• Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости (CVE-2026-8631) в HPLIP, наборе открытых драйверов для принтеров и МФУ, позволяющие повысить свои привилегии и выполнить код в системе. Проблемы вызваны возможностью подстановки команд и переполнением буфера. Уязвимости устранены в обновлении HPLIP 3.26.4. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости в D-Bus-сервисе, используемом в qSnapper, графическом интерфейсе для управления снапшотами Btrfs. Уязвимости могут привести к повышению своих привилегий в системе (CVE-2026-41046), утечке информации об изменениях между снапшотами (CVE-2026-41047) и обходу аутентификации при доступе к Polkit (CVE-2026-41045). Наиболее опасная уязвимость вызвана отсутствием проверки символов "../" в путях, передаваемых в функцию snapper::Snapper() при обращении через D-Bus, что можно использовать для подмены файла конфигурации для libsnapper в обработчике, выполняемом с повышенными привилегиями. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-48095) в архиваторе 7-Zip, приводящая к переполнению буфера при обработке сжатых данных NTFS. Потенциально уязвимость может привести к выполнению кода атакующего при обращении через 7-Zip к специально оформленному образу файловой системы NTFS. Уязвимость устранена в версии 7-Zip 26.01. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В DNS-сервере Unbound 1.25.1 исправлено 11 уязвмостей. Наиболее опасные уязвимости: CVE-2026-33278 - потенциальное удалённое выполнение кода при валидации DNSSEC, CVE-2026-44608 - обращение к уже освобождённой памяти в коде RPZ и CVE-2026-42944 - переполнение кучи при обработке nsid. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-3593) в DNS-сервере BIND, позволяющая вызвать обращение к памяти после её освобождения и повреждение содержимого памяти через отправку специально оформленного запроса к серверу DNS-over-HTTPS. Проблема устранена в версиях BIND 9.20.23 и 9.21.22. Конфигурации не использующие DNS-over-HTTPS уязвимости не подвержены. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-47243) в Kata Containers, стеке для выполнения контейнеров с использованием изоляции на базе виртуализации, позволяющая при наличии прав root в контейнере создать с правами root символическую ссылку на стороне хост-системы. Через создание символической ссылки в /etc/cron.d можно огранизовать выполнение своего кода с правами root в хост-окружении. Уязвимость вызвана возможностью отправки прямого запроса FUSE_SYMLINK в обработчик virtiofsd, выполняемый на стороне хоста. Проблема проявляется при использовании runtime-rs и устранена в выпуске 3.31.0. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-46529) в просмотрщике документов Atril, приводящая к выполнению кода атакующего при клике на ссылку внутри специально оформленного PDF-файла, совмещающего PDF-документ и библиотеку в формате ELF. Имеется эксплоит. Аналогичная проблема присутствует в PDF-просмотрщиках Evince и Xreader. Проблема вызвана отсутствием экранирования спецсимволов shell quoting в функции ev_spawn(). Уязвимость устранена в Evince 48.2, Atril 1.28.4/ 1.26.3 и Xreader 4.6.4/3.6.7. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE не назначен) в просмотрщике справочных руководств Yelp (GNOME Help), позволяющая в обход sandbox-окружения пакетов Flatpak получить доступ к файлам основной системы через открытие специально оформленного help-файла. Уязвимость походит на прошлогоднюю проблему и отличается использованием для подстановки CSS-стиля, встроенного в SVG-файл. Проблема устранена в выпуске Yelp 49.1.
• Уязвимость (CVE-2026-41054) в haveged, фоновом процессе формирования энтропии для генератора псеведослучайных чисел, позволяющая поднять свои привилегии до пользователя root через отправку специально оформленной команды через управляющий Unix-сокет. Проблема устранена в выпуске haveged 1.9.21. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• 11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также модно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16.
• Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Десять уязвимостей (CVE не назначены) в системе кэширования данных в оперативной памяти Memcached, наиболее опасные из которых приводят к переполнению буфера при отправке специально оформленных запросов и потенциально могут могут использоваться для организации выполнения кода на сервере. Уязвимости устранены в версии Memcached 1.6.42.

Внутри проекта будет сформирован информационно-координационный центр, отвечающий за решение вопросов, связанных с безопасностью, и использующий AI для проверки и тестирования исправлений в открытых кодовых базах. Создаваемое подразделение позволит предприятиям привлекать инженеров IBM и Red Hat для решения критических проблем с безопасностью, обеспечивая при этом передачу исправлений разработчикам upstream-проектов.

Проект будет выступать площадкой, на которой предприятия смогут сообщать о выявлении проблем, устранять уязвимости, получать проверенные патчи, применимые как к продуктам Red Hat, так и к развиваемому сообществом коду, и скоординировано передавать исправления в upstream-проекты. Помимо этого IBM и Red Hat привлекут своих инженеров и AI для содействия в сопровождении upstream-проектов и корпоративных окружений, рецензирования выявляемых уязвимостей, разработки патчей и продвижения исправлений учётом сложных цепочек зависимостей.

1. Главная ссылка к новости
2. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО
3. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
4. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
5. OpenNews: Линус Торвальдс раскритиковал приватный разбор уязвимостей, выявленных при помощи AI
6. OpenNews: GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

В качестве примера ошибок в ядре, которые удалось бы избежать при использовании Rust, упомянута ошибка в подсистеме Bluetooth, остававшаяся незамеченной 15 лет, и проблема в гипервизоре Xen. В первом случае разработчик выполнил разыменование указателя без проверки, а во втором забыл снять блокировку в коде обработки ошибок. По словам Грега, большинство ошибок в ядре вызваны подобными мелочами, которые со временем накапливаются и всплывают как уязвимости. В Rust многие из подобных проблемы предотвращаются компилятором, например, Rust-абстракции для блокировок в ядре допускают получение доступа к внутренним указателям структур только после захвата соответствующей блокировки, которая снимается автоматически. Без захвата блокировки получить доступ к указателям структур на Rust не получится.

Грег считает, что подобные возможности Rust не допустили бы появления 60% ошибок, выявляемых в ядре, а выполняемые компилятором проверки избавили бы сопровождающих от траты времени на обсуждение с авторами корректности обработки ошибок и обоснованности выставления блокировок в нужном месте. Более того, внедрение поддержки Rust уже оказало благотворное влияние и на Си-код в ядре благодаря приведению в порядок Си-кода и интерфейсов, а также заимствованию некоторых приёмов разработки (например, были реализованы блокировки с ограниченной областью видимости).

Благодаря системе типов, гарантирующей соблюдение заданных правил, и применению систем непрерывной интеграции, проверяющих код на этапе сборки, при рецензировании изменений на Rust сопровождающие могут сосредоточиться на проверке логики работы, а не отслеживании манипуляций с ресурсами. Применение Rust также позволяет более внимательно относиться к данным, поступающим от оборудования или из внешних систем. Подобное достигается благодаря явному разграничению заслуживающих и не заслуживающих доверия данных на уровне системы типов: разработчику достаточно выполнить анализ при переходе из недоверительного в доверительное состояние.

Последнее время команда, отвечающая за безопасность в ядре, публикует каждый день примерно 13 отчётов об уязвимостях, что на фоне прошлой динамики выявления уязвимостей воспринимается как какое-то безумие (для примера за вчерашний день было опубликовано 277 отчётов об уязвимостях в ядре). По мнению Грега, использование Rust является одним из реальных способов добиться снижения числа ошибок в ядре, вызванных традиционными оплошностями при обработке ошибок и управлении ресурсами. В ядре поддержка Rust уже вышла за рамки эксперимента и в конце прошлого года была признана штатной возможностью ядра.

1. Главная ссылка к новости
2. OpenNews: Интервью с Грегом Кроа-Хартманом о созданных через AI отчётах об ошибках
3. OpenNews: Грегу Кроа-Хартману присуждена премия за вклад в открытое ПО
4. OpenNews: Мнение Грега Кроа-Хартмана и Кейса Кука о продвижении Rust в ядро Linux
5. OpenNews: Поддержка Rust переведена из экспериментальных в основные возможности ядра Linux
6. OpenNews: Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust

C весны 2024 года разработка MATE находилась в стагнации, но сейчас к активному сопровождению проекта подключился Виктор Карех (Victor Kareh) из компании Red Hat. Среди изменений в MATE 1.29:

• В настройку MateRROutput добавлено свойство hotplug_mode_update, использующее расширение RandR для поддержки динамического изменения разрешения устройствами вывода. На практике, изменение позволяет адаптировать окружение к изменению размера окна при запуске в системах виртуализации.
• Механизм фоновой генерации миниатюр избавлен от использования специфичных для X11 вызовов при работе в окружениях на базе Wayland. Вместо функции gdk_x11_screen_get_xscreen для получения информации о размере экрана на системах с Wayland задействован вызов gdk_monitor_get_geometry.
• В оконном менеджере marco реализованы настройки alt-tab-minimized-placement и alt-tab-urgent-placement для выбора способа отображения минимизированных окон и предупреждений в интерфейсе Alt+Tab.
• В файловом менеджере Caja реализована опция для прекращения генерации миниатюр в очень больших директориях, разрешено отсоединение вкладок в отдельные окна,
• Устранены утечки памяти и проблемы с выбором цвета через mate-color-select.

1. Главная ссылка к новости
2. OpenNews: Основатель и лидер Ubuntu MATE объявил об уходе из проекта
3. OpenNews: Релиз среды рабочего стола MATE 1.28 с экспериментальной поддержкой Wayland
4. OpenNews: Инициатива по портированию приложений MATE для Wayland

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Главные нововведения в Cozystack 1.4.0:

• Представлен новый интерфейс управления, основанный на проекте cozystack-ui. Старый стек openapi-ui и BFF заменён фронтедом на React 19 и TypeScript, который работает напрямую с Kubernetes API. Кроме того, в интерфейсе появилась поддержка динамических VNC WebSocket URL для виртуальных машин, runtime-брендинга через ConfigMap, чтения ApplicationDefinition для каталога приложений и перенаправления старых адресов /openapi-ui/*.
• Для worker-узлов тенантных кластеров реализовано постоянное хранилище. Виртуальные машины worker-узлов теперь используют PVC-диски через KubeVirt dataVolumeTemplates вместо emptyDisk. Благодаря этому kubelet-сертификаты, kubeconfig и состояние containerd сохраняются после перезапуска виртуальной машины. Поле ephemeralStorage переименовано в diskSize, добавлена настройка storageClass на уровне NodeGroup. В процессе миграции старые значения автоматически преобразуются.
• Добавлена новая схема пресетов ресурсов по аналогии с типами виртуальны машин у облачных провайдеров. Пресеты описываются в формате <series>.<size>, где серии t1, c1, s1, u1 и m1 задают разные соотношения CPU и памяти, а размеры варьируются от nano до 4xlarge. Всего доступно 40 вариантов. Старые имена пресетов сохранены как устаревающие алиасы и автоматически мигрируются без изменения фактических лимитов CPU и памяти.
• Расширена система декларативного резервного копирования управляемых приложений. Контроллер backupstrategy получил стратегии для PostgreSQL, MariaDB, ClickHouse и FoundationDB. Поддерживаются BackupClass, Plan, BackupJob и RestoreJob, плановые и разовые бэкапы, восстановление на месте и восстановление в копию. Данные выгружаются в S3-совместимое объектное хранилище, а учётные данные передаются через Kubernetes Secret.
• Добавлен необязательный системный пакет hami с HAMi 2.8.1 для совместного обращения к NVIDIA GPU в тенантных кластерах. Пользовательские workload'ы могут запрашивать ресурсы nvidia.com/gpu, nvidia.com/gpumem и nvidia.com/gpucores, что позволяет распределять vGPU между несколькими pod'ами. Включение выполняется через параметр hami.enabled и требует NVIDIA GPU Operator.
• Появилась единая настройка publishing.proxyProtocol для включения протокола PROXY на хостах с ingress-nginx. При её активации автоматически разворачивается Ouroboros, устраняющий проблему hairpin-NAT для обращений из кластера к его публичным именам. Для тенантных кластеров предусмотрено дополнение addons.ouroboros.enabled.
• В cozystack-operator добавлены настройки генерации HelmRelease: interval, retry interval, install timeout, upgrade timeout и max history. Стратегия повторных попыток переведена на RetryOnFailure, а для отдельных приложений можно задавать timeout через аннотацию release.cozystack.io/helm-install-timeout. Это устраняет ряд проблем при холодном запуске тенантных кластеров.
• Для worker-узлов тенантного Kubernetes автоматически рассчитываются резервирование ресурсов kubelet для CPU и памяти. Аннотации cluster-autoscaler теперь отражают выделяемые ресурсы, а не общий объём CPU и памяти.
• Обновлены базовые компоненты платформы: Talos 1.13.0, cert-manager 1.20.2, Cilium 1.19.3, NVIDIA GPU Operator 26.3.1, etcd-operator 0.4.3, KubeVirt 1.8.2, cozy-proxy 0.3.0, linstor-csi 1.10.6. Добавлены новые пакеты HAMi 2.8.1 и Ouroboros 0.7.2.
• Улучшена диагностика: cozyreport теперь собирает сведения о Flux, cert-manager, host-окружении, Application, ApplicationDefinition и Tenant-ресурсах, а также формирует summary.txt с краткой сводкой текущих проблем. Добавлены Grafana-дашборды и правила сбора данных для мониторинга GPU.
• Исправлены ошибки в MongoDB, Kafka, tenant Kubernetes bootstrap, etcd, Velero, Kamaji, LINSTOR, SeaweedFS, Harbor, objectstorage-controller, API и других компонентах. В API устранена IDOR-уязвимость в обработчиках TenantNamespace Get и Watch.

При обновлении следует учитывать, что worker-узлы тенантных кластеров будут один раз последовательно заменены из-за перехода на постоянные PVC-диски. Виртуальные машины KubeVirt, запущенные до обновления платформы, потребуют холодной перезагрузки после перехода на KubeVirt 1.8.2, так как живая миграция старых virt-launcher-процессов может завершаться ошибкой из-за изменения версии QEMU. Кроме того, параметры PostgreSQL теперь типизированы и проверяются по denylist, а cert-manager 1.20 по умолчанию запускает контейнеры с UID/GID 65532.

1. Главная ссылка к новости
2. OpenNews: Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes

Автор проекта - Андрей Квапил (@kvaps), основатель Cozystack и участник некоммерческой организации Piraeus, в рамках которой развиваются оператор и CSI-драйвер LINSTOR для Kubernetes. Автор известен в Kubernetes-сообществе как популяризатор LINSTOR и неоднократно выступал с техническими докладами по теме. Изначально разработка задумывалась как небольшая "пятничная" инициатива, однако в итоге превратилась примерно в 20 дней непрерывной работы. На текущий момент проект развивается как исследовательский, однако в перспективе рассматривается как возможная замена LINSTOR в роли системы хранения по умолчанию в Cozystack.

В качестве причин создания нового проекта упоминаются сложности с сопровождением оригинального проекта и передачей изменений в основной проект, а также архитектурные ограничения LINSTOR. Оригинальный проект использует "request-based" модель обработки запросов в реальном времени, который показывает проблемы на масштабах, тогда как декларативный reconciliation-подход Kubernetes и framework controller-runtime, по мнению автора, значительно лучше подходит для построения распределённых систем.

В отличие от LINSTOR, архитектура Blockstor полностью основана на подходе Kubernetes controller-runtime. Конфигурация и текущее состояние системы представлены в виде Kubernetes CRD-объектов, а сама система не рассчитана на работу вне Kubernetes-кластера.

Среди основных возможностей Blockstor:

• Реплицируемые поверх DRBD тома на базе LVM, LVM-thin, ZFS, ZFS-thin и файловых бэкендов.
• Автоматическое размещение реплик с учётом зон, свойств узлов и правил "replicas-on-different".
• Поддержка TieBreaker, quorum и изменения размера томов без остановки работы.
• Возможность работы без DRBD в режиме локального (single-replica diskful) или бездискового хранилища.
• Шифрование томов через LUKS.
• Поддержка снапшотов: создание, откат, клонирование и восстановление в виде нового ресурса.
• Перенос снапшотов внутри кластера через zfs send/recv и thin-send-recv.
• Создание storage pool’ов из физических дисков.
• Собранные для разных архитектур контейнерные образы (linux/amd64 и linux/arm64), опубликованные в GHCR.

Особенностью проекта стало активное использование AI-инструментов при разработке. Практически весь код был подготовлен с помощью Claude Code (модель Opus 4.7) компании Anthropic. Разработка велась почти круглосуточно в течение примерно 20 дней. В отдельные моменты одновременно работало до 60 AI-агентов, а общий диалог разработки составил около 1320 запросов со стороны автора и порядка 36 тысяч ответов модели в рамках одной непрерывной сессии. На выходе получилось 1500 коммитов, в которых 83 тысячи строк кода заняла реализация и ещё 137 тысяч строк кода тесты. По предварительной оценке, суммарно было израсходовано около 18.9 млрд токенов, а эквивалентная стоимость такого объёма при использовании API-тарифов составила бы около 40 тысяч долларов.

Автор первоначально рассчитывал на почти полностью автономную разработку силами AI-модели, однако сложная логика DRBD потребовала постоянного участия человека. Наиболее сложными оказались сценарии схождения DRBD-состояний, работа с Generation Identifier (GI), пропуска изначальной синхронизации и обработка split-brain сценариев. Поскольку оригинальный LINSTOR распространяется под лицензией GPL, использовать его код напрямую было нельзя. Основная часть реализации создавалась на основе анализа API-контрактов, поведения утилит, Python-клиента LINSTOR, а также совместимых по лицензии проектов, включая piraeus-operator и CSI-драйвер.

В наиболее сложных случаях применялась схема с разделением ролей AI-агентов: один агент анализировал исходный код LINSTOR и формировал текстовую спецификацию поведения, после чего другой агент реализовывал функциональность исключительно по этой спецификации без прямого копирования исходного кода. Из-за отсутствия открытых тестов у оригинального проекта тестовую базу пришлось формировать самостоятельно.

1. Главная ссылка к новости
2. OpenNews: В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9
3. OpenNews: Релиз распределенного реплицируемого блочного устройства DRBD 9.2.0
4. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
5. OpenNews: Опубликован код COSI-драйвера для SeaweedFS
6. OpenNews: Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes

• CVE-2026-4408 - уязвимость в реализации сервера SAMR (Security Account Manager) поверх DCE/RPC, применяемого для управления учётными данными и БД c пользователями и группами. Проблема затрагивает файловые серверы и классические контроллеры доменов (не Active Directory), запускающие процесс samba-dcerpcd как системный сервис (по умолчанию не запускается) и использующие скрипт проверки пароля, заданный в smb.conf через настройку "check password script" с использованием символа подстановки "%u" в команде запуска (конфигурации без подстановки "%u" проблеме не подвержены).

  Уязвимость вызвана тем, что RPC-сервисы SamValidatePasswordChange и SamValidatePasswordReset передают логин и пароль в скрипт, заданный через настройку "check password script", без экранирования спецсимволов при подстановке имени пользователя через "%u". Уязвимость позволяет выполнить произвольные shell-команды на сервере при указании специально оформленного имени пользователя. В качестве обходного пути защиты предлагается передавать в скрипт имя пользователя не через подстановку "%u", а через переменную окружения SAMBA_CPS_ACCOUNT_NAME.

• CVE-2026-4480 - уязвимость в сервере вывода на печать, использующем настройку "print command" с символом подстановки "%J". Проблема вызвана тем, что заданное пользователем описание работы вывода печать передаётся через подстановку "%J" без должного экранирования спецсимволов, что позволяет удалённо выполнить свой код при отправке задания на печать, в том числе в доступном по умолчанию гостевом режиме. В качестве обходного пути защиты можно удалить подстановку "%J" из настройки "print command" в smb.conf.

Также в новых выпусках устранено ещё несколько уязвимостей, дающих возможность обойти проверку прав доступа к xattr-атрибуту "reparse point", вторично перезаписать файл при использовании vfs-модуля WORM (Write-Once, Read Many), установить сертификат через HTTP без верификации и вызвать аварийно завершение сервера AD DC WINS через отправку специально оформленного UDP-пакета.

1. Главная ссылка к новости
2. OpenNews: Выпуск Samba 4.24.0
3. OpenNews: Удалённая root-уязвимость в Samba
4. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
5. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
6. OpenNews: Уязвимость в Samba, позволяющая удалённо выполнить код на сервере

Навигация в браузерном интерфейсе осуществляется при помощи VR-контроллеров или через отслеживание движения глаз, а для ввода данных в web-формы применяется виртуальная клавиатура или система голосового ввода, дающая возможность заполнять формы и отправлять поисковые запросы с использованием развиваемого системы распознавания речи. Возможен просмотр в браузере пространственных видео, снятых в режиме 360 градусов. В качестве стартовой страницы браузер предоставляет интерфейс для доступа к избранному контенту и навигации по коллекции, адаптированных для 3D-шлемов игр, web-приложений, 3D-моделей и пространственных видео.

Готовые сборки формируются для платформы Android и поддерживают такие 3D-шлемы, как Huawei VR Glass, Huawei Vision Glass, VIVE Focus, Lynx R1, Lenovo A3, Magic Leap 2, Meta Quest 2/3/Pro, Oculus Quest и Pico 4/4E. В режиме тестирования возможен запуск на обычном Android-смартфоне без 3D-шлема. Код Wolvic написан на языках Java и C++, и распространяется под лицензией MPLv2.

Среди изменений в новых выпусках:

• Предоставлена возможность добавления и использования по умолчанию своих поисковых движков.
• Задействован новый движок для распознавания речи, применяемый для голосового поиска и позволяющий выполнять транскрибирование. В движке задействованы модели автоматического распознания речи от проекта Vosk, загружаемые по мере необходимости и занимающие менее 50 МБ. Распознавание производится на устройстве без обращения к внешним сервисам. Поддерживаются английский, испанский, немецкий, итальянский, китайский, французский и русский языки.
• Реализована корректная работа с сервисами, такими как Google Earth, предлагающими установить отдельное приложение. Для подобных программ Wolvic теперь откатывается на использование web-версии.
  
  
• Добавлены четыре новых виртуальных окружения, включаемые через диалог "Settings > Environment".
• Обеспечено сохранение состояния браузера после обновления - все открытые до обновления вкладки теперь сохраняются.
• Расширены возможности виджетов для выбора даты и времени.
• Возобновлена поддержка 3D-шлема Lynx-R1.
• Браузерный движок Gecko и компоненты Mozilla для Android обновлены до версии 140, соответствующей Firefox 140 (в прошлых выпусках использовались версии Mozilla Android Components 128 и Gecko 128).

1. Главная ссылка к новости
2. OpenNews: Первый выпуск редакции браузера Wolvic с движком Chromium
3. OpenNews: Опубликован Wolvic 1.7, web-браузер для устройств виртуальной реальности
4. OpenNews: Представлен wxrd, композитный сервер на базе Wayland для систем виртуальной реальности
5. OpenNews: Плагин к KWin для использования KDE в виртуальной реальности
6. OpenNews: Выпуск открытой платформы виртуальной реальности Monado 25.1.0

1. Главная ссылка к новости
2. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации
3. OpenNews: Vulkan стал официальным графическим API платформы Android. Третий бета-выпуск Android 16
4. OpenNews: Chromium адаптирован для Wayland. Raspberry Pi будет поставляться с поддержкой Wayland
5. OpenNews: Обновление проекта Ozone-wayland, занимающегося портированием Chromium для Wayland
6. OpenNews: В сборки Chromium и Electron будет добавлена поддержка Wayland

Основные изменения:

• В модуле ядра nvidia-drm реализована поддержка API для использования аппаратных возможностей преобразования цвета, появившегося в ядре Linux 6.19. Изменение позволяет композитным серверам на базе Wayland вынести на сторону дисплейного контроллера NVIDIA операции преобразования цвета, например, используемые для HDR.
• Добавлена возможность создания логических устройств Vulkan на основе нескольких физических устройств. Для создания групп устройств задействовано Vulkan-расширение VK_KHR_device_group_creation. Включение осуществляется через переменную окружения "__VK_ENABLE_DEVICE_GROUPS=1".
• Реализованы Vulkan-расширения:
  • VK_EXT_shader_long_vector
  • VK_KHR_internally_synchronized_queues
  • VK_NV_push_constant_bank
• При использовании Wayland добавлена поддержка конфигураций фреймбуфера EGL, использующих 16-разрядные числа с плавающей запятой (FP16) для представления цветовых значений пикселей.
• Реализована поддержка DRM-модификаторов формата (DRM format modifier) для многоплоскостных форматов YCbCr.
• Добавлена возможность применения операции mmap к файловым дескрипторам, экспортированным из дискретных GPU NVIDIA.
• Прекращена поддержка использования X11-драйвера NVIDIA с X-расширением Xinerama.
• Внесены оптимизации, повысившие производительность игры Starfield.
• Устранены регрессии в производительности API Vulkan, проявлявшиеся в игре "Doom: The Dark Ages" на системах с драйверами NVIDIA 590.x.

1. Главная ссылка к новости
2. OpenNews: Выпуск проприетарного драйвера NVIDIA 595.58.03
3. OpenNews: NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA
4. OpenNews: NVIDIA начала тестирование Linux-клиента для облачного игрового сервиса GeForce NOW
5. OpenNews: Состояние поддержки Wayland в проприетарных драйверах NVIDIA
6. OpenNews: Disney, DeepMind и NVIDIA разработали движок симуляции физических процессов Newton

Идея не переведена в разряд обязательных требований и пока находится на стадии обсуждения и экспериментов. На первый взгляд, разработчик, пытающийся обмануть сопровождающего и выдать патч, созданный через AI, за собственноручно написанный код, может воспользоваться AI и для генерации записи сеанса в asciinema. Эксперименты показали, что искусственность подобных записей сразу бросается в глаза, так как не отражает свойственных человеку действий, ошибок и размышлений в ходе работы. Типовые AI-модели обучены на уже готовом коде, но их обучение в полной мере не охватывало сам процесс написания кода людьми.

1. Главная ссылка к новости
2. OpenNews: Релиз минималистичного web-браузера Dillo 3.3.0
3. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI
4. OpenNews: Защита от мусорных AI-изменений на GitHub. Оценка влияния вайб-кодинга на экосистему открытого ПО
5. OpenNews: Сопровождающие Godot перегружены из-за обилия сомнительных изменений, созданных с помощью AI
6. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

В числе основателей проекта выступили 12 компаний и организаций, среди которых Qualcomm Technologies, Meta, Analog Devices, Baochip, SIMPLE Crypto Association, Tenstorrent, Winbond и ZeroRISC. Проект развивается на нейтральной площадке, не зависящей от отдельных производителей, и управляется участниками из образованного вокруг него сообщества.

Pavona предоставляет IP-блоки с ядрами RISC-V (Ibex RV32IMCB и VexII), криптоускорителями с поддержкой классических и постквантовых криптоалгоритмов, контроллерами OTP/flash, SRAM, JTAG, ADC, I2C, GPIO и SPI. Среди реализованных на аппаратном уровне криптоалгоритмов: HMAC, KMAC, AES, EDN, ASCON, ML-KEM, ML-DSA, DSA-SHA2 и SLH-DSA-SHAKE. Предоставляется полная документация и ресурсы для верификации перед производством (Design Verification collateral) и RTL-код. Помимо аппаратных компонентов проектом также предоставляется программное обеспечение, такое как криптографическая библиотека для интеграции с криптоускорителями, прошивки и сопутствующие утилиты.

На базе Pavona подготовлены две эталонные реализации: обособленный чип со встроенными криптографическими возможностями для использования в роли "Root of Trust" и реализация "Root of Trust" для архитектуры чиплетов, опробованные в производстве с использованием техпроцесса TSMC 3nm (N3). Чиплеты позволяют создавать комбинированные гибридные интегральные схемы (многочиповые модули), образованные из независимых полупроводниковых блоков. Отмечается, что Pavona стал первым проектом, предоставляющим готовый к производству встраиваемый в чипы открытый стек с поддержкой постквантовых криптографических алгоритмов (PQC).

1. Главная ссылка к новости
2. OpenNews: Intel, AMD и ARM представили UCIe, открытый стандарт для чиплетов
3. OpenNews: Программно-аппаратная платформа CHERIoT 1.0 для повышения безопасности кода на языке Си
4. OpenNews: Микроядро Xous и открытый чип Baochip-1x для создания безопасных встраиваемых систем
5. OpenNews: Готов к производству первый прототип открытого чипа Libre-SOC
6. OpenNews: В Chromebook началась интеграция открытых чипов OpenTitan

Дистрибутив по возможности бинарно совместим с Red Hat Enterprise Linux и может использоваться в качестве замены RHEL 10.2 и CentOS 10 Stream. Помимо ребрендинга и удаления специфичных для RHEL пакетов в AlmaLinux 10.2 отмечены следующие отличия от RHEL 10.2:

• Опубликован репозиторий пакетов, собранных для архитектуры i686, а также образы контейнеров в формате Docker для 32-разрядных систем x86. Компания Red Hat отказалась от формирования 32-разрядных сборок для архитектуры x86 в выпуске RHEL 7, опубликованном в 2014 году. В ветке CentOS 7 сборка 32-разрядных пакетов была продолжена командной CentOS Linux AltArch SIG , но начиная с ветки CentOS 8 формирование подобных сборок прекратилось. Причиной возрождения сборок для архитектуры i686 в AlmaLinux стало желание предоставить возможность запуска старых приложений, доступных только в форме исполняемых файлов для 32-разрядных систем. Сборки также могут быть полезны для формирования 32-разрядных окружений для тестирования кода в системах непрерывной интеграции и для запуска контейнеров для 32-разрядных программ.
• Возвращена поддержка файловой системы Btrfs. Добавлена возможность разметки накопителей с использованием Btrfs в инсталляторе, обеспечена установка модуля ядра btrfs.ko, возвращён набор утилит btrfs-progs, а также проведена работа по адаптации работы с Btrfs стека управления хранением данных и проверена корректность функционирования пакетов bcc, buildah, cockpit, ignition, libblockdev, libguestfs, osbuild, osbuild-composer, podman, pykickstart, python-blivet, skopeo, udisks2 и virt-v2v в окружениях с Btrfs. Компания Red Hat объявила ФС Btrfs устаревшей в выпуске RHEL 7.4 (2017 год) и полностью прекратила её поддержку в ветке RHEL 8.
• По умолчанию активирован репозиторий пакетов CRB (CodeReady Builder), в котором поставляется подборка пакетов, по умолчанию не предлагаемых в Red Hat Enterprise Linux, таких как приложения для разработчиков, дополнительные библиотеки и обвязки, а также пакеты с отладочными данными, документацией, заголовочными файлами, статическими сборками и примерами кода (пакеты "-devel", "-example", "-doc" и "-static"). Среди прочего в CRB присутствуют библиотеки, использующиеся в качестве зависимостей в пакетах из репозитория EPEL (Extra Packages for Enterprise Linux).
• Cформированы пакеты для установки драйверов NVIDIA и стека CUDA. Драйверы могут использоваться в конфигурациях с UEFI Secure Boot. Модули ядра из официального набора проприетарных драйверов от компании NVIDIA не могут быть загружены в режиме UEFI Secure Boot, так как они не заверены цифровой подписью дистрибутива. Данное ограничение удалось обойти благодаря использованию открытых компанией NVIDIA модулей ядра, на базе которых сформирован собственный пакет nvidia-open-kmod с модулями, заверенными цифровой подписью AlmaLinux. Отдельно оформлен пакет almalinux-release-nvidia-driver с конфигурацией поддерживаемого компанией NVIDIA внешнего репозитория, из которого выполняется загрузка CUDA-драйверов и проприетарных компонентов драйвера NVIDIA, работающих в пространстве пользователя.
• Сформированы отдельные сборки для второй версии микроархитектуры x86-64 (x86-64-v2), которые сопровождаются параллельно с базовыми сборками x86-64, формируемыми с оптимизациями для микроархитектуры x86-64-v3, которая используется в RHEL 10. Дополнительная поддержка x86-64-v2 позволяет обеспечить совместимость с CPU старее Intel Haswell и AMD Excavator, спроектированными до 2013 года. Помимо штатных репозиториев сборки x86-64-v2 также подготовлены и для пакетов из репозитория EPEL.
• Возвращены серверные и клиентские реализации протокола SPICE, позволяющего организовать удаленную работу с рабочим столом, функционирующим в виртуальном окружении под управлением QEMU/KVM. В отличие от протоколов VNC и RDP в SPICE отрисовка содержимого экрана и обработка аудиопотоков производится на стороне клиента, а не на сервере. В RHEL поддержка SPICE была прекращена в выпуске 9.0.
• Возвращено использование процессорного регистра %rbp в качестве базового указателя на кадр стека, содержащий адреса возврата и переменные функции (frame pointer). Использование указателя на кадры стека позволяет использовать в дистрибутиве дополнительные возможности для трассировки и профилирования системы.
• Реализована возможность использования гипервизора KVM на системах с процессорами IBM POWER. В RHEL подобная поддержка была прекращена в ветке 9.0.
• Поддерживается репозиторий Synergy, в котором размещены пакеты, отличающиеся от Red Hat Enterprise Linux. В настоящее время в репозитории Synergy уже опубликованы пакеты c пользовательским окружением Pantheon, развиваемым проектом Elementary OS, и утилитой Warpinator, предназначенной для шифрованного обмена файлами между двумя компьютерами.
• Реализована возможность загрузки в режиме UEFI Secure Boot для систем с процессорами Intel/AMD и ARM.
• Возобновлена поддержка более 150 аппаратных устройств, не поддерживаемых в RHEL 10.2. Например, возвращены идентификаторы старых PCI-устройств в драйверах:
  • aacraid - Dell PERC2, 2/Si, 3/Si, 3/Di, Adaptec Advanced Raid Products, HP NetRAID-4M, IBM ServeRAID & ICP SCSI
  • be2iscsi - Emulex OneConnectOpen-iSCSI для BladeEngine 2 и 3
  • be2net - Emulex BladeEngine 2 and 3 adapters *
  • hpsa - HP Smart Array Controller
  • lpfc - Emulex LightPulse Fibre Channel SCSI
  • megaraid_sas - Broadcom MegaRAID SAS
  • mlx4_core - Mellanox Gen2 и ConnectX-2
  • mpt3sas - LSI MPT Fusion SAS 3.0
  • mptsas - Fusion MPT SAS Host
  • qla2xxx - QLogic Fibre Channel HBA
  • qla4xxx - QLogic iSCSI HBA.

Дистрибутив AlmaLinux основан компанией CloudLinux в ответ на преждевременное сворачивание поддержки CentOS 8 компанией Red Hat (выпуск обновлений для CentOS 8 прекращён в конце 2021 года, а не в 2029 году, как предполагали пользователи). Проект курирует отдельная некоммерческая организация AlmaLinux OS Foundation, которая была создана для разработки на нейтральной площадке с участием сообщества и c использованием модели управления, похожей на организацию работы проекта Fedora. Дистрибутив бесплатен для всех категорий пользователей. Все наработки AlmaLinux публикуются под свободными лицензиями.

Кроме AlmaLinux, в качестве альтернатив классическому CentOS также позиционируются Rocky Linux (развивается сообществом под руководством основателя CentOS), Oracle Linux, SUSE Liberty Linux и EuroLinux. Кроме того, компания Red Hat предоставила возможность бесплатного использования RHEL в организациях, развивающих открытое ПО, и в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
3. OpenNews: Доступен дистрибутив AlmaLinux 10.1
4. OpenNews: Развитие AlmaLinux для профессиональных видеостудий
5. OpenNews: В AlmaLinux появилась поддержка архитектуры RISC-V
6. OpenNews: В AlmaLinux возобновлена сборка пакетов для 32-разрядных систем x86

Уязвимость позволяет добиться продолжения выполнения фонового JavaScript-обработчика (Service Worker) даже после закрытия окна браузера, что даёт возможность атакующему организовать постоянный контроль за браузером с возможностью загрузки и выполнения в любой момент своего JavaScript-кода в контексте своей страницы. Сценарий атаки сводится к тому, что атакующий может добиться открытия своей страницы в версии браузера, не содержащей уязвимостей, после чего дождаться выявления серьёзной уязвимости в браузере и организовать выполнение эксплоита без необходимости повторного открытия пользователем страницы атакующего. Суть метода в создании страницы с Service Worker-ом, выполняющей операцию загрузки данных, которая никогда не прерывается.

По мнению выявившего проблему исследователя, уязвимость может использоваться для создания ботнета из браузеров, пользователи которых не подозревают, что один раз закрепившись, атакующий может удалённо выполнить JavaScript-код на их устройстве без совершения действий с их стороны. Подобный ботнет и без эксплуатации других уязвимостей может применяться для организации DDoS-атак и проксирования вредоносного трафика через системы жертв. Проблема затрагивает все браузеры на движке Chromium.

1. Главная ссылка к новости
2. OpenNews: Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome

Поправки сужают понятия "провайдер операционной системы" и "приложение", к которым применяются требования по обеспечению верификации возраста. В поправках из действия закона выведены физические лица и организации, распространяющие операционные системы или приложения под лицензиями, разрешающими копирование, распространение и внесение изменений в код. Исключение также распространяется на программное обеспечение, которое не предлагается потребителям в форме отдельных исполняемых файлов через магазины-каталоги приложений.

В случае утверждения поправок, разработчики открытых приложений и дистрибутивы, такие как Fedora, Ubuntu, Arch Linux и Debian, поставляющие открытое ПО, будут не обязаны выполнять требования по верификации возраста. Дистрибутивам и платформам, таким как SteamOS, включающим проприетарные программы или завязанным на внешние проприетарные каталоги приложений, придётся учитывать требования о верификации возраста.

Принятый в Калифорнии Закон о верификации возраста предписывает добавление в операционные системы возможности для указания возраста пользователя на этапе регистрации учётной записи и предоставления приложениям программного интерфейса для определения возраста текущего пользователя. В соответствии с требованиями закона, загруженные и запущенные приложения должны иметь возможность получать от операционной системы информацию о возрасте в 4 градациях: младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше.

Разработчик приложения должен использовать полученную информацию о возрасте для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка. Закон вступает в действие в Калифорнии 1 января 2027 года, а в Колорадо - 1 июля 2028 года.

Помимо этого, 17 марта в Бразилии вступил в силу закон 15.211/2025 "Digital ECA", который отличается значительными штрафами и жёсткими требованиями - производителям операционных систем и магазинов приложений необходимо проводить строгую проверку возраста с применением методов верификации, таких как проверка документов или прохождение аутентификации в уполномоченных сервисах. При этом из области действия закона выведена "базовая функциональность, необходимая для работы интернета, включая открытые и универсальные технические протоколы и стандарты", а основная ответственность ложится не на операционные системы, а на приложения, которые при необходимости должны внедрять собственные механизмы для предотвращения несанкционированного доступа несовершеннолетних.

1. Главная ссылка к новости
2. OpenNews: В законопроект о верификации возраста CO SB51 добавлено исключение для открытых проектов
3. OpenNews: Проект Arch Linux 32 заблокировал доступ из Бразилии из-за закона о верификации возраста
4. OpenNews: Создан дистрибутив Ageless Linux для противодействия законам о проверке возраста
5. OpenNews: В Калифорнии утверждён законопроект об интеграции в ОС API для проверки возраста
6. OpenNews: Создан форк systemd без хранения возраста. GrapheneOS отказался верифицировать возраст