Другие расходы:

• Расходы на не связанные с ядром проекты сократились с $193.7 млн до $181.9 млн (63.8% от всех расходов);
• Расходы на поддержание инфраструктуры сократились с $22.69 млн до $17.7 млн (6.2%);
• Затраты на программы обучения и сертификации снизились c $23.1 млн до $21.6 млн (7.6%);
• Затраты на корпоративные операции сократились с $18.9 млн до $15.8 млн (5.5%);
• Расходы на проведение мероприятий выросли с $15.2 млн до $16.8 млн (5.9%);
• Затраты на сопровождение сообщества выросли с $13.7 млн до $15.7 млн (5.5%);
• Расходы на международные операции выросли с $5.6 млн до $6.7 млн (2.3%).

Выручка:

• 42.8% ($133.3 млн, год назад - $125.1 млн, два года назад - $118.2 млн) от всех полученных средств приходится на пожертвования и взносы, участников организации;
• 26.8% ($83.57 млн, год назад - $73.6 млн, два года назад - $67 млн) - целевая поддержка проектов;
• 18.8% ($58.6 млн, год назад - $54.5 млн, два года назад - $49.5 млн) - поддержка мероприятий, а также регистрационные взносы на конференциях;
• 9.5% ($29.6 млн, год назад - $36.1 млн, два года назад - $27.2 млн) - оплата обучающих курсов и получение сертификатов.

Число курируемых в Linux Foundation проектов приблизилось к отметке 1500 (год назад было около 1300, два года назад ~ 1100). Наибольшее число проектов Linux Foundation связанны с облачными технологиями, контейнерами и виртуализацией - 23% (год назад 23%), с сетевыми технологиями 14% (15%), искусственным интеллектом 12% (11%), web-разработкой 10% (11%), безопасностью 5% (5%), блокчейном 4% (4%) и интернетом вещей 4% (4%).

1. Главная ссылка к новости
2. OpenNews: Доля расходов Linux Foundation на разработку ядра уменьшилась в 2024 году до 2.3%
3. OpenNews: Годовой отчёт Linux Foundation за 2023 год
4. OpenNews: Проект GNOME опубликовал финансовый отчёт за 2023 год
5. OpenNews: Компания Mozilla опубликовала финансовый отчёт за 2023 год
6. OpenNews: Фонд Sovereign профинансирует Scala, Servo, Drupal, PHP, OpenSSL, OpenPrinting, R и systemd

Aurora Embedder, отвечающий за интеграцию фреймворка Flutter с ОС Аврора, ранее разрабатывался как закрытый продукт и распространялся только в форме готовых сборок Flutter для ОС Аврора. Отныне код Aurora Embedder открыт под лицензией BSD. Flutter используется в ОС Аврора для быстрого и недорогого портирования существующих мобильных приложений. Применение Flutter позволяет использовать одну общую кодовую базу для сборки мобильных приложений для Android, iOS и Аврора.

1. Главная ссылка к новости
2. OpenNews: Проект Flock основал форк фреймворка Flutter
3. OpenNews: Google и Canonical реализовали во Flutter возможность создания десктоп-приложений для Linux
4. OpenNews: Google представил фреймворк Flutter 2 и язык Dart 2.12
5. OpenNews: Выпуск мобильной ОС Sailfish 5.0
6. OpenNews: Открыт инструментарий для разработки на языке Kotlin для ОС Аврора

Среди изменений в новом выпуске:

• Добавлена частичная поддержка стандартной Си-библиотеки Musl, включаемая через выставление значения "musl" в опции "libc" в сборочной системе Meson. Из-за того, что библиотека Musl не предоставляет функциональность NSS, при сборке systemd с Musl недоступны компоненты nss-systemd, nss-resolve, systemd-homed, systemd-nsresourced, systemd-userdbd, а также параметр DynamicUser и возможность непривилегированного запуска systemd-nspawn. Разработчики systemd пока не гарантируют, что поддержка Musl останется в будущих выпусках. Решение будет зависеть от успешности развития прослойки, реализующей дополнительную функциональность поверх Musl, а также востребованности проекта и сообщений о специфичных для Musl ошибках.
• В утилиту run0, преподносимую как безопасная замена программы sudo, работающая поверх systemd-run, добавлена опция "--empower", позволяющая запустить новый сеанс с повышенными привилегиями, не переключаясь на пользователя root. Выполнение привилегированных действий без смены UID организовано через выставление capabilities-флагов, таких как CAP_SYS_ADMIN, достаточных для обращения к большинству привилегированных системных вызовов. Запускаемые процессы также помещаются в отдельную группу "empower", для которой предоставлен доступ к большинству действий Polkit.
• Решено удалить в следующем выпуске поддержку скриптов сервисов в формате System V. К удалению намечены компоненты systemd-sysv-install, systemd-rc-local-generator и systemd-sysv-generator. В следующем релизе также намечено повышение требований к минимальным версиям: ядро Linux 5.10, glibc 2.34, openssl 3.0.0, python 3.9.0, libxcrypt 4.4.0, util-linux 2.37, elfutils 0.177, cryptsetup 2.4.0, libseccomp 2.4.0.
• В рамках инициативы по сокращению зависимостей у libsystemd реализована динамическая загрузка библиотек libacl, libblkid, libseccomp, libselinux, libmount при помощи вызова dlopen() в ситуациях, когда их функции действительно необходимы. Через dlopen() также реализована работа с подсистемой аудита Linux и с PAM. Функциональность, ранее вызываемая через библиотеку-прослойку libcap, встроена в libsystemd.
• В systemd-resolved добавлена возможность прикрепления локальных обработчиков, вызываемых при каждом запросе резолвинга локальных имён. Обработчики размещаются в каталоге /run/systemd/resolve.hook/.
• В БД с данными о пользователях добавлено поле UUID, а в утилиту userdbctl добавлена опция "--uuid" для поиска по UUID.
• Обеспечено игнорирование файлов конфигурации с именами, оканчивающимися на ".ignore".
• В systemd-importd реализована встроенная логика работы с TAR-архивами, использующая libarchive место вызова утилиты GNU tar. Реализована возможность запуска systemd-machined и systemd-importd в привязке к пользователям, а не на системном уровне, с загрузкой системных образов в ~/.local/state/machines/. Для выбора режима работы в утилиту importctl добавлены опции "--user" и "--system".
  
  
  
• Режим хранения журнала по умолчанию изменён с 'auto' на 'persistent' (ранее режим зависел от наличия каталога /var/log/journal).
• В systemd-networkd и systemd-nspawn прекращена поддержка создания правил трансляции адресов (NAT) через iptables/libiptc. Оставлена только поддержка nftables.
• В systemd-boot и systemd-stub прекращена поддержка TPM 1.2 (оставлена поддержка TPM 2.0).
• В systemd-machined по умолчанию обеспечено монтирование "скрытых" дисковых образов, имя которых начинается с точки, в режиме только для чтения.
• Расширен API на базе протокола Varlink, который теперь может применяться для доступа к настройкам сервисов. Реализованы IPC-вызовы Reload() и Reexecute(). Добавлены вызовы для доступа к функциональности и настройкам systemd-repart, systemd-resolved и systemd-networkd.
• Добавлена настройка ExecReloadPost, позволяющая организовать запуск команд после перезагрузки конфигурации сервиса.
• Для сервисов реализованы свойства OOMKills и ManagedOOMKills, содержащие число процессов, принудительно завершённых ядром или systemd-oomd из-за нехватки памяти.
• Для временных сервисов добавлено свойство RootDirectoryFileDescriptor, определяющее файловый дескриптор корневого каталога.
• Добавлена настройка UserNamespacePath, позволяющая привязать unit к пространству идентификаторов пользователей (user namespace) через указание пути в псевдо-ФС /proc, по аналогии с настройками IPCNamespacePath и NetworkNamespacePath. В systemd-nspawn для указания сетевого пространства имён в секцию [Network] файлов .nspawn добавлена настройка NamespacePath.
• В systemd-sysext и systemd-confext реализована поддержка отдельных файлов конфигурации /etc/systemd/systemd-sysext.conf и /etc/systemd/systemd-confext.conf. Добавлена возможность использования переменной окружения SYSTEMD_SYSEXT_OVERLAYFS_MOUNT_OPTIONS и $SYSTEMD_CONFEXT_OVERLAYFS_MOUNT_OPTIONS для настройки параметров монтирования Overlayfs.
• В systemd-udevd добавлена настройка OPTIONS="dump-json" для вывода состояния текущего события в формате JSON. В функции net_id реализована генерация предсказуемых имён беспроводных сетевых интерфейсов на системах с DeviceTree. Обеспечена генерация символических ссылок /dev/gpio/by-id/… для устройств GPIO.
• В команду "homectl update" добавлена возможность использования опции "--recovery-key" для добавления запасных ключей к существующей учётной записи пользователя (ранее подобные ключи могли добавляться только во время создания пользователя).
• В systemd-homed добавлены опции "--prompt-shell" и "--prompt-groups" для интерактивного выбора командной оболочки и группы во время первой загрузки с использованием сервиса systemd-homed-firstboot.service. В systemd-firstboot добавлена опция "--prompt-keymap-auto" для запроса раскладки клавиатуры при работе через локальную консоль во время первой загрузки.
• В systemd-boot добавлена возможность выставления уровня детализации логов через параметр log-level в loader.conf или SMBIOS-поле io.systemd.boot.loglevel.
• В systemd-networkd для DHCP-сервера добавлены опции EmitDomain и Domain, а также реализован обработчик для определения отдаваемых через DHCP имён хостов через DNS-резолвинг.
• В systemd-run добавлена опция "--root-directory" для запуска сервиса в указанном корневом каталоге. В systemd-run и run0 добавлена опция "--same-root-dir" ("-R") для запуска сервиса в том же корневом каталоге, что и у запускающего.
• В systemd-modules-load реализовано распараллеливание загрузки модулей ядра.
• В systemd-integrity-setup добавлена поддержка алгоритмов HMAC-SHA256, PHMAC-SHA256 и PHMAC-SHA512.

1. Главная ссылка к новости
2. OpenNews: Доступен системный менеджер systemd 258
3. OpenNews: Технический комитет утвердил изменение поведения systemd в Debian
4. OpenNews: Представлен порт systemd для систем на базе библиотеки Musl
5. OpenNews: В GNOME будет усилена зависимость от systemd
6. OpenNews: Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы

• Повышен контраст текста в боковой панели при использовании вертикальных вкладок (в некоторых темах оформления показывались тёмные буквы на тёмном фоне).
• Устранены три проблемы, приводившие к аварийному завершению работы (1, 2, 3).
• Исправлена проблема в реализации защиты от косвенной идентификации браузера, приводившая к некорректному отображению шрифтов на некоторых популярных сайтах, среди которых Instagram, Facebook, X и YouTube.
• Устранены аварийные завершения, проявлявшиеся при воспроизведении мультимедийного контента и при завершении процесса GMP (Gecko Media Plugin).
• Исправлена ошибка, приводившая к удалению ярлыков профилей после изменения настроек скопированных профилей.
• Сообщение об успешном восстановлении из резервной копии теперь появляется на странице с новой вкладкой (about:newtab), а не на одной из восстановленных вкладок.

Дополнительно можно упомянуть реакцию представителей Mozilla на критику анонсированного превращения Firefox в AI-бразуер. Энтони Энзор-ДеМео (Anthony Enzor-DeMeo), руководитель компании Mozilla Corporation, подтвердил, что Firefox останется полностью подконтрольным пользователю и будет предоставлять возможность отключения AI. Указанная возможность будет добавлена в 1 квартале 2026 года.

Джейк Арчибальд (Jake Archibald), отвечающий в Mozilla за взаимодействие с web-разработчиками, заявил, что AI-функциональность будет включаться только по желанию пользователя (opt-in), скорее всего, через кнопку, размещённую на панели. Также будет предусмотрена опция "AI kill switch" для полного отключения всех возможностей, связанных с AI. После активации данной опции все AI-возможности будут удалены и не будут показываться в дальнейшем.

1. Главная ссылка к новости
2. OpenNews: В Waterfox не станут внедрять связанные с AI изменения из Firefox
3. OpenNews: Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox
4. OpenNews: Релиз Firefox 146
5. OpenNews: Firefox переходит на использование каталога ~/.config/mozilla на Unix-подобных системах
6. OpenNews: В Firefox развивают режим для навигации с использованием AI

Среди изменений по сравнению с первым кандидатом в релизы:

• Для 64-разрядных сборок GIMP с 1024 пикселей до 8192 пикселей увеличен максимальный размер временных кистей и шаблонов. Для 32-разрядных сборок ограничение не изменилось.
• При участии одного из разработчиков librsvg улучшена поддержка SVG за счёт обновления используемого для этого кода до более актуального состояния.
• Начата работа по подготовке к циклу разработки GIMP 3.4. В частности, произведён рефакторинг инструмента "Выделение рисованием" (с 2020 года находился в скрытых по умолчанию экспериментальных настройках) и "Выделение первого плана", в ходе которого был значительно улучшен как интерфейс, так и производительность.
• Проведена работа над ускорением загрузки шрифтов при старте редактора.
• Увеличены отступы между кнопками в плавающем окне инструмента "Трансформация".
• Добавлено предупреждение при попытке применения недеструктивного фильтра к нерастравому слою.
• Изменён текст в окне редактирования сочетаний клавиш, для более доходчивого объяснения функциональности.
• Улучшена поддержка технологии кистей Mypaint 2. Решена проблема с поддержкой специфичной функциональности, используемой небольшим числом кистей.
• Обеспечен правильный импорт и отображение файлов в формате PSD, использующих устаревший эффект слоёв Outer Glow.
• Включён патч, который позволяет при нажатии кнопки Tab в командной строке отображать возможные опции для ввода. Также можно отметить, что опция "--show-debug-menu" теперь отображается при запуске с опцией --help.
• Исправлена ошибка, совершённая при переходе с ветки GIMP 2.10 в ветку GIMP 3.0, из-за которой стандартной единицей измерений в PostScript стали дюймы вместо миллиметров.
• Исправлена ошибка, из-за которой плагины, которые должны быть всегда доступны, были недоступны при открытия изображения без добавления слоёв.
• Исправлена ошибка, допущенная при разработке поддержки векторных слоёв, из-за которой было невозможно увидеть настройку смещений в диалоге атрибутов слоя.
• Добавлена проверка, запрещающая импорт XCF-проектов как слоёв-ссылок, если это приводит к бесконечному рекурсивному циклу загрузки.
• Исправлена ошибка, из-за которой в некоторых окружениях список языков в настройках не переводился.
• Внесены изменения, позволяющие использовать библиотеки babl и gegl независимо от директории исполнения. Также теперь возможно использование относительных путей при работе с GIMP, собранным в формате AppImage, в режиме CLI.
• Восстановлена работоспособность сборки GIMP с помощью компилятора MSVC для Windows с применением обвязки clang-cl. Несмотря на это, сборки для Windows продолжат собираться с помощью инструментария MSYS2.
• Устранены уязвимости: ZDI-CAN-28311 (переполнение буфера при разборе файлов LBM), ZDI-CAN-28273 (целочисленное переполнение при разборе PNM-фалов), ZDI-CAN-28158 (целочисленное переполнение при разборе PGM-файлов). Уязвимости могут привести к исполнению кода при обработке специально оформленных файлов.

Также можно отметить работу по обновлению страницы с книгами о GIMP на официальном сайте проекта.

1. Главная ссылка к новости
2. OpenNews: Первый кандидат в релизы графического редактора GIMP 3.2
3. OpenNews: Обновление графического редактора GIMP 3.0.6
4. OpenNews: Выпуск графического редактора GIMP 3.1.4
5. OpenNews: Релиз графического редактора GIMP 3.0.0

Работа OpenZFS проверена с ядрами Linux c 4.18 по 6.18 и всеми ветками FreeBSD, начиная с 13.3. Код распространяется под свободной лицензией CDDL. OpenZFS уже используется во FreeBSD и входит в состав дистрибутивов Debian, Ubuntu, Gentoo, NixOS и ALT Linux. Пакеты с новой версией в ближайшее время будут подготовлены для основных дистрибутивов Linux, включая Debian, Ubuntu, Fedora, RHEL/CentOS.

OpenZFS предоставляет реализацию компонентов ZFS, связанных как с работой файловой системы, так и с функционированием менеджера томов. Реализованы компоненты: SPA (Storage Pool Allocator), DMU (Data Management Unit), ZVOL (ZFS Emulated Volume) и ZPL (ZFS POSIX Layer). Проект также позволяет использовать ZFS в качестве бэкенда для кластерной файловой системы Lustre. Наработки OpenZFS основаны на оригинальном коде ZFS, импортированном из проекта OpenSolaris и расширенном улучшениями и исправлениями от сообщества Illumos. Проект развивается при участии сотрудников Ливерморской национальной лаборатории по контракту с Министерством энергетики США.

Код распространяется под свободной лицензией CDDL, которая несовместима с GPLv2, что не позволяет добиться интеграции OpenZFS в состав основной ветки ядра Linux, так как смешивание кода под лицензиями GPLv2 и CDDL недопустимо. Для обхода лицензионной несовместимости было решено распространять продукт для Linux целиком под лицензией CDDL в виде отдельно загружаемого модуля, поставляемого отдельно от ядра. Стабильность кодовой базы OpenZFS оценивается как сопоставимая с другими ФС для Linux.

Основные изменения:

• Реализована возможность задания квот по умолчанию для пользователей, групп и проектов. В прошлых версиях квоты могли устанавливаться только по отдельности для каждого идентификатора пользователя. В новой версии появилась возможность задания значения по умолчанию, которое будет применяться, если для конкретного пользователя квота не была установлена.
• Добавлена возможность отката режима прямого ввода/вывода (O_DIRECT, Direct I/O) на использование легковесного механизма некешируемого ввода/вывода (Uncached I/O) для запросов, не выравненных по границе страницы памяти, не поддерживаемых в Direct I/O.
• Предложен новый унифицированный алгоритм ограничения скорости операций записи и размещения блоков, сокращающий фрагментацию vdev (Virtual Device) за счёт агрегирования нескольких операций записи и использования для них более крупных непрерывных свободных областей вместо помещения результатов единичных операций записи в мелкие свободные области.
• Повышена производительность шифрования за счёт использования инструкций AVX2 в реализации алгоритма AES-GCM. В проведённых тестах ускорение достигает 80%.
• Разрешено размещение ZIL-блоков (ZFS Intent Log) не только на нормальных vdev или на отдельном устройстве SLOG, но и на специальных vdev. Если нормальный vdev связан с жёстким диском, а специальный vdev c SSD-накопителем, изменение позволяет исключить ситуации, когда данные записываются на SSD, а связанные с ними блоки ZIL на жёсткий диск из-за чего возникают лишние задержки.
• Разрешено выставление свойства special_small_blocks для разделов (ZVOL), а не только для файловых систем, что позволяет организовать размещение мелких блоков на отдельном специальном vdev, например, на SSD-накопителе.
• Добавлен режим перезаписи "zfs rewrite -P", по возможности оставляющий неизменным логическое время создания, что позволяет отличать блоки, просто перемещённые в пул от блоков, реально изменённых пользователем.
• Для команд "zpool trim", "zpool scrub" и "zpool initialize" реализована опция "-a" (--all), позволяющая выполнять эти команды сразу для всех импортированных пулов.
• Добавлена команда "zpool scrub -S -E" для выполнения проверки контрольных сумм данных, подпадающих в указанные интервал времени.
• Добавлены новые оптимизации процессов дедупликации и клонирования блоков.
• Добавлено новое полномочие "send:encrypted", допускающее отправку через команду "send" только зашифрованных данных.
• Команды arc_summary и arcstat переименованы в zarcsummary и zarcstat.
• В модуль ядра добавлены опции
  • metaslab_perf_bias
  • vdev_raidz_outlier_check_interval_ms
  • vdev_raidz_outlier_insensitivity
  • vdev_read_sit_out_secs
  • zfs_delete_dentry
  • zfs_delete_inode
  • zfs_dio_strict
  • zfs_spa_flush_txg_time
  • zfs_spa_note_txg_time
  • zil_special_is_slog
  • zio_taskq_free
• Добавлены новые флаги:
  • block_cloning_endian
  • dynamic_gang_header
  • physical_rewrite
• Добавлены новые свойства zvol:
  • autosit
  • sit_out
  • slow_io_events

1. Главная ссылка к новости
2. OpenNews: Релиз OpenZFS 2.3.0, реализации ZFS для Linux и FreeBSD
3. OpenNews: Заметки Теодора Тс'о о ядре Linux, кодексе поведения, ext4, btrfs и ZFS
4. OpenNews: Обновление OpenZFS 2.1.14 и 2.2.2 с устранением ошибки, приводящей к повреждению файлов
5. OpenNews: Ошибка в патчах FreeNAS, вызывающая скрытое повреждение данных в ZFS
6. OpenNews: Кодовая база FreeBSD переведена на использование OpenZFS (ZFS on Linux)

Предполагается, что Debusine будет полезен разработчикам Debian для отдельного тестирования пакетов на реальных системах до передачи изменений в основной репозиторий. Например, при устранении проблемы в пакете разработчик может использовать Debusine, чтобы столкнувшиеся с проблемой пользователи заранее могли протестировать исправление. Debusine также могут использовать проекты, желающие распространять одновременно несколько версий программ или не готовые выполнить требования Debian, предъявляемые к пакетам в основных репозиториях.

При публикации пакетов в Debusine доступна функциональность для выполнения QA-тестов, а в перспективе появится инструментарий для отслеживания регрессий (находится в разработке). Предоставляется возможность проверки пакетов по цифровой подписи, используя ключи, привязанные к репозиториям. Пакеты собираются с учётом текущего содержимого Debusine-репозитория, а также соответствующего релиза Debian. Во всех репозиториях доступна встроенная система для автоматического создания снапшотов.

Для тестирования Debusine введён в строй сервер debusine.debian.net, возможность публикации пакетов на котором предоставлена пока только разработчикам и мэйнтейнерам Debian, имеющим учётную запись в Salsa. Для публикации пакетов можно использовать инструментарии debusine-client и dput-ng. В debusine.debian.net допускается размещение пакетов, условия лицензирования которых соответствуют требованиям Debian.

1. Главная ссылка к новости
2. OpenNews: Представлен DUR, аналог пользовательского репозитория AUR для Debian
3. OpenNews: Ubuntu развивает собственный формат пакетов для установки сторонних приложений
4. OpenNews: В Launchpad появилась экспериментальная поддержка Git
5. OpenNews: Canonical прекратит поддержку Bazaar в платформе Launchpad
6. OpenNews: Systemd победил в третьем голосовании по выбору системы инициализации для Debian

Спецификация охватывает описание грамматики и типов данных; модель представления и преобразования данных; алгоритм композитинга; методы создания и обхода графа сцены; методы запроса значений для каждого объекта сцены; форматы файлов USDA (читаемое представление), USDC (бинарный формат) и USDZ (формат пакетов) для обмена данными; инструментарий для тестирования и проверки соответствия требованиям спецификации. Для упрощения проверки совместимости со стандартом предложен эталонный пример реализации OpenUSD.

Проект OpenUSD, открытый компанией Pixar девять лет назад, предоставляет средства для кодирования масштабируемых, иерархически связанных, статических и распределённых во времени данных. OpenUSD содержит набор операторов для композитинга, управления ресурсами, многослойной обработки и управления ссылками на файлы, позволяющих связать серию разрозненных ресурсов в единую графическую сцену, сохранив при этом возможность раздельной обработки и замены каждого ресурса. Для расширения OpenUSD предусмотрена система плагинов, которая может применяться для интеграции с другими форматами и трансляции любых данных в формат графических сцен OpenUSD.

1. Главная ссылка к новости
2. OpenNews: Организации AOUSD и ASWF представили новые рекомендации по инклюзивной терминологии
3. OpenNews: Disney, DeepMind и NVIDIA разработали движок симуляции физических процессов Newton
4. OpenNews: Pixar, Adobe, Apple, Autodesk и NVIDIA начали совместное продвижение платформы OpenUSD
5. OpenNews: Анимационная студия Pixar приняла решение об открытии пакета USD
6. OpenNews: Инициатива по развитию открытого ПО для киноиндустрии

По правилам соревнований участники должны были продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений были размещены на GitHub.

Продемонстрированные атаки:

• Пять атак на СУБД Redis, которые привели к удалённому выполнению кода при аутентифицированном доступе (пять премий в $30 000).
• Три атаки на СУБД PostgreSQL, которые привели к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000).
• Атака на СУБД MariaDB, которая привела к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000).
• Удалённое выполнение кода в платформе визуализации данных Grafana при аутентифицированном доступе к интерфейсу ($10 000).
• Атака на ядро Linux, позволившая выйти из изолированного контейнера в Ubuntu ($40 000).
• Две попытки атаки на vLLM и Ollama оказались неуспешными, так как участникам не удалось уложиться в отведённое время.

Победителем объявлена команда Team Xint Code совершившая успешные атаки на Redis, PostgreSQL и MariaDB, и заработавшая 90 тысяч долларов. Примечательно, что продемонстрированные командой Team Xint Code уязвимости были выявлены при помощи AI-анализатора Xint Code.

Невостребованной осталась наиболее крупная премия в 300 тысяч долларов, назначенная за взлом nginx, а также премии размером 100 тысяч долларов, предложенные за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB при неаутентифицированном доступе. Заявки также не поступили на взлом Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins и GitLab CE.

Подробности о характере уязвимостей пока не сообщаются. В соответствии с условиями конкурса детальная информация о всех продемонстрированных уязвимостях передана разработчикам проблемных проектов и будет опубликована после выпуска производителями обновлений с устранением уязвимостей.

1. Главная ссылка к новости
2. OpenNews: Соревнования по выявлению уязвимостей ZeroDay Cloud с призовым фондом 4.5 млн долларов
3. OpenNews: На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox
4. OpenNews: На соревновании Pwn2Own готовы выплатить миллион долларов за уязвимость в WhatsApp
5. OpenNews: На соревновании Pwn2Own продемонстрированы взломы смартфонов, NAS, принтеров и устройств умного дома
6. OpenNews: Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности

По статистике лицензий от GitHub лидерами также являются лицензии MIT и Apache 2.0. Следом за ними следуют GPLv3, AGPLv3, BSD3, GPLv2, CC0, MPLv2, BSD2.

1. Главная ссылка к новости
2. OpenNews: Оценка популярности открытых лицензий в зависимости от языка программирования
3. OpenNews: Оценка популярности открытых лицензий на GitHub
4. OpenNews: Оценка популярности различных лицензий в хостингах свободного кода
5. OpenNews: Исследование популярности открытых лицензий в корпоративной среде
6. OpenNews: Оценка состава пакетной базы Debian демонстрирует рост популярности лицензии GPL

В новой версии:

• Устранены сбои при обработке некоторых JPEG-файлов с заголовками JFIF.
• Решены проблемы с позиционированием строк при использовании WebVTT (Web Video Text Tracks).
• В сборках для платформы Windows улучшен тёмный режим оформления в интерфейсе на базе Qt, решена проблемы с компиляцией модулей OpenGL и налажен показ изображений с использованием API D3D11.
• Обеспечена передача дополнительных сведений о звуковом кодеке (для поддержки Flac 24bit).
• Проведена подготовка к обеспечению совместимости с taglib 2.0, Qt6, FFmpeg8, mingw-w64 13, а также новыми версиями libplacebo и pupnp.
• Устранены уязвимости: разыменование нулевого указателя в libass, неопределённый побитовый сдвиг в theora, целочисленное переполнение в daala, зацикливание при разборе h264, переполнение буфера в коде для работы с png и несколько переполнений из-за проблем с форматированием строк в различных компонентах.

1. Главная ссылка к новости
2. OpenNews: Лидер VLC стал лауреатом премии European SFS Award 2025
3. OpenNews: VLC достиг 6 миллиардов загрузок и реализовал автоматическую генерацию субтитров
4. OpenNews: Выпуск медиаплеера VLC 3.0.0

Исторически libmdbx является глубокой переработкой СУБД LMDB и превосходит своего прародителя по надёжности, набору возможностей и производительности. В сравнении с LMDB, в libmdbx большое внимание уделяется качеству кода, стабильной работе API, тестированию и автоматическим проверкам. Поставляется утилита проверки целостности структуры БД с некоторыми возможностями восстановления. Технологически libmdbx предлагает ACID, строгую сериализацию изменений и неблокирующее чтение с линейным масштабированием по ядрам ЦПУ. Поддерживается автоуплотнение, автоматическое управление размером БД, оценка объёма выборок по диапазонам (range query estimation).

В декабре 2025 года основной репозиторий проекта был перенесён с GitFlic на SourceCraft. В качестве причины указываются жалобы не-русскоязычных пользователей и ошибки в редакторе Markdown, не устранённые в течение более трёх лет. Также сообщалось о закрытии зеркала проекта на Github, но позже репозиторий был восстановлен с пояснением, что это сделано по просьбам разработчиков из Китая и Бразилии, а также использующей libmdbx платформы Tempo.

Основные изменения после предыдущей новости от 1 августа:

• Возвращена поддержка старых ядер Linux, начиная с версии 3.16.
• Обеспечена поддержка мобильной операционной системы Harmony.
• Ошибка "MDBX_WANNA_RECOVERY" при открытии БД в режиме только-чтение теперь возвращается если размер БД не кратен размеру системной страницы, но игнорируется не кратность размеру блока выделения виртуальной памяти.
• Устранена возможность получения неожиданного "SIGBUS" из-за отложенного/ленивого выделение ядром ОС места в заполненной файловой системе после приращения файла БД.
• Исправлена assert-проверка в пути сканирования битовой карты DBI-дескрипторов приводившая к редким падениям 32-битных отладочных сборок.
• Для Android реализован манёвр, уменьшающий вероятность системной ошибки "EAGAIN", возникающей из-за нехватки системных ресурсов и переходных процессов при закрытии и быстром повторном открытии БД.
• Для Linux добавлено предотвращение проявления ошибки в реализации fast_commit файловой системы Ext4.
• Исправлен недочёт автоподстройки параметров при установке геометрии с заданным минимальным размером страницы, из-за которого на машинах с большим количеством ОЗУ размер страницы мог увеличиваться.
• Переработана реализация буферов и внесены другие доработки в C++ API.

Дополнительно стоит отметить анонс доклада "libmdbx: Roadmap, успехи, цели и препятствия" на мероприятии Ethereum Day, которое состоится 23 декабря в Москве.

1. Главная ссылка к новости
2. OpenNews: Релиз LDAP-сервера ReOpenLDAP 1.2.0

Уязвимость присутствует в коде для работы с внутренней БД (Hints DB) на базе SQLite, используемой для хранения временной информации, состояния доставки сообщений и сведений об интенсивности отправки писем. Проблема вызвана тем, что записи из БД напрямую преобразовывались во внутреннюю структуру "dbdata_ratelimit_unique" без надлежащей проверки. Возникала ситуация, когда создавался фиксированный массив "bloom", размером 40 байт, а содержимое поля "bloom_size", определяющего число записываемых в массив элементов, зависело от размера данных в БД. Атакующий мог организовать запись за пределы выделенного буфера, разместив в БД данные (используя ещё одну уязвимость), при которых поле "bloom_size" принимало значение, заведомо большее, чем размер массива.

Проблема проявляется в выпусках Exim 4.99 и 4.98.2, и затрагивает только конфигурации с ACL ratelimit, в которых используются параметры "unique" или "per_addr" (например, "warn ratelimit = 100 / 1h / per_addr / $sender_address" или "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address"). Кроме того, для совершения атаки Exim должен быть собран с поддержкой SQLite (USE_SQLITE=yes), активированной в файле конфигурации (hints_database = sqlite). В уязвимых конфигурация при запуске "exim -bV" выводится "Hints DB: Using sqlite3".

Из крупных дистрибутивов проблемные версии использовались в Debian 13, Ubuntu 25.10, SUSE/openSUSE, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL обновление к пакету exim пока не опубликовано).

Также отмечается выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки. Пример команды MAIL FROM, приводящей к подстановке SQL-кода: "MAIL FROM:<"x'/**/UNION/**/SELECT/**/X'<hex_blob>'--"@attacker.com>". Данная уязвимость может использоваться в качестве начального звена для создания условий возникновения описанного выше переполнения буфера.

1. Главная ссылка к новости
2. OpenNews: Новая версия почтового сервера Exim 4.99
3. OpenNews: Обновление почтового сервера Exim 4.98.2 с устранением уязвимости
4. OpenNews: Обновление почтового сервера Exim 4.98.1 с устранением уязвимости
5. OpenNews: Новая версия почтового сервера Exim 4.98
6. OpenNews: Обновление Exim 4.97.1 с добавлением защиты от атаки SMTP Smuggling

Алекс считает, что Mozilla совершает принципиальную ошибку, намереваясь превратить Firefox в AI-браузер. Он понимает, что компания Mozilla желает укрепить свои позиции на рынке и сохранить паритет функциональности с конкурирующими браузерами, активно внедряющими AI. При этом, пытаясь ориентироваться на средний уровень пользователей и массовый рынок, который уже занят Chrome, Mozilla делает Firefox менее привлекательным для продвинутых пользователей, разработчиков и технических специалистов, составляющих основу нынешней аудитории.

По мнению Алекса, одной из причин снижения доли Firefox на рынке браузеров стало добавление функций, не нужных основной аудитории. Mozilla заявляет о доверии, прозрачности и свободе действий пользователей, но при этом внедряет технологии, подрывающие все эти принципы. Вместо предоставления пользователю возможности полностью контролировать процесс просмотра сайтов, Mozilla намерена внедрить непрозрачную AI-прослойку, становящуюся дополнительным посредником между пользователем и браузером.

Лежащие в основе подобной прослойки большие языковые модели являются "чёрным ящиком", который выполняет действия от имени пользователя, но не позволяет проанализировать поведение и методы работы с данными. Возникает ситуация, когда AI принимает решение о том, как и что показывать пользователю, но логику этих решений невозможно исследовать или понять.

1. Главная ссылка к новости
2. OpenNews: Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox
3. OpenNews: Google представил AI-возможности Chrome
4. OpenNews: В Firefox развивают режим для навигации с использованием AI
5. OpenNews: Доступен web-браузер Waterfox 55
6. OpenNews: Браузер Waterfox перешёл в руки компании System1

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

В новом выпуске:

• Реализована поддержка VPC (Virtual Private Cloud), позволяющая администраторам платформы создавать изолированные сетевые сегменты для tenant-ных приложений. VPC обеспечивают сетевую изоляцию и позволяют гибко управлять топологией сети, подсетями и маршрутизацией. VPC могут включать в себя несколько подсетей, а администраторы могут добавлять в настройки подсетей, диапазоны IP-адресов, параметры шлюза и конфигурацию DNS. Функциональность VPC интегрирована в web-интерфейс Cozystack.
• В панель управления Cozystack встроена поддержка VNC, позволяющая получить доступ к консоли виртуальной машины непосредственно из web-интерфейса без необходимости использования внешних инструментов.

1. Главная ссылка к новости
2. OpenNews: Выпуск Cozystack 0.37, открытой PaaS-платформы на базе Kubernetes