Основные изменения:

• Устранена проблема с безопасностью, позволяющая атакующему подставить shell-команды через манипуляции со спецсимволами в имени пользователя или URI, которые могли быть выполнены при запуске команды, указанной через настройку "ProxyCommand" и содержащей подстановку "%u". Проблема затрагивает только системы, допускающие при запуске ssh подстановку имён пользователей или URI, полученных из незаслуживающих доверия источников.

  Для блокирования подобных атак запрещено использование управляющих символов в именах пользователей, указываемых при запуске в командной строке или подставляемых в настройки через %-последовательности. Также запрещено использование нулевого символа ("\0") в URI ssh://. Исключение сделано только для имён, заданных в файле конфигурации (подразумевается, что данные файле конфигурации заслуживают доверия).

• В утилиты ssh и ssh-agent добавлена поддержка ключей ed25519, хранимых в токенах PKCS#11.
• В файл конфигурации ssh_config добавлена настройка RefuseConnection, при обработке которой в активной секции осуществляется завершение работы процесса с выводом сообщения об ошибке без попытки установки соединения.

  
     Match host foo
       RefuseConnection "хост foo уже не используется, подключайтесь к хосту bar"
  

• В ssh и sshd добавлены обработчики сигнала SIGINFO для вывода в лог информации о сеансе и активном канале.
• В sshd в случае отклонения аутентификации пользователя по сертификату обеспечен вывод в лог не только причины блокировки входа, но и исчерпывающей информации для идентификации проблемного сертификата.
• В sshd добавлена проверка номера дисплея X11, относительно смещения, указанного в директиве X11DisplayOffset.
• В набор unit-тестов добавлены возможности измерения производительности, активируемые при запуске "make UNITTEST_BENCHMARK=yes" в OpenBSD или "make unit-bench" в остальных системах.

Изменения, потенциально нарушающие обратную совместимость:

• В ssh добавлен вывод предупреждения при установке соединения с использованием алгоритма согласования ключей, не стойкого к подбору на квантовом компьютере. Предупреждение добавлено из-за риска осуществления атак в будущем, используя ранее сохранённые дампы трафика. Для отключения предупреждения в ssh_config добавлена опция WarnWeakCrypto.

  
     Match host unsafe.example.com
         WarnWeakCrypto no
  

• В ssh и sshd значительно изменена обработка параметров качества обслуживания DSCP (IPQoS). Для интерактивного трафика теперь по умолчанию выставляется класс EF (Expedited Forwarding) для более приоритетной обработки в беспроводных сетях. Для не интерактивного трафика выставляется класс, по умолчанию используемых в операционной системе. Класс трафика можно изменить при помощи настройки IPQoS в ssh_config и sshd_config. Параметры ToS (type-of-service) для IPv4 в директиве IPQoS объявлены устаревшими (на мену ToS пришёл DSCP).
• В ssh-add при добавлении сертификата в ssh-agent реализовано выставление времени жизни сертификата в значение, на 5 минут большее, чем срок действия сертификата (для автоматического удаления просроченного сертификата). Для отключения данного поведения в ssh-add добавлена опция "-N".
• Удалена поддержка ключей XMSS, которая была помечена как экспериментальная и никогда по умолчанию не включалась.
• Unix-сокеты, создаваемые процессами ssh-agent и sshd, перенесены из каталога /tmp в ~/.ssh/agent, что гарантирует невозможность обращения через данные сокеты из изолированных процессов, для которых ограничен доступ к файловой системе, но открыт доступ к /tmp.

В будущих выпусках будут объявлены устаревшими DNS-записи SHA1 SSHFP из-за проблем с надёжностью хэш-функции SHA1. Данные записи будут игнорироваться, а команда "ssh-keygen -r" будет генерировать только записи SHA256 SSHFP.

1. OpenNews: Релиз OpenSSH 10.0
2. OpenNews: Компания Cloudflare опубликовала opkssh для аутентификации в SSH через OpenID Connect
3. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода
4. OpenNews: Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов
5. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH

Для повышения безопасности в TinyUSB не применяются операции динамического выделения памяти. Поддерживается использование в многопоточных приложениях. Для безопасной многопоточной работы все события, связанные с возникновением прерываний, не обрабатываются сразу при поступлении ISR (Interrupt Service Request), а помещаются в очередь, которая разбирается и обрабатывается в контексте выполнения приложения, а не обработчика прерываний. При доступе к совместно используемым ресурсам, таким как FIFO CDC (Communication Device Class), применяются семафоры и мьютексы.

Стек абстрагирован от операционной системы и может использоваться как самодостаточный компонент, не привязанных к функциональности операционных систем. При этом доступны модули для интеграции TinyUSB с ОС FreeRTOS, RT-Thread и Apache Mynewt. Поддерживаются возможности снижения энергопотребления, такие как переход в спящий режим и пробуждение при появлении активности. Имеется начальная реализация протокола PD 3.0 (Power Delivery) для управления передачей электроэнергии через USB Type-C.

TinyUSB позволяет добавлять поддержку собственных классов USB-устройств и хостов без модификации USB-стека. Среди уже поддерживаемых в TinyUSB классов устройств:

• UAC2 - Audio Class 2.0;
• BTH HCI - Bluetooth Host Controller Interface;
• CDC - Communication Device Class;
• DFU - Device Firmware Update;
• HID - Human Interface Device (клавиатура, мышь, геймпад);
• MSC - Mass Storage Class (включая накопители с несколькими логическими устройствами);
• MIDI - Musical Instrument Digital Interface;
• MTP/PTP - Media Transfer Protocol;
• RNDIS, ECM (Ethernet Control Model) и NCM (Network Control Model) - сетевое взаимодействие через USB;
• USBTMC - Test and Measurement Class;
• UVC - Video class 1.5;
• WebUSB.

Поддерживаемые классы USB-хостов:

• HID - Human Interface Device;
• MSC - Mass Storage Class;
• CDC-ACM - Communication Device Class;
• FTDI, CP210x, CH34x, PL2303 - проброс последовательного порт поверх USB;
• USB Hub.

В новом выпуске расширен API для устройств и хостов. В реализации USB-хоста появилась поддержка устройств с несколькими конфигурациями. Добавлена поддержка микроконтроллеров и плат:

• ESP32-H4, ESP32-C5, ESP32-C61;
• STM32U0, STM32WBA, STM32N6;
• AT32F405, AT32F403A, AT32F415, AT32F423;
• CH32V305 и CH32V20x (USB host);
• MCXA156 SDK 2.16 и FRDM-MCXA156.

1. OpenNews: Выпуск Ventoy 1.1.07, инструментария для загрузки произвольных систем с USB-носителей
2. OpenNews: Intel реализовал поддержку eUSB2V2 для ядра Linux
3. OpenNews: Уязвимость в подсистеме Linux-ядра USB Gadget, потенциально позволяющая выполнить код
4. OpenNews: Атака на заблокированный ПК через USB
5. OpenNews: В USB-драйверах из состава ядра Linux выявлено 15 уязвимостей

Среди изменений:

• Упрощён доступ к настройкам верхней панели.
• Добавлена собственная реализация кода поддержки клавиш управления яркостью экрана. Ранее для управления яркостью использовался gnome-settings-daemon, но в выпуске GNOME 49 подобная функциональность была перенесена из gnome-settings-daemon в GNOME Shell.
• Демонстрационные плагины помечены признаком NoDisplay, т.е. теперь не показываются в конфигураторе phosh-mobile-settings.
• В композитном сервере Phoc добавлена начальная поддержка рабочих столов (Wayland-расширение ext-workspace).
• В экранной клавиатуре Stevia реализована возможность удаления целых слов при удержании клавиши Backspace; обеспечено автоматическое удаление предшествующего пробела при вставке знаков препинания; изменён стиль всплывающей подсказки с вариантами символов; налажена отрисовка на системах с несколькими экранами; улучшено оформление клавиш; добавлен юнит systemd для gnome-session 49.
• В конфигуратор phosh-mobile-settings добавлена поддержка корректировок настроек GSettings и XResources, используемых в postmarketOS. Добавлен демонстрационный плагин для плавного скрытия содержимого.
• В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка клавиши выхода из ждущего режима для устройств Fairphone 5 и FuriPhone FLX1.
• В xdg-desktop-portal-phosh добавлен интерфейс выбора файлов.
• Обновлены версии зависимостей: wlroots 0.19.1, GNOME 49, Calls 48.2, cellbroadcastd 0.0.2, feedbackd 0.8.6, feedbackd-device-themes 0.8.6, callaudiod 0.1.10, wys 0.1.12, mmsd-tng 2.6.3.

1. OpenNews: Выпуск Phosh 0.48.0, GNOME-окружения для смартфонов
2. OpenNews: Опубликован Droidian 99, вариант Debian для смартфонов
3. OpenNews: В postmarketOS и Alpine добавлена поддержка среды рабочего стола COSMIC
4. OpenNews: Опубликован postmarketOS 25.06, Linux-дистрибутив для смартфонов и мобильных устройств
5. OpenNews: Смартфон FLX1s, поставляемый с Debian и оболочкой на базе GNOME

17 сентября 2019 года Столлман покинул пост президента Фонда СПО и на его место в 2020 году был избран Джеффри Кнаут, которого несколько дней назад сменил Ян Келлинг. Отвечая на вопрос о планах, новый президент упомянул укрепление возможностей Фонда СПО противостоять новыми угрозами свободе пользователей и привлечение к движению свободного ПО новых сторонников.

На посвящённом сорокалетию мероприятии Зои Койман (Zoë Kooyman), исполнительный директор Фонда СПО, представила новый проект - LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об инициативе пока не приводятся, упоминается только то, что она позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение. Проект курирует Роб Савой (Rob Savoye), обладатель премии за продвижение и развитие свободного ПО, создатель свободного Flash-плеера Gnash, участник разработки GCC, Debian, GDB, DejaGnu, Newlib, Cygwin, One Laptop Per Child и Expect.

1. OpenNews: Фонду Apache исполнилось 20 лет
2. OpenNews: Фонду свободного ПО исполнилось 30 лет
3. OpenNews: Фонд свободного ПО празднует пятилетие лицензии GPLv3
4. OpenNews: X Window System исполнилось 40 лет, а FreeBSD - 31 год
5. OpenNews: Дистрибутиву Ubuntu Linux исполнилось 20 лет

В принтере могут использоваться картриджи HP 63 (US) и HP 302 (Europe), без DRM, привязок к производителю и ограничений на перезаправку. Допускается установка одного чёрного или одного цветного картриджа, а также обоих картриджей (чёрный + цветной). Поддерживается печать как на 27-миллимертровой рулонной бумаге, так и на отдельных листах A4 и A3. В черно-белом режиме обеспечивается печать с разрешением 600 dpi, а в цветном - 1200 dpi.

Для управления работой устройства задействована плата Raspberry Pi Zero W c выводом на 1.47-дюймовый TFT-экран (172 x 320) и переключением режимов при помощи кнопки-колеса навигации (Jogger wheel). Для управления картриджем применяется микроконтроллер STM32. Для взаимодействия с внешними устройствами заявлена поддержка USB Type-C (для подключения к компьютеру), USB Type-A (для устройств хранения), Wi-Fi 802.11ac и Bluetooth 4.1.

1. OpenNews: Метод клонирования отпечатков пальцев при помощи лазерного принтера
2. OpenNews: Техника использования 3D-принтера для обхода аутентификации по отпечаткам пальцев
3. OpenNews: Эксперимент по удалённому запуску кода на принтере
4. OpenNews: В прошивке сетевых принтеров Samsung и Dell найден бэкдор
5. OpenNews: Autodesk анонсировал Spark, открытую платформу для 3D-принтеров

ZLUDA 5 стал вторым значительным выпуском проекта, сформированным после чистки кодовой базы от кода, разработанного во время работы Анджея в компании AMD. С 2022 года Анджей работал в AMD над созданием слоя для совместимости GPU AMD с CUDA, но в 2024 году проект был свернут. В соответствии с условиями контракта и после получения разрешения на публикацию от представителя AMD, Анджей открыл код наработок, созданных во время работы в AMD и позволяющих выполнять CUDA-приложения поверх стека ROCm и runtime HIP (Heterogeneous-computing Interface for Portability).

В прошлом году Анджей был вынужден убрать код из открытого доступа после письма от юристов, давших понять, что разрешение, данное в ходе переписки по email, не имеет юридической силы. После этого Анджей начал работу над новой редакцией ZLUDA, сформированной на основе кодовой базы, существовавшей до начала работы Анджея в AMD. В текущем виде разработка сосредоточена на выполнении приложений, использующих CUDA для ускорения задач, связанных с машинным обучением. Проект пока ограничивается работой на GPU AMD, но в дальнейшем будет адаптирован для GPU Intel.

Ключевые улучшения в новом выпуске:

• Добавлена начальная поддержка запуска поверх ZLUDA фреймворков llm.c, Llama.cpp и PyTorch для выполнения больших языковых моделей с задействованием CUDA-оптимизаций, применяемых для GPU NVIDIA.
• Реализована начальная поддержка запуска приложений, использующих для повышения производительности библиотеки cuBLAS, cuBLASLt и nvml.
• Добавлена прослойка zluda_trace для трассировки приложений, использующих CUDA. При помощи zluda_trace можно диагностировать проблемы и выявлять недоработки в ZLUDA, мешающие нормальному выполнению приложения.
• Представлена утилита командной строки zoc (ZLUDA offline compiler), позволяющая компилировать файлы с инструкциями NVIDIA PTX в промежуточное представление AMD RDNA (ранее данная функциональность была доступна в форме библиотечных функций).
• В загрузчике модулей PTX реализован механизм кэширования выполняемых на GPU ядер. Кэширование позволяет избежать повторного выполнения ресурсоёмких операций компиляции инструкций PTX (Parallel Thread Execution) в машинный код для заданного GPU.
  1. OpenNews: Выпуск ZLUDA 4, универсальной реализации технологии CUDA
  2. OpenNews: Проект ZLUDA продолжит развитие в форме универсальной реализации CUDA
  3. OpenNews: Требования юристов AMD привели к удалению части кода ZLUDA, открытой реализации CUDA
  4. OpenNews: NVIDIA препятствует разработке транслирующих прослоек для запуска CUDA на других платформах
  5. OpenNews: Опубликован инструментарий ZLUDA, позволяющий запускать CUDA-приложения на GPU AMD

Ключевые изменения:

• Осуществлён переход на пакетную базу Debian 13 (ранее использовался Debian 12). Ядро Linux продолжает использоваться 6.12.
• Предложена новая тема оформления, а также новый набор пиктограмм, набор GTK-тем и коллекция обоев для рабочего стола. По умолчанию задействован шрифт Nunito Sans Light вместо шрифта Piboto, используемого последние 10 лет.
• Добавлен унифицированный конфигуратор Control Centre, который заменил собой отдельные программы для настройки параметров системы, экрана, клавиатуры, мыши, вывода на печать, оформления рабочего стола и панели. Переключение между разными разделами настроек осуществляется при помощи вкладок. Каждый раздел оформлен как динамически загружаемый плагин.
  
  
• Расширена функциональность приложения Bookshelf, предоставляющего интерфейс для навигации по коллекции электронных версий журналов и книг, распространяемых издательством Raspberry Pi Press. Изменена модель предоставления бесплатных версий материалов - вначале доступ к бесплатным версиям свежих изданий предоставляется подписчикам журнала Raspberry Pi Magazine, а через несколько месяцев всем остальным пользователям. Недавно опубликованные книги, пока доступные только для подписчиков, снабжаются в интерфейсе меткой в форме замка.
• Сделана более модульной установка пакетов, образующих системный образ с рабочим столом. Для преобразования полной десктоп-сборки в lite-версию и наоборот, а также для создания кастомизированных образов, пакеты, формирующие разные сборки, сгруппированы в набор мета-пакетов. Метапакеты позволяют создать требуемое пользовательское окружение поверх минималистичного образа Raspberry Pi OS Lite или удалить ненужную функциональность для высвобождения места в полной сборке Raspberry Pi OS. Доступные мета-пакеты:
  • rpd-wayland-core и rpd-x-core - начинка базового окружения рабочего стола на основе Wayland и X11.
  • rpd-wayland-extras и rpd-x-extras - расширенные утилиты для Wayland и X11, такие как программы для удалённой работы с рабочим столом и создания скриншотов.
  • rpd-theme - темы оформления.
  • rpd-preferences - конфигуратор.
  • rpd-applications - базовый набор приложений (редактор Geany, среда Python-разработки Thonny, Firefox и Chromium).
  • rpd-utilities - дополнительный набор программ (Raspberry Pi Connect, SD Card Copier, Bookshelf, Text Editor и Image Viewer).
  • rpd-developer - библиотеки и инструменты для разработчиков.
  • rpd-graphics - пакеты для работы с графикой и видео, такие как FFmpeg and GStreamer.

1. OpenNews: Новая версия дистрибутива Raspberry Pi OS
2. OpenNews: Представлен компьютер-клавиатура Raspberry Pi 500+
3. OpenNews: Для плат Raspberry Pi опубликован генератор системных образов rpi-image-gen
4. OpenNews: Представлен Raspberry Pi Connect, сервис для подключения к Raspberry Pi OS из браузера
5. OpenNews: Выпуск дистрибутива Raspberry Pi OS, переведённого на Debian 12, PipeWire и Wayland

Предложенный бесплатный вариант может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений и не решает проблем, озвученных проектом F-Droid, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google подобное ограничение не позволит злоумышленникам злоупотреблять бесплатной неверифицированной учётной записью.

Перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.

Из дополнительных проблем, которые могут возникнуть у пользователей при установке программ после введения обязательной верификации разработчиков упоминается необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему серверу Google для проверки прохождения верификации разработчиком приложения, заверившим пакет своей цифровой подписью.

Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. Google также работает над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок - каталоги смогут использовать токены предварительной аутентификации (pre-auth token), при помощи которых можно будет установить связанные с ними приложения.

Поддержка прямой установки любых приложений при помощи утилиты "adb" (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется "adb". Также будет сделано исключение для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.

Верифицированные учётные записи разработчиков, уличённых в распространении вредоносных изменений, будут ограничиваться, а все связанные с ними приложения блокироваться для установки на устройствах пользователей. Блокировка будет применяться не только к авторам вредоносного ПО, но и к разработчикам, вовлечённым в его распространение обманным путём, например, после захвата учётной записи через фишинг.

В обсуждении представители Google признали, что в некоторых случаях, например, при распространении программ для диссидентов, авторы приложений хотят сохранить анонимность. Для защиты интересов подобных категорий разработчиков Google обещает публично не разглашать персональные данные (обещание не касается раскрытия данных в ответ на запросы правоохранительных органов).

Также упоминается проблема с дублирование имён приложений - в разных каталогах разные приложения могут иметь одинаковые имена пакетов, но после введения верификации допускаются только уникальные имена. Для решения данной проблемы решено оставлять неизменным имя пакета, имеющего большее число установок. Автору менее популярного приложения придётся переименовать пакет.

Не рассмотренной остаётся невозможность установки и регистрации приложений, которые каталог F-Droid своими силами собирает из исходного кода и упаковывает в пакеты, заверенные своей цифровой подписью, а не подписью фактического разработчика. F-Droid не может регистрировать сторонние приложения от своего имени, так как это обозначало бы захват идентификаторов и присвоение исключительных прав на распространение чужих программ, а также привело бы к появлению дубликатов имён программ, распространяемых авторами через другие каталоги.

Компоненты для верификации приложений будут предложены в обновлении Android 16 QPR2, которое будет доведено до пользователей в декабре. Для пользователей уже выпущенных версий Android изменение будет реализовано через обновление компонента Google Play Protect. Возможность прохождения верификации всех разработчиков приложений будет предоставлена в марте 2026 года. В сентябре 2026 года проверка станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде. В 2027 году практика запрета программ от неверифицированных разработчиков постепенно начнёт применяться и в других странах.

Для верификации разработчик должен зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).

После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Для предотвращения присвоения авторства над уже существующими чужими пакетами, разработчик должен продемонстрировать возможность формирования цифровых подписей тем же ключом, что был использован для заверения существующих приложений.

1. OpenNews: Угроза существованию F-Droid после введения регистрации разработчиков Android-приложений
2. OpenNews: В сертифицированных Android-устройствах запретят установку приложений от незарегистрированных разработчиков
3. OpenNews: Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов
4. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
5. OpenNews: Google заменил Android Developer Preview на непрерывно обновляемую ветку Canary

Ян Келлинг с 2017 года трудоустроен системным администратором Фонда СПО и в 2021 году, после реструктуризации процессов управления организацией, вошёл в совет директоров в качестве участника, представляющего мнение персонала Фонда. До 2017 года Ян помогал Фонду СПО в качестве волонтёра. Кроме работы в Фонде СПО Ян участвовал в разработке и исправлении ошибок во многих открытых проектах, включая GNU Emacs, Debian, Fedora, Arch Linux и Mediawiki.

Ян отмечен, как участник совета директоров, сочетающий технические знания, позволяющие авторитетно высказываться по большинству вопросов свободного ПО, с налаженной связью с сообществом и способностью доносить идеи в публичных выступлениях. Ричард Столлман охарактеризовал Яна как проявившего здравый смысл и твёрдую приверженность движению свободного ПО. По мнению Джеффри Кнаута, сложившего с себя полномочия президента Фонда СПО, в ходе своей работы в совете директоров Ян продемонстрировал полное понимание философии свободного ПО и её применение в современных реалиях, а также способность распознавать угрозы свободе пользователей, возникающие по мере развития новых технологий.

1. OpenNews: Изменения в составе совета директоров Фонда СПО
2. OpenNews: Мэтью Гаррет опроверг критику TPM, распространяемую Фондом СПО
3. OpenNews: Фонд СПО утвердил трёх новых членов совета директоров
4. OpenNews: Фонд СПО признал Llama 3.1 несвободной лицензией
5. OpenNews: Фонд Apache сменил логотип и начал использование акронима ASF

Для проведения атаки достаточно любого непривилегированного аутентифицированного доступа к платформе, например, атаку может провести подключённый к OpenShift AI исследователь, использующий Jupyter notebook. Проблеме присвоен критический уровень опасности - 9.9 из 10.

Уязвимость вызвана некорректным назначением роли "kueue-batch-user-role", которая по ошибке оказалась привязана к группе "system:authenticated", что позволяло любому пользователю сервиса создать работу (OpenShift Job) в любом пространстве имён. Среди прочего любой пользователь мог создать работу в привилегированном пространстве имён "openshift-apiserver-operator" и настроить её запуск с привилегиями ServiceAccount.

В окружении для выполнения кода с привилегиями ServiceAccount доступен токен доступа с правами ServiceAccount, который атакующий мог извлечь и использовать для компрометации более привилегированных учётных записей. В конечном счёте, атаку можно было довести до получения root-доступа к master-узлам, после чего атакующий получал возможность полного управления всем содержимым кластера.

1. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
2. OpenNews: Red Hat представил дистрибутив RHEL AI
3. OpenNews: Уязвимость в патчах Red Hat к загрузчику GRUB2, позволяющая обойти проверку пароля
4. OpenNews: Взлом внутреннего GitLab-сервера Red Hat

В представленных атакующими скриншотах и примерах упоминается о получении данных, связанных с около 800 клиентами Red Hat, среди которых Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, Merrick Bank, Telefonica, Bank of America, Delta Air Lines, Walmart, Kaiser, IBM, SWIFT, IKEA и AT&T, а также Центр разработки надводного вооружения ВМС США, Федеральное управление гражданской авиации США, Федеральное агентство по управлению в чрезвычайных ситуациях США, Военно-воздушные силы США, Агентство национальной безопасности США, Ведомство по патентам и товарным знакам США, Сенат США и Палата представителей США.

Утверждается, что захваченные репозитории содержат сведения об инфраструктуре клиентов, конфигурацию, токены аутентификации, профили VPN, данные инвентаризации, Ansible playbook, настройки платформы OpenShift, CI/CD runner-ы, резервные копии и другие данные, которые могут быть использованы для организации атаки на внутренние сети клиентов. Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости.

Компания Red Hat подтвердила инцидент с безопасностью, но не привела подробности и не прокомментировала информацию о содержимом утечки. Упоминается только то, что взломанный GitLab-сервер использовался в консалтинговом подразделении и компания предприняла шаги, необходимые для расследования и восстановления. Представители Red Hat утверждают, что у них нет оснований полагать, что взлом затронул другие сервисы и продукты компании, кроме одного сервера GitLab.

Дополнение: Компания Red Hat опубликовала начальный отчёт об инциденте. Подробностей в отчёте не приводится, указано только, что компания начала расследование, в ходе которого выявлено, что неизвестный получил доступ к GitLab-серверу, используемому для ведения проектов команды Red Hat Consulting, и загрузил с него некоторые данные.

По поводу выгруженных атакующим данных утверждается, что они содержали спецификации проектов, примеры кода и внутренние информационные материалы о консалтинговых услугах. На текущем этапе анализа инцидента пока не выявлено утечки важных персональных данных.

Каким образом атакующий смог получить доступ к GitLab-серверу не уточняется, но указано, что в атаке не использовалась вчера выявленная уязвимость (CVE-2025-10725) в OpenShift AI Service, позволяющая аутентифицированному непривилегированному пользователю, например, исследователю, использующему Jupyter notebook, получить права администратора кластера, имеющего полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера.

1. OpenNews: Утечка документации и кода, связанного с работой Великого китайского фаервола
2. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
3. OpenNews: Взлом Internet Archive привёл к утечке 31 миллиона учётных записей
4. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
5. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным

Radicle позволяет не зависеть при разработке и распространении кода от централизованных платформ и корпораций, привязка к которым вносит дополнительные риски (единая точка отказа, компания может закрыться или изменить условия работы). Для управления кодом в Radicle используется привычный Git, расширенный средствами определения репозиториев в P2P-сети. Все данные в первую очередь сохраняются локально (концепция local-first) и всегда доступны на компьютере разработчика, независимо от состояния сетевого подключения.

Участники предоставляют доступ к своему коду и связанным с кодом артефактам, таким как патчи и обсуждения исправления ошибок (issues), которые сохраняются локально и реплицируются на узлы других заинтересованных разработчиков, подключённые к общей децентрализованной P2P-сети. В итоге формируется глобальный децентрализованный Git-репозиторий, данные которого реплицированы и продублированы на разных системах участников.

Для определения соседних узлов в P2P-сети применяется протокол Gossip, а для репликации данных между узлами протокол Heartwood, основанный на Git. Так как протокол основан на Git, платформу легко интегрировать с существующими инструментами для разработки на Git. Для идентификации узлов и верификации репозиториев используется криптография на основе открытых ключей, без применения учётных записей. Аутентификация и авторизация осуществляется на основе открытых ключей без централизованных удостоверяющих серверов.

Каждый репозиторий в P2P-сети имеет свой уникальный идентификатор и самосертифицирован (self-certifying), т.е. все действия в репозитории, такие как добавление коммитов и оставление комментариев к issue, заверяются владельцем цифровой подписью, позволяющей убедиться в корректности данных на других узлах без использования централизованных удостоверяющих центров. Для получения доступа к репозиторию достаточно, чтобы в online находился хотя бы один узел, на котором имеется его реплицированная копия.

Узлы в P2P-сети могут подписываться на определённые репозитории и получать обновления. Возможно создание приватных репозиториев, доступных только определённым узлам. Для управления и владения репозиторием используется концепция "делегатов" (delegates). Делегатом может быть как отдельный пользователь так и бот или группа, привязанные к специальному идентификатору. Делегаты могут принимать в репозиторий патчи, закрывать issue и задавать права доступа к репозиторию. К каждому репозиторию может быть привязано несколько делегатов.

Radicle-репозитории хранятся на системах пользователей в виде обычных git-репозиториев, в которых присутствуют дополнительные пространства имён для хранения данных пиров и форков, с которыми осуществляется текущая работа. Обсуждения, предлагаемые патчи и компоненты для организации рецензирования тоже сохраняются в git-репозитории в виде совместных объектов (COB - Collaborative Objects) и реплицируются между пирами.

В новом выпуске:

• Улучшена поддержка bare-репозиториев, не содержащих рабочего каталога с копией файлов проекта, а хранящих только историю изменений и метаданные, такие как ветки и теги. В команду "rad clone" добавлена опция "--bare", позволяющая клонировать репозиторий в представление без рабочего дерева. В утилите "git-remote-rad" улучшена работа с bare-репозиториями при использовании команд "git push" и "git fetch" при обращении к внешнему rad-серверу.
• Добавлена настройка "patch.branch", которую можно использовать в утилите git-remote-rad ("git-remote-rad -o patch.branch[=<name>]") при добавлении патча для автоматического создания ветки в upstream-репозитории, без необходимости использования команды "rad patch checkout".
• Улучшен вывод команды "rad patch show", которая теперь показывает исходную версию патча, выводимую ранее только при указании флага "--verbose". Все ревизии теперь выводится в единой хронологии без разделения на изменений от оригинального автора и других участников.
• Добавлена возможность вывода логов в структурированном представлении, включаемом через опции "--log-logger structured" и "--log-format json".

1. OpenNews: Доступна платформа совместной разработки Forgejo 12.0
2. OpenNews: Доступна децентрализованная система отслеживания ошибок git-bug 0.9
3. OpenNews: Выпуск глобальной децентрализованной файловой системы IPFS 0.9
4. OpenNews: Началась разработка GitPub, протокола для децентрализованных Git-сервисов
5. OpenNews: Выпуск zeronet-conservancy 0.7.8, платформы для децентрализованных сайтов

Основные новшества:

• Добавлена поддержка структуры EVP_SKEY (Symmetric KEY) для представления симметричных ключей как непрозрачных (opaque) объектов. В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные. Допустимо применение EVP_SKEY в функциях шифрования, обмена ключами и формирования ключей (KDF). Для работы с ключами EVP_SKEY добавлены функции EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() и EVP_PKEY_derive_SKEY().
• Добавлена поддержка верификации цифровых подписей на базе схемы LMS (Leighton-Micali Signatures), использующей хэш-функции и древовидное хэширование в форме дерева Меркла (Merkle Tree, каждая ветка верифицирует все нижележащие ветки и узлы). Цифровые подписи LMS устойчивых к подбору на квантовом компьютере и разработаны для заверения целостности прошивок и приложений.
• Добавлена поддержка категорий безопасности NIST для параметров объектов PKEY (открытые и закрытые ключи). Выставление категории безопасности осуществляется через настройку "security-category". Для проверки уровня безопасности добавлена функция EVP_PKEY_get_security_category(). Уровень безопасности отражает стойкость к подбору на квантовых компьютерах и может принимать целые значения от 0 до 5:
  • 0 - реализация, не стойкая ко взлому на квантовых компьютерах;
  • 1/3/5 - реализация не исключает поиск на квантовом компьютере ключа в блочном шифре со 128/192/256-битным ключом;
  • 2/4 - реализация не исключает поиск на квантовом компьютере коллизии в 256/384-битном хэше).
• Добавлена команда "openssl configutl" для обработки файла конфигурации. Утилита позволяет на основе многофайловой конфигурации с include-включениями сформировать сводный файл со всеми настройками.
• В криптопровайдер FIPS добавлена поддержка детерминированного формирования цифровых подписей ECDSA (при одних и тех же входных данных генерируется одна и та же подпись), в соответствии с требованиями стандарта FIPS 186-5.
• Повышены требования к сборочному окружению. Для сборки OpenSSL теперь недостаточно инструментария с поддержкой ANSI-C и требуется компилятор, совместимый со стандартом C-99.
• Объявлены устаревшими функции, связанные со структурой EVP_PKEY_ASN1_METHOD.
• Прекращена поддержка платформы VxWorks.

Исправленные уязвимости:

• CVE-2025-9230 - уязвимость в коде дешифровки CMS-сообщений, зашифрованных с использованием пароля (PWRI). Уязвимость может привести к записи и чтению данных вне выделенного буфера, что позволяет инициировать аварийное завершение или повреждение памяти в приложении, использующем OpenSSL для обработки CMS-сообщений. Не исключается эксплуатация уязвимости для организации выполнения своего кода, но опасность проблемы снижает то, что шифрование CMS-сообщений с использованием пароля на практике применяется крайне редко. Кроме версии OpenSSL 3.6.0 уязвимость устранена в выпусках OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 и 3.0.18. Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD.
• CVE-2025-9231 - реализация алгоритма SM2 подвержена атаке по сторонним каналам, позволяющей на системах с 64-разрядными CPU ARM воссоздать закрытый ключ, анализируя изменение времени выполнения отдельных вычислений. Потенциально атака может быть проведена удалённо. Опасность атаки снижает то, что OpenSSL напрямую не поддерживает использование сертификатов с ключами SM2 в TLS.
• CVE-2025-9232 - уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера при обработке в функциях HTTP Client специально оформленного URL. Проблема проявляется только при выставленной переменной окружения "no_proxy" и может привести к аварийному завершению приложения.

1. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.5.0
2. OpenNews: Выпуск криптографических библиотек OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 и Rustls 0.23.15
3. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.11.0
4. OpenNews: Выпуск криптографической библиотеки Botan 3.1.0
5. OpenNews: Amazon опубликовал открытую криптографическую библиотеку для языка Rust

Для ускорения отрисовки используется OpenGL, но на устаревших системах панель может работать в без визуальных эффектов в упрощённом режиме, потребляя минимум ресурсов. Предоставляются бэкенды для работы в окружениях на базе Wayland и X11. На системах с X11 поддерживается работа с любым оконным менеджером, а с Wayland - с композитными менеджерами, поддерживающими протокол wlr-layer-shell. Через официальные и разработанные сообществом плагины могут добавляться эффекты, макеты панели, анимации и апплеты. Через апплеты могут реализовываться дополнительные действия, такие как отображение состояния почтового ящика, приём и отправка мгновенных сообщений, контроль за работой медиаплеера, слежение за RSS-лентами, просмотр состояния загрузки торрентов, отображение погоды и вывод заданий из календаря-планировщика. Апплеты могут интегрироваться в панель и отсоединяться для превращения в десктоп-виджеты.

Ключевые новшества:

• Реализована полноценная возможность работы в сеансах на базе протокола Wayland. Поддерживаются только композитные серверы с реализацией Wayland-протокола wlr-layer-shell, развиваемого разработчиками библиотеки wlroots и предназначенного для позиционирования панели на экране. Для функционирования также требуется поддержка одного из Wayland-протоколов для управления окнами верхнего уровня (wlr-foreign-toplevel-management, plasma-window-management cosmic-toplevel-management).

  Протестирована работа с композитными серверами Wayfire, labwc, KDE KWin, Cosmic, Sway и Hyprland, но потенциально Cairo-Dock может использоваться с любыми проектами на базе wlroots. Не поддерживается работа с композитным менеджером Mutter - Cairo-Dock не совместим с GNOME и не может применяться с рабочим столом, предлагаемым по умолчанию в Ubuntu Desktop. Из ограничений также отмечается отсутствие поддержки глобальных комбинаций клавиш, ограничения одним экранном в многомониторных конфигурациях и проблемы с размещением десклетов и отслеживанием содержимого виртуальных рабочих столов.

• Добавлена поддержка экранов с высокой плотностью пикселей (HiDPI). Решена проблема с размыванием элементов при отрисковке с масштабированием для экранов с очень большим разрешением.
• Переработан код для определения приложений, что решило проблемы с неверной идентификацией приложений.
• Обновлён апплет для показа прогноза погоды, который переведён на нового провайдера, предоставляющего данные о погоде.
• Обеспечена интеграция с системным менеджером systemd. Cairo-Dock теперь может запускаться как сервис systemd, а для каждого запускаемого через Cairo-Dock приложения может создаваться отдельный slice в systemd.

1. OpenNews: Выпуск панели Cairo-Dock 3.4 с поддержкой Wayland
2. OpenNews: Панель Cairo-Dock адаптирована для работы с Wayland
3. OpenNews: Выпуск пользовательского окружения Sway 1.11
4. OpenNews: Выпуск miracle-wm 0.7, композитного менеджера на базе Wayland и Mir
5. OpenNews: Выпуск композитного сервера Hyprland 0.51

Время формирования обновлений для выпусков openSUSE Leap 16.x продлено с полутора до двух лет (два полных цикла подготовки релизов). Промежуточные выпуски в ветке openSUSE Leap 16, сопровождаемой параллельно с коммерческим дистрибутивом SUSE Linux Enterprise 16, будут формироваться до осени 2031 года - финальным станет выпуск openSUSE Leap 16.6, обновления для которого будут выпускаться до осени 2033 года. Как и раньше новые значительные выпуски дистрибутива будут публиковаться раз в год.

Основные особенности openSUSE Leap 16:

• Задействован новый инсталлятор Agama, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST и поставкой фронтенда для управления установкой через web-интерфейс.
• В инсталляторе для установки предложены только среды рабочего стола, использующие Wayland.
• Вместо традиционного стека YaST для управления системой задействован пакет Cockpit, а вместо YaST Software GUI предложен новый пакет Myrlyn.
• По умолчанию включена система мандатного контроля доступа SELinux. Поддержка AppArmor сохранена в качестве опции.
• Прекращена поддержка скриптов инициализации SysV. Возможно использование только unit-ов systemd.
• Прекращена поддержка архитектуры x86-64-v1. Работа возможна только на системах x86 с архитектурой x86_64-v2, которая поддерживается процессорами примерно с 2009 года (начиная с Intel Nehalem) и отличается наличием таких расширений, как SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B.
• По умолчанию в ядре отключена поддержка 32-разрядных систем x86 и запуска 32-разрядных исполняемых файлов. Для продолжения использования приложения Steam, которое существует только в 32-разрядной версии и требует для запуска наличия в системе установленных 32-битных зависимостей, в openSUSE реализован пакет grub2-compat-ia32, выставляющий параметр "ia32_emulation=1" при загрузке ядра Linux. Для работы Steam также потребуется установка пакета selinux-policy-targeted-gaming, не входящего в базовую поставку.
• Пакет Wine доступен только в 64-разрядных сборках, использующих режим Wow64 (64-bit Windows-on-Windows) для выполнения 32-разрядных Windows-приложений в 64-разрядных Unix-системах.
• Для управления репозиториями задействован сервис на базе протокола RIS (Repository Index Service). Для сокращения размера метаданных репозитории разделены для каждой поддерживаемой архитектуры. Вместо нескольких репозиториев задействован один общий репозиторий пакетов repo-oss, включающий как пакеты из SUSE Linux Enterprise, так и пакеты, сопровождаемые сообществом.
• В пакетном менеджере Zypper реализована возможность распараллеливания загрузки пакетов и метаданных, а также предложен новый бэкенд, более оптимально повторно использующий уже установленные соединения и повышающий эффективность обработки метаданных. При обновлении 250 пакетов суммарным размером 100 МБ время загрузки после включения нового бэкенда и параллельного режима сократилось с 68.7 секунд до 13.1 секунды, а при обновлении 407 пакетов размером 1 ГБ - с 281.1 секунды до 119.6 секунд.
• Добавлены варианты популярных библиотек, таких как boost, openjpeg2, sqlite3, libgcrypt, openssl и zlib, собранные с оптимизациями для новых CPU. Загрузка оптимизированных вариантов на системах с новыми CPU осуществляется компоновщиком из подкаталогов glibc-hwcaps, созданных в областях ФС, просматриваемых при поиске библиотек.
• Для систем с видеокартами NVIDIA по умолчанию задействованы открытые модули ядра и обеспечена автоматическая установка компонентов пространства пользователя, необходимых для ускорения графических операций.
• По умолчанию вместо PulseAudio задействован мультимедийный сервер PipeWire.
• Для настройки сетевых подключений оставлен только NetworkManager.
• Для применения исправлений к библиотекам в пространстве пользователя без остановки их работы задействован инструментарий libpulp. Live-патчи применяются для устранения критических ошибок и уязвимостей в glibc и openssl на системах с архитектурами x86-64 и ppc64le.
• Для сетевых интерфейсов задействована схема с предсказуемым выбором имён, при которой сетевому адаптеру назначается фиксированное имя, которое не изменится при добавлении/удалении других адаптеров.
• Применяемые по умолчанию настройки systemd перенесены из каталога /etc в /usr.
• По умолчанию отключён доступ по SSH с пользователем root при аутентификации по паролю.
• В состав включён фоновый процесс tuned, выполняющий автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки.
• Добавлена поддержка NFS поверх TLS.
• Для хранения раздела /tmp задействована ФС tmpfs, хранящая данные в памяти и не сохраняющая содержимое между перезапусками.
• Обновлены версии пакетов, среди которых ядро 6.12, glibc 2.40, systemd 257, wine 10.10, dovecot 2.4, QEMU 10.0.2, MariaDB 11.8, PostgreSQL 17, PHP 8.4, Node.js 22, Python 3.13, Rust 1.88, ruby 3.4, clang 19, gcc 15.
• Обновлены пользовательские окружения: GNOME 48 (в прошлом выпуске был GNOME 45), KDE 6.4 (был 5.27), Cinnamon 6.4 (был 6.0), LxQt 2.2 (был 1.2), Xfce 4.20 (был 4.18), MATE 1.28 (был 1.26), Sway 1.10 (был 1.6). Компоненты графического стека обновлены до Mesa 24.3 и Qt 6.9. Предоставлена возможность использования варианта Xfce 4.20 поверх композитного менеджера labwc, использующего Wayland. Для организации работы экрана входа в систему вместо LightDM реализована возможность использования greetd и gtkgreet. Добавлен Wayland-сеанс на базе LXQt.

1. OpenNews: Срок поддержки openSUSE Leap и openSUSE Leap Micro увеличен до 2 лет
2. OpenNews: Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 17
3. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 15 SP7
4. OpenNews: Компания SUSE попросила прекратить использование бренда SUSE в проекте openSUSE
5. OpenNews: Релиз дистрибутива openSUSE Leap 15.6