Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.

Основные изменения:

• Компоненты базовой системы обновлены до FreeBSD 15-CURRENT. Обновлена версия PHP 8.3.
• Переписан интерфейс пользователя для использования бесплатного сервиса ACB (Automatic Configuration Backup), позволяющего автоматически сохранять резервные копии настроек в облачном хранилище Netgate (резервные копии передаются в зашифрованном виде). Добавлена возможность смены ключа устройства, применяемого для шифрования.
• Предложен новый бэкенд для протокола PPPoE, основанный на модуле ядра if_pppoe и демонстрирующий более высокую пропускную способность при передаче данных через сетевой интерфейс PPPoE. При этом if_pppoe отстаёт по функциональности, например, не поддерживает MLPPP. В настоящее время новый бэкенд отключён по умолчанию, но в будущих выпусках заменит старый бэкенд на базе пакета MPD.
• Изменены правила обработки состояний соединений в межсетевом экране (State Policy). Вместо режима Floating по умолчанию задействован режим Interface Bound, при котором состояние соединения привязано к сетевому интерфейсу и попытки передачи пакета через другой сетевой интерфейс блокируются. При использовании IPsec VTI осуществляется откат на режим Floating, так как привязка к сетевым интерфейсам в этом случае создаёт проблемы.
• Реализован Fail-Back режим для шлюзов, при котором сбрасывается состояние привязки к вторичным шлюзам после восстановления первичного шлюза.
• Задействованы дополнительные возможности DHCP-сервера Kea, позволившие добиться паритета в функциональности с ISC DHCP. Добавлена поддержка регистрации и обновления записей в DNS о именах хостов клиентов DHCP. Реализовано расширение DHCPv6 Prefix Delegation. Появилась возможность запуска синхронизированных запасных DHCP-серверов для обеспечения высокой доступности (High Availability), упрощена настройка отказоустойчивых конфигураций. Добавлена поддержка статических ARP-адресов. Предоставлена возможность изменения настроек Kea, не охваченных графическим интерфейсов, используя блоки в формате JSON.
• Обеспечена полная поддержка NAT64, позволяющая клиентам, имеющим только адреса IPv6, обращаться к хостам, использующим IPv4.
• Добавлена возможность использования в пользовательских правилах межсетевого экрана системных шаблонов, ранее применимых только во внутренних правилах. Добавлены новые шаблоны для выделения зарезервированных и специализированных подсетей.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 25.1
3. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.7.1
4. OpenNews: Выпуск дистрибутива для создания сетевых хранилищ TrueNAS 25.04
5. OpenNews: Релиз дистрибутива для создания межсетевых экранов NethSecurity 8.3
6. OpenNews: Релизы дистрибутивов для создания межсетевых экранов IPFire 2.29 Core 186 и NethSecurity 8.0

Наиболее важные изменения:

• Встроенный пакет Vkd3d с реализацией Direct3D 12 обновлён до версии 1.16, в которой включена по умолчанию поддержка шейдеров DXIL (DirectX Intermediate Language) и реализована начальная поддержка геометрических шейдеров в HLSL.
• В реализации языка описания интерфейса WIDL (Wine Interface Definition Language) появилась начальная поддержка генерации метаданных Windows Runtime (WinRT).
• Реализована поддержка обработки исключений с использованием компилятора Clang.
• Во всех графических драйверах, включая winewayland и wineandroid, предоставлена поддержка EGL.
• Закрыты отчёты об ошибках, связанные с работой приложений: MS Office 2010, Photoshop CS6, Code::Blocks 8.02, Heavy Metal Pro, Ableton Live 10.0.6, ln.exe, 7-zip, Gigapixel ai, PL/SQL Developer, Geekbench 6, Player2.
• Закрыты отчёты об ошибках, связанные с работой игр: Alonix, 3D Pinball - Space Cadet, Empire Earth 1.x, The Legend of Heroes: Trails of Cold Steel, Dyson Sphere Program, Sega Rally Championship, Zafehouse: Diaries, The Journeyman Project 3, Crystal of Atlan - Hard.

Одновременно сформирован выпуск проекта Wine Staging 10.9, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 342 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 10.9, в библиотеке kernel32 до 3MB ограничено адресное пространство старых exe-файлов.

Дополнительно можно отметить выпуск проекта GE-Proton 10-4, в рамках которого энтузиастами формируются независимые от компании Valve расширенные сборки пакета для запуска Windows-приложений Proton, отличающиеся более свежей версией Wine, задействованием FFmpeg в FAudio и включением дополнительных патчей, решающих проблемы в различных игровых приложениях. В новой версии решены проблемы с курсором в играх DOOM Eternal, DOOM Dark Ages и Rocket League при использовании winewayland. Добавлена минимальная реализация библиотеки amdxc64.dll для включения FSR4 (AMD FidelityFX Super Resolution). Устранены проблемы при запуске игр Star Citizen, Daedalic, Once human, The Chronicles of Myrtana: Archolos, Colin McRaie: DiRT, Tree of Savior и LOTRO.

1. Главная ссылка к новости
2. OpenNews: Релиз Wine 10.8 и GE-Proton 10.1
3. OpenNews: Проект Wine опубликовал Vkd3d 1.16 с реализацией Direct3D 12
4. OpenNews: Выпуск Wine-wayland 10.5
5. OpenNews: Проект Wine опубликовал фреймворк Mono 6.14.0

dpScreenOCR позволяет при помощи глобальной горячей клавиши и мыши захватить произвольную область экрана, текст из которой будет распознан. В зависимости от выбора пользователя, программа может копировать распознанный текст в буфер обмена, добавить его в историю или отправить его внешней программе.

Основные изменения в новой версии:

• Менеджер языков:
  • В списке языков теперь есть колонка с размером файла языка.
  • Добавлен текст, показывающий количество и размер выбранных языков.
  • Заголовок вкладки «Обновить» теперь показывает количество языков, доступных для обновления.
• Добавлена вкладка «Настройки», которая включает:
  • Редактор горячей клавиши.
  • Группа «Интерфейс» с флажком для управления видимостью значка в области уведомлений. Если он включен, также можно выбрать возможность скрывать окно программы в область уведомлений при сворачивании или закрытии.
  • Группа «Поведение».
    • Флажок для воспроизведения звука по завершении распознавания. Если он включен, можно также выбрать свой аудиофайл для воспроизведения вместо встроенного.
    • Флажок для автоматической проверки обновлений при запуске программы. По умолчанию, обновления проверяются не чаще одного раза в неделю; изменить этот интервал можно в файле настроек, как описано в разделе «Настройка» руководства пользователя.
    • Флажок для автоматического запуска программы (скрытой в область уведомлений) при входе в систему.
• Добавлена кнопка «Проверить наличие обновлений» на вкладке «О программе».
• Добавлен интерфейс командной строки с опциями «--help», «--hide», «--version» и командой «autostart».
• Обновлен Tesseract до версии 5.5.1.
• В TAR.XZ-пакет для Linux включен английский язык для распознавания. Он будет установлен автоматически только для тех, кто запускает dpScreenOCR впервые.
• Удалена поддержка 16-битных цветовых режимов экрана на системах с X11.

1. Главная ссылка к новости
2. OpenNews: Релиз системы распознавания текста Tesseract 5.5.0
3. OpenNews: Выпуск системы распознавания текста GNU Ocrad 0.29
4. OpenNews: Открыты исходные тексты системы оптического распознавания CuneiForm
5. OpenNews: Новая система оптического распознавания текста EasyOCR

В поддерживаемом Кесом git-репозитории присутствовали фиктивные изменения, в поле автора и коммитера в которых был указан "Linus Torvalds", но Линус их не добавлял. Например, под именем Линуса в ветке Кеса имелся коммит, который повторял другой коммит в ветке Линуса, но с другим хэшем SHA1. Оба коммита выглядят одинаково, за исключением информации о подписи.

Изменения не походили на случайную ошибку при выполнении операции "git rebase", так как содержали неверную информацию об авторе коммита. Линус Торвальдс посчитал это следами потенциально вредоносной активности и инициировал блокировку приёма любых изменений от Кеса, до выяснения причин подобных манипуляций и подтверждения, что система Кеса не была скомпрометирована.

Кес ответил, что не понимает, как такое могло произойти. До этого он столкнулся с проблемами при попытке объединения нескольких своих git-веток, после чего попытался решить их операцией "git rebase", но похоже это не помогло. Всё это происходило на фоне сбоя SSD-накопителя, выдававшего ошибки во время копирования. Кес считал, что после сбоя ему удалось восстановить состояние своих репозиториев, но, судя по всему, это не так. Для восстановления целостности Кес намерен пересоздать свои ветки из отдельных патчей. В качестве наиболее вероятной причины возникшей подмены автора Кес считает неудачную попытку восстановления репозитория после его повреждения.

Линуса не устроило такое объяснение, так как, по его мнению, изменения истории коммитов в репозитории Кеса очень похожи на преднамеренные действия, а не на случайный сбой. Перебазирование истории изменений операцией "git rebase" могло объяснить перезапись коммитера, но Линус не может понять, как подобная операция "git rebase" могла быть совершена по ошибке.

Перезапись одного или двух коммитов ещё можно было списать на ошибку, но в репозитории Кеса были перезаписаны более шести тысяч merge-коммитов, из которых в 330 автором был выставлен Линус, при том, что данные коммиты не были получены из git-дерева Линуса. Совершённые изменения больше напоминают работу скрипта, чем результат повреждения информации на накопителе, так как они требуют отдельного пересоздания копии каждого коммита.

Кес уверил Линуса, что не делал этого специально и не стал бы проводить подобные эксперименты без предупреждения (например, прошлый эксперимент по вызову коллизий коммитов был согласован с Линусом). На этой неделе он производил несколько ручных операций с репозиторием и теперь попытается разобраться, что пошло не так, и воспроизвести проблему. Например, Кес выполнял операцию rebase для git-деревьев for-next/hardening и for-linus/hardening, используя в отличие от прошлых подобных преобразований ветку "master", а не rc2. В ходе данной операции он вносил изменения в скрипты для проверки push-запросов.

Дополнение 1: Кес Кук опубликовал ещё одно сообщение, в котором заявил, что вероятнее всего проблема возникла из-за использования утилиты "git-filter-repo", выполняющей перезапись истории коммитов в репозитории, в сочетании с командой "b4 trailers", предназначенной для получения и применение трейлеров к коммитам (например, "Signed-off-by:").

Дополнение 2: Константин Рябцев, как автор утилиты b4, подтвердил, что проблема вызвана неаккуратным использованием данной программы (Кес не обратил внимание на предупреждение в выводе и игнорировал некоторые проверки корректности). Константин на 100% уверен, что изменение произошло без злого умысла. Доступ Кеса к kernel.org восстановлен. В утилиту b4 будет добавлена проверка для предотвращения подобных ситуаций в будущем и запрета перезаписи коммитов, автор которых отличается от текущего пользователя.

1. Главная ссылка к новости
2. OpenNews: Университет Миннесоты отстранён от разработки ядра Linux за отправку сомнительных патчей
3. OpenNews: Коллизии в сокращённых идентификаторах коммитов в ядре Linux
4. OpenNews: Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux
5. OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
6. OpenNews: Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториев

Основные изменения:

• Добавлены новые SQL-функции unistr() и unistr_quote() для замены экранированных последовательностей (\uXXXX) в unicode-символы и наоборот.
• В интерфейсе командной строки отключён прямой вывод управляющих символов. В выводе команды ".dump" обеспечено преобразование спецсимволов при помощи функции unistr(). Улучшено форматирование частичных индексов в выводе команды ".schema --indent".
• В sqlite3_rsync, утилите для копирования БД между системами, протокол синхронизации оптимизирован для снижения трафика при переносе похожих БД. Реализована возможность синхронизации БД без включения режима WAL (Write-Ahead Logging).
• Оптимизирована работа функций jsonb_set() и jsonb_replace() при изменении больших JSON-объектов.
• Улучшена поддержка сборки с использованием Cygwin, MinGW и Termux.

1. Главная ссылка к новости
2. OpenNews: Выпуск СУБД SQLite 3.46
3. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite
4. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
5. OpenNews: Выпуск DuckDB 0.10.0, варианта SQLite для аналитических запросов
6. OpenNews: Проекты CBS и sqld развивают облачный и серверный варианты SQLite

Среди изменений в новой версии:

• Добавлена возможность распространения в пакетах в формате AppImage.
• Улучшены установочные скрипты для Linux.
• Добавлена поддержка использования /run/media/veracrypt в качестве базовой точки монтирования по умолчанию, если в системе отсутствует каталог /media.
• Из числа зависимостей к rpm- и deb-пакетам исключена прослойка pcsclite, которая теперь проверяется и загружается динамически.
• Добавлена документация в формате CHM на русском и китайском языках.
• Пункт меню "Dismount All" переименован в "Unmount All". Добавлена комбинация клавиш ALT+u для отмонтирования.
• Налажена работа хэш-функции Whirlpool на системах порядком следования байтов big-endian.
• Для платформы Windows реализована и включена по умолчанию защита от создания скриншотов и скринкастов (отключить можно в настройках Performance/Driver Configuration или в MSI-инсталляторе).

1. Главная ссылка к новости
2. OpenNews: Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.19
3. OpenNews: TrueCrypt закрыт из-за потери интереса к проекту. Инициатива по созданию форка
4. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
5. OpenNews: В обращении о закрытии TrueCrypt нашли скрытое предупреждение о причастности АНБ
6. OpenNews: Проект CipherShed выпустил релиз ответвления TrueCrypt 0.7.4

Тем временем, компания Red Hat открыла доступ к готовой для тестирования сборке Red Hat Enterprise Linux 10 для RISC-V-платформы SiFive HiFive Premier P550. Кроме того, опубликован архив (12.3 ГБ) исходных текстов пакетов, задействованных в данной сборке. Данные доступны для зарегистрированных пользователей Red Hat Customer Portal.

1. Главная ссылка к новости
2. OpenNews: Выпуск Red Hat Enterprise Linux 9.6
3. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10
4. OpenNews: Компания Oracle опубликовала ядро Unbreakable Enterprise Kernel 8
5. OpenNews: Доступен дистрибутив AlmaLinux 10.0
6. OpenNews: CentOS и Rocky Linux объявили о поддержке архитектуры RISC-V

Из состава также исключён фреймворк AMF (Advanced Media Framework), предлагающий аппаратно ускоренные кодировщики и декодировщики видео. Вместо AMF для аппаратного ускорения кодирования и декодирования видео предложено использовать программный интерфейс VA-API (Video Acceleration API) в связке с Mesa.

1. Главная ссылка к новости
2. OpenNews: Компания AMD открыла модуль ядра GIM для виртуализации GPU
3. OpenNews: В Mesa принят amdgpu_virtio для использования OpenGL и Vulkan в гостевых системах
4. OpenNews: Выпуск проприетарного драйвера AMD Radeon Software Crimson Edition Linux 15.12
5. OpenNews: Сопровождение драйверов для устаревших GPU AMD и Intel в Linux оказалось лучше, чем в Windows
6. OpenNews: Релиз Mesa 25.1, свободной реализации OpenGL и Vulkan

В новом выпуске:

• Предложены пакеты с новыми версиями графических окружений GNOME 48, KDE Plasma 6.3 и LXQt 2.2. Удалён сеанс X11 для KDE, оставлена только поддержка Wayland.
• Обновлены версии пакетов, например, доступны выпуски ядра Linux 6.12, GCC 14.2.0, LLVM 20, busybox 1.37.0, ISC BIND 9.20, nginx 1.28, Dovecot 2.4, Node.js 22.16, Ruby 3.4, Rust 1.87, Xen 4.20, Crystal 1.16, Docker 28, Go 1.24, PHP 8.4, BIRD 3, Qt 6.8, wlroots 0.18.
• Вместо загрузчика gummiboot задействован systemd-efistub (только данный компонент, а не весь systemd).
• Проведена подготовка к переходу на пакетный менеджер apk 3 в следующем выпуске.
• Шрифт для GTK-приложений заменён на adwaita, который задействован по умолчанию в GNOME 48.
• После сворачивания проекта Mozilla Location Service, сервисы определения местоположения переведены на использование БД BeaconDB с информацией о размещении известных точек беспроводного доступа.
• Инструментарий управления контейнерами LXD перемещён из основного репозитория в тестовый. В основном репозитории вместо LXD задействован его форк Incus.
• Из репозиториев удалён Qt 5, поддержка данной ветки прекращена.
  1. Главная ссылка к новости
  2. OpenNews: Релиз минималистичного дистрибутива Alpine Linux 3.21
  3. OpenNews: В postmarketOS и Alpine добавлена поддержка среды рабочего стола COSMIC
  4. OpenNews: Alpine Linux покинул наиболее активный сопровождающий
  5. OpenNews: Docker-образы Alpine поставлялись с пустым паролем пользователя root
  6. OpenNews: Перевод официальных образов Docker с Ubuntu на Alpine

Продемонстрирована техника атаки, в ходе которой создавались условия для аварийного завершения suid-приложения unix_chkpwd и получения доступа к core-файлу с дампом состояния во время краха. В сохранённом core-дампе присутствовали хэши паролей пользователей системы, остававшиеся в памяти аварийно завершившегося процесса после загрузки содержимого /etc/shadow. Возможность эксплуатации уязвимостей продемонстрирована в Ubuntu 24.04 и Fedora 40/41, но предполагается, что и другие дистрибутивы подвержены подобным атакам.

Обе уязвимости вызваны состоянием гонки, позволяющим подменить аварийно завершившийся suid-процесс на другой процесс в момент после начала обработки ядром аварийного завершения, но до проверки обработчиком в пространстве пользователя параметров процесса через /proc/pid/files. Вызов apport и systemd-coredump осуществляется следующим образом: ядро, получив информацию об аварийном завершении процесса, вызывает обработчик, указанный в файле /proc/sys/kernel/core_pattern, после чего передаёт ему содержимое core-дампа через входной поток.

Генерация core-дампа и запуск обработчика происходит не мгновенно и этого времени достаточно, чтобы подменить завершившийся suid-процесс на обычный процесс пользователя. В случае подмены запущенный обработчик core-дампов будет считать, что сбой произошёл не в suid-процессе, а в обычном пользовательском приложении и, соответственно, сохранит core-файл с возможностью доступа обычного пользователя, а не только администратора.

Атака на apport сводится к следующим шагам:

• Ответвляется новый процесс и вызывается функция execve() для запуска suid-программы, такой как unix_chkpwd.
• Пропускается время, необходимое для загрузки suid-программой конфиденциальных данных в память (в случае unix_chkpwd ожидается загрузка хэшей паролей всех пользователей системы из файла /etc/shadow).
• До окончания выполнения команды процессу отправляется сигнал SIGSEGV или SIGSYS для аварийного завершения.
• В ответ на аварийное завершение ядро формирует core-дамп и запускает процесс apport для обработки core-дампа в пространстве пользователя.
• После запуска apport, но до начала разбора аварийно завершившемуся процессу отправляется сигнал SIGKILL, а сам процесс заменяется на другой без флага suid. Для обхода проверок в apport новый процесс создаётся внутри отдельных пространств имён (user, pid и mount namespace).
• apport подключается к unix-сокету /run/apport.socket в созданном для нового процесса пространстве имён точек монтирования и отправляет файловый дескриптор для доступа к core-дампу.

Чтобы получить для нового процесса нужный идентификатор, совпадающий с идентификатором suid-процесса, до отправки сигнала SIGSEGV suid-процесс останавливается сигналом SIGSTOP и во время остановки циклично запускаются новые процессы, пока не будет получен PID с предшествующим номером, близким к подменяемому suid-процессу. После сдвига нумерации PID suid-процессу отправляются сигналы SIGSEGV и SIGCONT, после чего отправляется SIGKILL и циклично запускаются новые процессы для достижения того же PID, что и у suid-процесса.

Что касается systemd-coredump, то, с одной стороны, проведение атаки на него проще, так как нет необходимости заменять suid-процесс на процесс в отдельном пространстве пользователя и достаточно добиться совпадения AT_UID и AT_EUID. С другой стороны, systemd-coredump написан на языке Си и запускается достаточно быстро, что даёт меньше времени для подмены, в отличие от apport, который написан на Python и в процессе инициализации грузит различные pyc-файлы. Подобная проблема решается искусственным замедлением systemd-coredump - при вызове suid-файла передаётся очень большое число аргументов командной строки, что создаёт нужную задержку, возникающую во время разбора /proc/pid/cmdline.

В процессе анализа уязвимостей исследователи также выявили, что systemd-coredump при настройке вызова не указывает в /proc/sys/kernel/core_pattern флаг "%d", что позволяет атакующему вызвать аварийное завершение фоновых процессов, выполняемых с правами root и ответвляющих другие процессы с изменением идентификатора пользователя на непривилегированного пользователя, под которым совершается атака. Подобная возможность позволяет совершить атаку не только на setuid-приложения, но и на такие процессы, как sshd-session (OpenSSH), sd-pam (systemd) и cron, для получения осевших в их памяти конфиденциальных данных, таких как закрытые ключи, хэши паролей из /etc/shadow, канареечные метки из стека и данные для обхода рандомизации адресного пространства (ASLR).

Проследить за публикацией обновлений пакетов в дистрибутивах можно на страницах: Debian, Ubuntu, RHEL, openSUSE, Fedora, Gentoo, Arch, ROSA, Arch. В качестве обходного пути блокирования уязвимостей предлагается отключить сохранение core-дампов для suid-программ и сбрасывающих привилегии процессов, выставив параметр /proc/sys/fs/suid_dumpable в значение 0. Для полноценного устранения проблемы требуется внесение изменений в ядро Linux, реализующее возможность передачи информации об аварийно завершившемся процессе через механизм pidfd (pidfd связывается с конкретными процессами и в отличие от pid повторно не назначается).

1. Главная ссылка к новости
2. OpenNews: Уязвимость в systemd-coredump, позволяющая определить содержимое памяти suid-программ
3. OpenNews: Критическая уязвимость в обработчике крахов приложений, применяемом в Ubuntu
4. OpenNews: Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению
5. OpenNews: Уязвимости в утилите needrestart, позволяющие получить root-доступ в Ubuntu Server
6. OpenNews: Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu

Основные изменения:

• В модуль ядра nvidia-modeset добавлен параметр 'conceal_vrr_caps', обеспечивающий включение возможностей, таких как ULMB (Ultra Low Motion Blur), несовместимых с VRR (адаптивное изменение частоты обновления монитора).
• Добавлена поддержка AI-технологии NVIDIA Smooth Motion, позволяющей повысить плавность отрисовки в играх за счёт подстановки дополнительного кадра между двумя отрисованными кадрами.
• В фоновый процесс nvidia-powerd добавлена возможность использования во время работы ноутбука от аккумулятора механизма Dynamic Boost, позволяющего балансировать энергопотребление между CPU и GPU для повышения производительности.
• Для Xwayland реализована поддержка отрисовки в буфер отображения (front buffer) с использованием GLX. Устранена ошибка, из-за которой возникало аварийное завершение игры Minecraft при использовании Xwayland.
• Разрешено использовать переменную окружения __NV_DISABLE_EXPLICIT_SYNC не только с EGL-приложениями, но и для приложений, использующих GLX и Vulkan.
• Улучшена поддержка Wayland. Решена проблема с зависанием приложений, использующих расширение VK_KHR_present_wait. Устранено зависание на некоторых системах, проявляющееся при включении ночного режима в GNOME.
• Устранена проблема, приводившая к некорректной отрисовке в графических приложениях после выхода из спящего режима на системах с драйвером nvidia.ko, загруженным с опцией "NVreg_PreserveVideoMemoryAllocations=1".
• Решена проблема с увеличением потребления памяти после выхода из спящего режима, проявляющаяся в приложениях, использующих X11 и OpenGL/Vulkan.
• Решена проблема с аварийным завершением приложений, использующих KDE Frameworks 6 и выносящих некоторые операции отрисовки на сторону GPU (render-offload).
• Добавлена поддержка DRM-свойств (Direct Rendering Manager) COLOR_ENCODING и COLOR_RANGE.
• Прекращена поддержка DRM-расширений NV_PLANE_BLEND_CTM, NV_PLANE_DEGAMMA_TF, NV_PLANE_DEGAMMA_LUT, NV_PLANE_DEGAMMA_LUT_SIZE, и NV_PLANE_DEGAMMA_MULTIPLIER на системах с ядрами Linux до версии 6.8.

Дополнительно можно отметить корректирующий выпуск Firefox 139.0.1, в котором по горячим следам устранена проблема, приводившая к нарушению отображения информации на системах с GPU NVIDIA. Проблема проявляется только на системах с несколькими мониторами, для которых выставлена разная частота обновления экрана.

1. Главная ссылка к новости
2. OpenNews: Состояние поддержки Wayland в проприетарных драйверах NVIDIA
3. OpenNews: В Mesa-драйвере NVK обеспечена поддержка Vulkan 1.4 для GPU NVIDIA Maxwell, Pascal и Volta
4. OpenNews: Выпуск проприетарного драйвера NVIDIA 570.124
5. OpenNews: Началось продвижение в ядро Linux драйвера Nova для GPU NVIDIA
6. OpenNews: NVIDIA опубликовала код с реализацией vGPU на базе драйвера Nouveau

Для тестирования нового инсталлятора сформированы live-сборки для архитектур x86_64, ppc64le, s390x и ARM64. В сборках доступны для установки бета-версия openSUSE Leap 16, непрерывно обновляемые сборки openSUSE Tumbleweed и openSUSE Slowroll, а также редакция MicroOS на базе контейнеров. Инсталлятор будет поставляться в составе openSUSE Leap 16 (доступна альфа-версия) и SUSE Linux Enterprise Server 16 (бета-выпуск ожидается в мае).

Цели разработки Agama: устранение имеющихся ограничений графического интерфейса; расширение возможностей по использованию функциональности YaST в других приложениях; уход от привязки к одному языку программирования; стимулирование создания альтернативных настроек представителями сообщества. Инсталлятор предоставляет такие функции, как выбор начального набора приложений, настройка сетевого подключения, языка, клавиатуры, часового пояса и параметров локализации, подготовка устройства хранения и разбивка разделов, добавления пользователей в систему.

Для установки пакетов, проверки оборудования, разбивки дисков и прочих необходимых при инсталляции функций в Agama продолжают использоваться библиотеки YaST, поверх которых реализованы сервисы-прослойки, абстрагирующие доступ к библиотекам через унифицированный коммуникационный протокол на базе HTTP. В инсталляторе используется многопроцессная архитектура, благодаря которой интерфейс взаимодействия с пользователем не блокируется во время выполнения других работ.

Базовый интерфейс для управления установкой построен с использованием web-технологий. Web-интерфейс написан на JavaScript с использованием фреймворка React и компонентов PatternFly. Сервис для обмена сообщениями, а также встроенный http-сервер, написаны на языке Ruby.

В новой версии:

• Унифицирован интерфейс для настройки языка, раскладки клавиатуры и часового пояса. Ранее настройки локализации отдельно предоставлялись для интерфейса инсталлятора и для устанавливаемого дистрибутива, что вводило пользователей в заблуждение.
• Переделан интерфейс для настройки подключения к беспроводной сети.
• В интерфейсе разбивки дисковых разделов проведена реорганизация контекстных меню и добавлены дополнительные пояснения.
• Предоставлена возможность использования web-интерфейса для регистрации расширений.
• Улучшен режим автоматизированной установки.
  • Предоставлена возможность интерактивной настройки параметров iSCSI и DASD при автоматизированной установке.
  • Улучшен поиск накопителей и дисковых разделов на целевой системе, а также их сопоставление с имеющимися сценариями автоматизированной установки.
  • Добавлено новое свойство mdRaids для создания MD RAID-массивов при автоматизированной установке.
  • В настройки загрузчика добавлены опции для управления таймаутом показа загрузочного меню и передачи ядру дополнительных параметров.
  • В настройки сети добавлена возможность создания сетевых интерфейсов в режиме сетевого моста.
  • В настройках AutoYaST разрешено указание относительных путей в URL.
• В интерфейсе командной строки реализована команда "agama monitor" для отслеживания процесса установки на другой системе.

1. Главная ссылка к новости
2. OpenNews: openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM
3. OpenNews: Бета-выпуск дистрибутива openSUSE Leap 16
4. OpenNews: Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 13
5. OpenNews: Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE
6. OpenNews: openSUSE тестирует поддержку повторяемых сборок

• CVE-2025-32801 - позволяет локальному пользователю получить root-привилегии в системах, в которых Kea запускается под пользователем root, или получить полный контроль над сервером Kea в системах, запускающих Kea под пользователем с урезанными привилегиями. Атака осуществляется через обращение к REST API, предоставляемому сервисом kea-ctrl-agent и по умолчанию принимающему запросы через localhost:8000. В большинстве конфигураций REST API доступен для всех локальных пользователей системы без прохождения аутентификации.

  Эксплуатация осуществляется через отправку команды set-config, позволяющей управлять настройками всех сервисов Kea. Среди прочего команда может использоваться для изменения параметра "hooks-libraries", влияющего на загрузку дополнительных библиотек-обработчиков. Атакующий может добиться выполнения своего кода в контексте сервисов Kea через подстановку своей библиотеки, функция с атрибутом "constructor" из которой будет вызвана при открытии библиотеки функцией dlopen().

  
     curl -X POST -H "Content-Type: application/json" \
      -d '{ "command": "config-set", "arguments":
            { "Control-agent": {"hooks-libraries": [{"library": "/home/someuser/libexploit.so"}] }}}' \
      localhost:8000
  

• CVE-2025-32802 - уязвимость даёт возможность использовать команду config-write в REST API для перезаписи любого файла в системе, насколько позволяют права пользователя, под которым выполняется Kea. Атакующий может контролировать записываемое содержимое, но данные записываются в формате JSON и должны включать корректные настройки Kea. Тем не менее, не исключается, что этого может быть достаточно для запуска команд с правами root через манипуляцию с файлами в каталоге /etc/profile.d.

  
     curl -X POST -H "Content-Type: application/json" \
      -d '{ "command": "config-write", "arguments": { "filename": "/etc/evil.conf" } }' \
      localhost:8000
  

  Отдельно упоминается несколько сценариев использования команды config-write для изменения настроек Kea. Например, можно перенаправить лог файлы в произвольное место файловой системы, организовать спуфинг управляющих UNIX-сокетов сервисов или блокировать работу Kea.

• CVE-2025-32803 - логи (/var/log/kea*.log), а также файлы /var/lib/kea/*.cvs, содержащие информацию о привязке IP-адресов (DHCP lease) и сопутствующие данные, доступны всем на чтение.

Запуск Kea с правами root практикуется в дистрибутивах Arch Linux, Gentoo, openSUSE Tumbleweed (до 23 мая), FreeBSD, NetBSD (pkgsrc) и OpenBSD. В Debian, Ubuntu и Fedora сервис запускался под отдельным непривилегированным пользователем. В Gentoo пакет с Kea доступен только в unstable-репозитории для архитектуры amd64. В Ubuntu, в отличие от других систем, сервис kea-ctrl-agent запускался только в случае указания в настройках доступа к REST API по паролю. Проследить за публикацией обновлений пакетов в дистрибутивах можно на страницах: Debian, Ubuntu, RHEL, openSUSE, Fedora, Gentoo, ALT Linux, Arch, FreeBSD, OpenBSD и NetBSD.

Дополнительно можно отметить уязвимость (CVE-2025-23394), проявляющуюся в пакете с IMAP-сервером Cyrus, поставляемом проектом openSUSE в репозиториях Tumbleweed и Factory. Уязвимость даёт возможность локальному пользователю поднять привилегии с пользователя cyrus до root. Уязвимости присвоен критический уровень опасности (9.8 из 10), но он необоснованно завышен, так как для атаки требуется наличие прав cyrus, которые можно получить через эксплуатацию какой-то иной уязвимости в cyrus-imapd.

Проблема вызвана ошибкой при работе с символическими ссылками в скрипте daily-backup.sh, специфичном для дистрибутивов SUSE/openSUSE. Суть уязвимости в том, что скрипт daily-backup.sh запускается с правами root, но производит запись в каталог /var/lib/imap, в котором может создавать файлы непривилегированный пользователь cyrus. Атака сводится к созданию символической ссылки, указывающей на системный файл (например, можно создать символическую ссылку /var/lib/imap/mailboxes.txt, указывающую на /etc/shadow). Уязвимость устранена в версии пакета cyrus-imapd 3.8.4-2.1.

1. Главная ссылка к новости
2. OpenNews: Опубликован DHCP-сервер Kea 1.6, развиваемый консорциумом ISC
3. OpenNews: Удаленный запуск кода злоумышленником в Cyrus IMAP
4. OpenNews: Критическая уязвимость в конфигурациях Postfix, использующих SASL-библиотеку Cyrus
5. OpenNews: FastMail продолжит развитие Cyrus IMAP после сворачивания разработки в CMU
6. OpenNews: Уязвимости в Cyrus IMAPd, Spring Framework, rsyslog, CUPS, OpenTTD, Wireshark, Tomcat, librsvg и QEMU

Основные изменения в Chrome 137:

• В сборки для Windows и macOS интегрирован чат-бот Gemini, который может пояснять содержимое просматриваемой страницы и отвечать на связанные со страницей вопросы, не переключаясь с текущей вкладки. Поддерживается текстовое и голосовое взаимодействие с Gemini. Работа с чат-ботом пока доступна только части пользователей из США, имеющих подписки Google AI Pro и Ultra.
• По аналогии с ранее реализованным сегментированием хранилища, обеспечена изоляция обработки URL-схемы "blob:", предназначенной для доступа к локально сгенерированным данным через API Blob или File. При сегментировании к ключу, применяемому для извлечения объектов, прикрепляется отдельный признак, определяющий привязку к первичному домену, с которого открыта основная страница, что позволяет блокировать методы отслеживания перемещений пользователя между сайтами через манипуляцию с URL "blob:".
• В режиме расширенной защиты браузера (Safe Browsing > Enhanced protection) активирована возможность использования большой языковой модели для определения мошеннических страниц по их содержимому. AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google. В текущей версии пока производится только сбор информации о проблемных страницах. В следующем выпуске планируется начать выводить предупреждения пользователю.
• Включена защита от скрытой идентификации пользователей при помощи кэша HSTS (HTTP Strict Transport Security). HSTS позволяет сайтам при входе по HTTP перенаправить пользователя на HTTPS. В процессе работы имя хоста, выставленного через HSTS, сохраняется во внутреннем кэше, что позволяет использовать факт присутствия или отсутствия хоста в кэше для хранения одного бита информации. Для скрытого хранения 32-разрядного идентификатора пользователя можно использовать массив из 32 изображений, отдаваемых с разных хостов по HTTP (http://bit0.example.com/image.jpg, http://bit1.example.com/image.jpg и т.п.). Определение идентификатора производится путём проверки с каких хостов изображения загрузились по HTTPS, а с каких по HTTP (если изображения были отданы ранее по HTTP и через HSTS перенаправлены на HTTPS, то при последующих запросах они сразу будут загружены с HTTPS, минуя обращение по HTTP). Защита сводится к разрешению обновления HSTS только для ресурсов верхнего уровня и блокировке обновления HSTS в запросах субресурсов.
• Для соединений WebRTC реализована поддержка протокола DTLS 1.3 (Datagram Transport Layer Security, аналог TLS для UDP). Поддержка DTLS 1.3 необходима для использования алгоритмов постквантового шифрования в WebRTC.
• Удалена опция командной строки "--load-extension", позволяющая загружать дополнения. Опция убрана с целью снижения риска её использования для подстановки вредоносных дополнений. Для принудительной загрузки распакованных дополнений рекомендуется использовать кнопку Load Unpacked на странице управления дополнениями (chrome://extensions/) после включения режима для разработчика. В Chromium и тестовых сборках Chrome For Testing поддержка опции "--load-extension" сохранена.
• Решено отказаться от автоматического отката на использование для WebGL системы программной отрисовки SwiftShader, реализующей API Vulkan. В случае отсутствия должного бэкенда на базе GPU создание контекста WebGL теперь будет возвращать ошибку, а не переключаться на SwiftShader. Прекращение использования SwiftShader позволит повысить безопасность, благодаря исключению выполнения сгенерированного JIT-компилятором кода в процессе, отвечающем за взаимодействие с GPU. Для возвращения использования SwiftShader предусмотрена отдельная опция командной строки "--enable-unsafe-swiftshader". В версии Chrome 137 для пользователей платформ Linux и macOS при использовании SwiftShader в web-консоль будет выводиться предупреждение, а в Chrome 138 откат на Swiftshader будет отключён. Для пользователей Windows система SwiftShader заменена на встроенную в Windows систему программной отрисовки WARP (Windows Advanced Rasterization Platform).
• В настройки добавлена возможность включения функции "Autofill with AI", упрощающей заполнение web-форм. При включении браузер задействует AI-модель для понимания web-формы и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
• В API Web Cryptography добавлена поддержка криптоалгоритмов на базе эллиптической кривой Curve25519, таких как алгоритм формирования цифровых подписей Ed25519.
• Реализовано CSS-свойство "reading-flow", позволяющее управлять порядком обработки элементов во flex, grid и блочных контейнерах при использовании экранных ридеров и при последовательной навигации. Также добавлено свойство "reading-order", дающее возможность вручную переопределять порядок элементов.
• В CSS предложена функция "if()", предназначенная для выбора значений в зависимости от результата выполнения условных выражений. В качестве аргумента передаётся разделённый точкой с запятой список пар "условие:значение". Функция перебирает эти пары и останавливается при первом сработавшем условии. Например: "background-color: if(style(--color: white): black; else: white);".
• В CSS-свойстве offset-path реализована функция shape() для формирования фигур при помощи команд, эквивалентных функции path(), но позволяющих использовать для них стандартный синтаксис CSS.
• Добавлен API JSPI (JavaScript Promise Integration), обеспечивающий интеграцию WebAssembly-приложений с JavaScript-объектом Promise и позволяющий WebAssembly-программам выступать в роли генератора Promise и взаимодействовать с API на базе Promise.
• В API CanvasRenderingContext2D, OffscreenCanvasRenderingContext2D и ImageData добавлена поддержка пиксельных форматов, использующих значения с плавающей запятой для представления составляющих цвета.
• В режиме Origin trials предложены экспериментальные API Rewriter и Writer, позволяющие переделывать (например, более кратко излагать суть или менять стиль повествования) или генерировать текст при помощи больших языковых моделей.
• В инструменты для web-разработчиков добавлена возможность привязки к рабочим пространствам, позволяющая сохранять в локальных файлах изменения, добавленные в JavaScript, HTML и CSS при работе со встроенными в браузер инструментами. Расширены возможности AI-ассистента, который может изменять CSS и анализировать производительность.

Кроме нововведений и исправления ошибок в новой версии устранены 11 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 8 премии на сумму 7500 долларов США (по одной премии в $4000, $2000, $1000 и $500). Размер четырёх вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Выпуск web-браузера Chrome 136 с изоляцией стиля просмотренных ссылок
3. OpenNews: Google отказался от навязывания блокировки сторонних Cookie в Chrome
4. OpenNews: Браузер Chrome переведён на шрифтовой движок Skrifa, написанный на Rust
5. OpenNews: Google отключил дополнение uBlock Origin в каталоге Chrome Web Store
6. OpenNews: Инициатива по поддержке проектов, использующих движок Chromium

На данном этапе работа возможна только в окружениях с X-сервером, но автор не исключает реализацию поддержки Wayland. Основные возможности:

• Работа в многомониторных конфигурациях.
• Использование тегов для группировки окон и динамическое формирование виртуальных рабочих столов.
• Применение парадигмы логического программирования для расширения функциональности.
• Оформление файла конфигурации в форме кода на языке Пролог.
• Интеграция панелей задач polybar и lemonbar.
• Интеграция меню приложений dmenu и rofi.
• Высокая производительность и потребление всего 10-15 МБ памяти.
• Использование как динамического мозаичного размещения окон, так и классического режима с плавающими окнами.

1. Главная ссылка к новости
2. OpenNews: Релиз оконного менеджера IceWM 3.7.0
3. OpenNews: Представлен RubyWM, оконный менеджер, написанный целиком на Ruby
4. OpenNews: Доступен оконный менеджер i3wm 4.19
5. OpenNews: Релиз оконного менеджера cwm 6.6, развиваемого проектом OpenBSD
6. OpenNews: Релиз мозаичного оконного менеджера Awesome 4.3