включением опций для разработчиков или снижающих безопасность (например, CONFIG_NOMMU).
Выставление небезопасных настроек sysctl, опций командной строки, прав доступа в ФС, capabilities или открытие непривилегированным пользователям доступа к привилегированным интерфейсам (например, доступ на запись в procfs и debugfs).
Проблемы в функциях, предназначенных только для разработки и отладки ядра, таких как LOCKDEP, KASAN и FAULT_INJECTION, которые не предназначены для включения в рабочих конфигурациях.
Проблемы в драйверах, модулях и подсистемах, находящихся в секции STAGING или помеченных как экспериментальные, небезопасные или неработоспособные.
Использование сторонних модулей ядра или неофициальных форков ядра.
Требование избыточных привилегий, таких как необходимость выполнения действий с правами root или от пользователя, имеющего права CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_SYS_RAWIO и CAP_SYS_MODULE.
Теоретические атаки, требующие лабораторных условий, миллиардов попыток, эмуляции или модификации оборудования, несоразмерных затрат и нереалистичных конфигураций (например, системы с десятками тысяч ядер CPU).
Обход механизмов защиты (например, ASLR) без демонстрации эксплоита. Отсутствие проверок аргументов и возвращаемых кодов ошибок, не имеющих явных последствий.
Случайные утечки информации, неподконтрольные атакующим, такие как
остаточные данные в сообщениях об ошибках и утечки адресов/указателей на память ядра без прямой возможности эксплуатации.
Ошибки при монтировании повреждённых дисковых образов, если драйвер не заявлен как пригодный для использования с не заслуживающими доверия носителями. Проблемы с дисковыми образами, выявляемые и устраняемые через запуск утилиты fsck.
Атаки требующие физического доступа к оборудованию, модификации оборудования или подключения аппаратных устройств, таких как платы для атаки на DMA и логические анализаторы, если система специально не настроена для защиты от подобных атак (IOMMU).
Регрессии c функциональностью и производительностью, устраняемые настройкой прав и лимитов.
Состоялся релиз функционального языка программирования Erlang 29, нацеленного на разработку распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 29 (Open Telecom Platform) - сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang.
В SSH-сервере по умолчанию отключены сервисы shell и exec, а также подсистема SFTP. Для выполнения Erlang-кода аутентифицированными пользователями через SSH теперь требуется изменение настроек. В SSH по умолчанию активирован гибридный алгоритм обмена ключами mlkem768x25519-sha256.
В библиотеке SSL в конфигурации по умолчанию выставлен наиболее приоритетным гибридный алгоритм обмена ключами "x25519mlkem768", стойкий к подбору на квантовом компьютере и представляющий собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber).
Добавлен атрибут "-unsafe" для пометки функций небезопасными (unsafe). В библиотеке Erlang/OTP подобные функции помечены и для них компилятор теперь выдаёт предупреждение. Добавлена возможность отслеживания через xref вызова unsafe-функций и функций без документации.
Для корректной работы сторонних сборочных инструментов, таких как Rebar3, фильтрация игнорируемых вызовов (ignore_xref) теперь выполняется непосредственно внутри xref.
Добавлен модуль ct_doctest для автоматического тестирования примеров кода из документации.
Добавлен модуль io_ansi для создания консольных приложений, поддерживающих подстановку в терминал ANSI-последовательностей (Virtual Terminal Sequences), например, для изменения стиля и цвета текста.
При поиске файловых путей с кодом (PATH) текущий каталог (".") перемещён с первой на последнюю позицию списка и теперь проверяется в последнюю очередь.
Прекращено формирования 32-разрядных сборок для Windows.
Реализован полноценный отдельный тип данных для записей (native record, EEP-79), который можно использовать вместо традиционных записей, построенных на кортежах.
Добавлен ограничитель "is_integer/3" для проверки целых чисел на принадлежность диапазону (например, "is_integer(I, 0, 100)").
Реализованы генераторы списков с множественными значениями (EEP-78), возвращающие несколько элементов за итерацию (например, "[-I, I || I <- [1, 2, 3]]" выдаст "[-1,1,-2,2,-3,3]").
Добавлен флаг compr_assign, позволяющий связывать переменные прямо внутри генераторов (например, "[H || E <- List, H = erlang:phash2(E), H rem 10 =:= 0]").
В JIT-компиляторе улучшена генерация машинного кода для сопоставления и создания бинарных данных с несколькими little-endian сегментами.
В компиляторе повышена эффективность генерируемого кода в ситуациях, когда значения в "map" не зависят от генератора (например, "#{K => 42 || K <- List}").
В компиляторе реализован вывод предупреждений при использовании устаревшего оператора "catch" вместо "try...catch", экспорта переменных из подвыражений (например, "file:open(File, AllOpts = [write, {encoding,utf8}])"), использования "and"/"or" вместо "andalso"/"orelse", указания неоптимальных шаблонов сопоставления (например, "{a,B} = {X,Y}").
В STDLIB реализованы функции rand:shuffle/1 и rand:shuffle_s/2 для перемешивания списков в случайном порядке.
Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлена первая порция изменений для ветки KDE Plasma 6.8, релиз которой запланирован на 14 октября. Развитие новой ветки началось после перевода ветки KDE Plasma 6.7 на стадию бета-тестирования и заморозки связанной с ней кодовой базы от внесения функциональных изменений (допускается только приём исправлений). Релиз KDE Plasma 6.7 намечен на 16 июня.
Среди изменений, добавленных за прошедшую неделю в ветку KDE 6.7:
Во встроенный сервер для организации удалённой работы с рабочим столом (krdp), реализующий протокол RDP, добавлена поддержка режима прогрессивного кодирования (Progressive Encoding Mode), который может использоваться для клиентов, не поддерживающих кодек H.264, имеющих проблемы с работой кодека или использующих канал связи с недостаточной пропускной способностью. Переключение между H.264 и прогрессивным кодированием производится динамически. Отмечается, что прогрессивное кодирование более эффективно при такой активности в сеансе, как редактирование текста, при которой содержимое экрана меняется не часто и изменяется незначительно. Кроме того, в сервер krdp внесены оптимизации для повышения производительности и снижения задержек.
В Kwin добавлена поддержка версии 3.2 протокола text-input, позволяющего композитным серверам реализовывать методы ввода и отправлять текст в приложения.
В новой версии протокола реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа и скрытия панели ввода, добавлен флаг preedit_hint для настройки стиля предварительного редактирования.
Предоставлена возможность настройки ситуаций, в которых показывается виртуальная клавиатура. Например, кроме включения/выключения поддержки виртуальной клавиатуры теперь можно привязать её показ к наличию сенсорного экрана и планшета на системах с подключённой мышью и без неё.
При создании скриншотов реализована функций избранного исключения из снимка выбранных окон, которая ранее была доступна только для скринкастов.
Опция для закрепления окна поверх других окон перемещена из вложенного подменю в основную часть контекстного меню, показываемого в заголовке окна.
В менеджере приложений Discover на странице со списком установленных программ по умолчанию включена разбивка на категории для упрощения поиска искомого приложения.
Вместо проявления и затухания уведомлений, они теперь плавно выезжают сбоку и уезжают за край экрана, что позволяет привлечь к ним больше внимания, но при этом не сделать их навязчивыми.
Реализована поддержка запоминания подтверждённого пользователем разрешения на доступ к захвату устройства ввода, которое раньше требовалось подтверждать при каждом запросе.
В интерфейсе запуска программ Kickoff улучшен запуск приложений нажатием Enter после быстрого набора поискового запроса.
Для просмотра изображений в формате SVG по умолчанию задействовано приложение Gwenview вместо GIMP.
Улучшена поддержка разблокировки сеанса при помощи смарткарты.
Из изменений в ветке KDE Plasma 6.8 можно отметить реализацию в виджете настройки беспроводной сети опции для автоматического выбора беспроводного канала при работе в режиме точки доступа.
