The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·11.07.2025 Браузерные дополнения вовлекают в построение распределённой сети скрапинга для AI-ботов (90 +14)
  Исследователи безопасности из компании Secure Annex обратили внимание на рост популярности нового метода монетизации браузерных дополнений, при котором из пользователей дополнений формируется распределённая сеть, применяемая для скрапинга (индексации содержимого сайтов). Системы пользователей используют в качестве web-ботов и прокси для скачивания содержимого сайтов - установленное браузерное дополнение получает с внешнего сервера инструкции по индексации сайтов, после чего в отдельном скрытом iframe запускает загрузку запрошенного контента и передаёт полученные данные внешнему сервису. В каталогах Chrome, Firefox и Edge применение данной схемы монетизации выявлено в 245 дополнениях, в сумме насчитывающих 909 тысяч установок.

Работа организуется через включение в код браузерных дополнений открытой JavaScript-библиотеки mellowtel.js, поставляемой под лицензией LGPLv3. Библиотека развивается проектом Mellowtel, продвигающим новую платформу монетизации, которая кроме браузерных дополнений может применяться в программах на базе фреймворков Flutter и Electron. Основная идея платформы в том, что разработчики браузерных дополнений и приложений могут зарабатывать деньги не через показ рекламы или сомнительные методы, такие как продажа данных, ущемляющих приватность пользователей, а через выполнение задач по индексации web-контента для обучения AI-систем.

Потребность AI-компаний в данных для обучения моделей привела к появлению многочисленных ботов, индексирующих сайты без разумного ограничения интенсивности отправки запросов и игнорируя правила индексирования robots.txt. Так как данные боты создают огромную паразитную нагрузку на серверы, нарушают нормальную работоспособность систем и отнимают время администраторов, последнее время их начинают активно блокировать. Например, сеть доставки контента Cloudflare реализовала опцию для блокирования подобных ботов по умолчанию, а многие проекты внедрили систему защиты от ботов Anubis, допускающую вход только после подбора на языке JavaScript значения, хэш SHA-256 от которого в сочетании с выданной сервером строкой содержит определённое число лидирующих нулей (данная задача требует ресурсов CPU для решения, но не требует ресурсов для проверки).

AI-компании готовы платить за индексацию и платформа Mellowtel предоставила возможность удовлетворить подобную потребность через вовлечение обычных пользователей в процесс сбора данных с сайтов. Платформа передаёт владельцам дополнений 55% от средств, вырученных от сотрудничества с AI-компаниями. Проект полностью легитимен и настаивает на том, что участие в скрапинге должно быть добровольным и активироваться только после явного согласия пользователя. Подразумевается, что пользователь в качестве благодарности к разработчикам дополнения может включить режим скрапинга и оказать им косвенную финансовую поддержку.

Проблема в том, что не все разработчики дополнений готовы работать честно и в открытую. В некоторых дополнениях пытаются скрыто от пользователя включить монетизацию Mellowtel в обход правил сервиса, что приводит к тому, что пользователь без явного согласия становится участником распределённой сети для загрузки данных с сайтов. Из 45 дополнений к Chrome, применяющих Mellowtel, 12 уже заблокированы Google за вредоносную активность. В каталоге Microsoft из 129 дополнений заблокировано 8, а в каталоге Mozilla из 71 дополнения заблокировано 2. Причины удаления не детализируются, но не исключается, что поводом стало некорректное использование Mellowtel.

Разработчик Mellowtel заявил, что для решения проблемы с возможным скрытым включением скрапинга сервис переходит на обязательную проверку всех дополнений, применяющих Mellowtel, на предмет обязательного отключения скрапинга по умолчанию (активация только после явного согласия пользователя) и наличия видимой кнопки для отключения. Запросы на получение заданий от дополнений не прошедших проверку будут помещаться в карантин и игнорироваться.

В процессе работы дополнения, использующие библиотеку Mellowtel, устанавливают websocket-соединение к внешнему серверу, размещённому в облаке AWS, через которое передают сведения о доступности пользователя, стране, пропускной способности канала связи и активации поддержки скрапинга пользователем. Периодически через соединение отправляются heartbeat-запросы, проверяющие доступность клиента. При появлении заданий на загрузку контента в просматриваемые пользователем страницы подставляется скрытый iframe, из которого осуществляется скрапинг.

Для загрузки внешних страниц из iframe, подставляемом при просмотре других сайтов, библиотека временно обходит предоставляемую в браузере защиту от загрузки стороннего контента, вырезая HTTP-заголовки Content-Security-Policy и X-Frame-Options и возвращая их после того, как нужная страница загружена. Вырезание осуществляется через модификацию сетевых запросов при помощи API declarativeNetRequest (для доступа к данному API дополнения запрашивают отдельное полномочие). Временное отключение заголовков Content-Security-Policy и X-Frame-Options негативно влияет на безопасность, так как на какое-то время убирает штатную защиту от атак с использованием межсайтового скриптинга (XSS).

Платформа Mellowtel аффилирована с компанией Olostep, предлагающей API для скрапинга, способный обходить защиту от ботов и параллельно выполнять до 100 тысяч запросов в минуту. Подобную активность сервиса, применённую в контексте одного сайта, можно сравнить с проведением распределённой DoS-атаки. Сервис также потенциально может использовать пользователей как прокси для извлечения контента из приватных сайтов, доступных только в подсетях, к которым пользователь получает доступ через VPN.

  1. OpenNews: Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов
  2. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
  3. OpenNews: Платформа совместной разработки SourceHut была выведена из строя на 7 дней из-за DDoS-атаки
  4. OpenNews: По статистике Cloudflare 6.8% интернет-трафика является потенциально мусорным
  5. OpenNews: Использование zip-бомбы для борьбы с вредоносными web-ботами
Обсуждение (90 +14) | Тип: Проблемы безопасности | Интересно
·11.07.2025 Google заменил Android Developer Preview на непрерывно обновляемую ветку Canary (30 +4)
  Компания Google объявила об изменении организации тестирования находящихся в разработке будущих выпусков платформы Android. Прекращена публикация отдельных предварительных выпусков Android Developer Preview, вместо которых предложена отдельная постоянно существующая ветка Android Canary, позволяющая разработчикам приложений на ранних стадиях тестировать вносимые в API изменения и улучшения. Формирование бета-выпусков Android, в которых акцент делается не на ознакомлении с новыми API, а на тестировании видимой пользователю функциональности, продолжится без изменений.

Ключевое отличие новой модели в том, что выпуски Developer Preview формировались по отдельности и их требовалось каждый раз специально прошивать на устройства, в то время как Canary является параллельно поддерживаемой тестовой веткой, непрерывно обновляемой (rolling stream) и отражающей актуальное состояние разработки платформы. Достаточно один раз прошить устройство на ветку Canary и все дальнейшие обновления с изменениями будут устанавливаться автоматически в режиме OTA (over-the-air). Сборки с веткой Canary подготовлены для прошивки на устройства Pixel и скоро станут доступны в Android Emulator (пока доступны только в тестовых версиях Android Studio и Android SDK).

Достоинством отдельной Canary-ветки также является независимость от релизов, что позволяет продолжить тестирования новых API после перехода очередного выпуска Android на стадию бета-тестирования. Ранее сборки Developer Preview привязывались к следующему релизу и прекращали формироваться после появления бета выпусков, что не позволяло продолжить тестирование экспериментальных API, которые не успели довести до готовности включения в бета-версию. В Canary такой проблемы не возникает и разработчики могут продолжать экспериментировать с ещё сырыми API, независимо от стадии подготовки будущего релиза. При этом не гарантируется, что все доступные в ветке Canary экспериментальные возможности попадут в состав ближайшего релиза.

  1. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
  2. OpenNews: Apple обеспечит поддержку разработки Android-приложений на языке Swift
  3. OpenNews: Выпуск мобильной платформы Android 16
  4. OpenNews: Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов
  5. OpenNews: Предварительный выпуск Android 16
Обсуждение (30 +4) | Тип: К сведению |
·10.07.2025 Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland (441 +89)
  Игорь Любунчич (Igor Ljubuncic), до 2024 года отвечавший в компании Canonical за продукты, связанные с высокопроизводительными вычислениями, провёл тестирование производительности и энергопотребления сеансов KDE Plasma 6.4 на базе X11 и Wayland. В конце июня Игорь опубликовал обзор возможностей KDE Plasma 6.4, в котором пришёл к выводу, что сеанс на базе Wayland уступает в производительности и больше нагружает CPU и GPU, чем сеанс на базе X11. В серии новых статей Игорь попытался более глубоко протестировать производительность обоих сеансов.

Изначально было отмечено, что при тестировании на ноутбуке Lenovo IdeaPad 3 с интегрированным GPU AMD в сеансе Wayland процессор постоянно нагружен примерно на 8% независимо от активности, а каждые 2-3 секунды наблюдается скачок, полностью нагружающий GPU. В сеансе X11 нагрузка на CPU и GPU во время простоя была на нуле. Дальнейшая проверка утилитой radeontop показала большее потребление ресурсов в сеансе Wayland, особенно при включении профиля "Color Accuracy" в настройках экрана. В таблице ниже указана создаваемая средняя нагрузка на GPU в процентах при аналогичном наборе запущенных приложений и сборе данных каждую секунду в течение 60 секунд.

Metric Wayland +
power efficiency
Wayland +
color accuracy
X11
Graphics pipe 3.31 4.03 2.47
Vertex Grouper + Tesselator 0.33 0.3 0.11
Texture Addresser 0.90 2.03 0.78
Shader Export 2.24 3.03 1.42
Sequencer Instruction Cache 0.06 0.08 0.03
Shader Interpolator 2.58 3.31 1.61
Scan Converter 2.54 3.18 1.54
Primitive Assembly 0.32 0.30 0.11
Depth Block 2.51 3.18 1.53
Color Block 2.51 3.18 1.54
VRAM 26.39 28.44 22.36
GTT 3.92 3.98 3.85
Memory Clock 33.33 54.90 54.81
Shader Clock 16.67 16.67 16.67

Тестирование потребления энергии утилитой powertop также показало преимущество сеанса X11: энергопотребление сеанса Wayland составило 6.09 ватт, Wayland с профилем "Color Accuracy" 6.05-6.08 ватт, а X11 - 5.67-5.87 ватт. В целом сделан вывод, что сеанс X11 расходует на 3-7% меньше заряда аккумулятора, чем Wayland.

Проверка нагрузки на CPU утилитой vmstat показала, что во время простоя сеанс X11 потреблял 1.83% CPU, а Wayland - 1.97% (2.1% с профилем Color Accuracy). Утилита была запущена на свежесозданных сеансах в терминале Konsole, подсчитывалось среднее значение при ежесекундной выборке на протяжении 60 секунд. Нагрузка на CPU при использовании Wayland оказалась выше на 7.6% (в режиме Color Accuracy на 14%), чем при использовании сеанса X11. В сеансе Wayland зафиксировано на 25% больше прерываний и на 48% больше переключений контекста.

Metric Wayland +
power efficiency
Wayland +
color accuracy
X11
Average no. of tasks in the runqueue 0.18 0.35 0.07
Total tasks in the runqueue 11 21 4
Interrupts (in) 1188 1173 937
Context switches (cs) 1195 1208 803
Idle CPU % (id) 98.03 97.90 98.17

Затем при помощи утилиты perf был проведён анализ вызовов во время простоя. KWin_wayland потреблял примерно 1% (1.5%) процессорного времени, а KWin_X11 - 0.44%. Обращения к amdgpu составляли 0.77% (1%) для Wayland и 0.65% для X11. В режиме простоя в сеансе X11 было выполнено примерно в два раза меньше процессорных инструкций, чем в сеансе на базе Wayland.

Metric Wayland +
power efficiency
Wayland +
color accuracy
X11
CPU clock (ms) ~543,000 ~540,000 ~527,000
Context switches 14,415 | 26.547/s 16,120 | 29.864/s 6,021 | 11.436/s
CPU migrations 72 | 0.133/s 139 | 0.258/s 92 | 0.175/s
Page faults 201 | 0.37/s 450 | 0.834/s 75 | 0.142/s
Cycles 3.95B | 0.007 GHz 4.43B | 0.008 GHz 1.9B | 0.004 GHz
Stalled cycles frontend 452.5M | 11.47% 616.5M | 13.92% 213M | 11.13%
Stalled cycles backend 1.42B | 36.04% 1.45B | 32.82% 618M | 32.28%
Instructions 780M | 0.2/cycle
1.82 stalled/cycle
901M | 0.2/cycle
1.61 stalled/cycle
483M | 0.25/cycle
1.28 stalled/cycle
Branches 168M | 309K/s 193M | 358K/s 104M | 197K/s
Branch misses 13.83% 13.36% 11.7%

В следующей статье тесты были повторены в конфигурации c Kubuntu 24.04 с устаревшим выпуском KDE Plasma 5.27 и ноутбуком Lenovo Y50-70 с CPU Intel и видеокартой NVIDIA. Результаты оказались примерно теми же - сеанс Wayland оказался менее эффективен, чем X11: потребление энергии 22.42 ватт в Wayland и 21.86 ватт в X11, нагрузка на CPU в режиме простоя 0.067% против 0.050%, число переключений контекста - 43.835/s против 34.133/s, нагрузка при просмотре 4K видео в VLC - 12.54% против 4.26%, производительность WebGL - 16 FPS против 29 FPS.

Далее аналогичные тесты VLC и WebGL были воспроизведены на ноутбуке Lenovo IdeaPad 3 с CPU/GPU AMD с использованием свежей сборки от проекта KDE Neon.

  • В тесте с воспроизведением 4K видео в VLC нагрузка на CPU при использовании KDE X11 с выключенным композитингом составила 3.72%, KDE X11 со включённым композитингом - 9.8%, KDE Wayland c Color Accuracy (CA) - 25.71%, KDE Wayland в режиме эффективного потребления энергии (PE) - 31.51%. Таким образом нагрузка на CPU при использовании Wayland оказалась в 8-10 раз выше, чем при использовании X11.
  • При использовании Walyand в тесте VLC также зафиксирована генерация на 5-16% больше прерываний.
  • Разница нагрузки на GPU в тесте VLC была в пределах 2% отличий: KDE Wayland (PE) - 56.33%, KDE Wayland (CA) - 57.33%, KDE X11 (Comp ON) - 57.98%, KDE X11 (Comp OFF) - 56.81%.
  • В плане энергопотребления Wayland потребил в тесте VLC больше энергии на 8-49%: KDE X11 (Comp ON) - 10.7-12.1 ватт, KDE X11 (Comp OFF) - 11.4-14.9. ватт, KDE Wayland (CA) - 13.8-14.1 ватт, KDE Wayland (PE) - 13.8-20.4 ватт.
  • В тесте WebGL Aquarium результаты для Wayland и X11 оказались примерно одинаковыми: KDE Wayland (PE) - 16-38 FPS, KDE Wayland (CA) - 18-37 FPS, KDE X11 (Comp ON) - 16-42 FPS, KDE X11 (Comp OFF) - 21-42 FPS, но потребление энергии при использовании Wayland оказалось выше примерно на 8%.

В конечном счёте был проведён ещё один эксперимент, на этот раз охватывающий GNOME из Fedora 42 и KDE Plasma 6.4 из KDE neon. Тестирование проведено на ноутбуке Lenovo IdeaPad 3 c CPU/GPU AMD. Окружения для тестирования GNOME и KDE отличаются, как на уровне ядра и системных компонентов, так и на уровне процессов и настроек, обеспечивающих работу графических сеансов. Измерения не претендуют на точность и на них могут оказываться влияние множество факторов, но они могут отражать общие тенденции в производительности конфигураций по умолчанию на одном и том же оборудовании.

  • Нагрузка на CPU при нахождении системы в состоянии простоя: KDE X11 - 1.83%, KDE Wayland (PE) - 1.97%, KDE Wayland (CA) - 2.1%, GNOME Wayland - 2.2%.
  • Потребление энергии в состоянии простоя с одним окном терминала: KDE X11 - 5.67-5.87 ватт, KDE Wayland (CA) - 6.05-6.08 ватт, KDE Wayland (PE) - 6.09 ватт, GNOME Wayland - 5.83-7.62 ватт.
  • Нагрузка на GPU в состоянии простоя оказалась наименьшей в конфигурации с GNOME Wayland, но отличие объясняется разницей в запущенных приложениях System Monitor и GNOME System Monitor.
  • В статистике, собранной утилитой perf, наименьшее процессорное время в состоянии простоя было потрачено в конфигурации на базе GNOME.
  • В тесте воспроизведения видео 4K 60FPS в VLC сеанс GNOME в Fedora потребил немного меньше ресурсов CPU (29.6%), чем KDE на базе Wayland в режиме Color Accuracy (31.51%), но больше, чем сеанс KDE на базе X11 (9.8%) и Wayland в режиме эффективного потребления энергии (25.71%).
  • При оценке потребления ресурсов GPU сеанс GNOME в Fedora в тесте воспроизведения видео 4K 60FPS в VLC потреблял больше ресурсов GPU. Например, нагрузка на графический конвейер GPU в GNOME в Fedora - 58.21%, в KDE на базе Wayland - 56.33% и 57.33%, а в KDE X11 - 57.98%. Потребление видеопамяти в GNOME в Fedora более чем в два раза превысило (50.89) показатели KDE на базе Wayland (23.29 и 24.60) и на 15% превысило KDE X11 (44.36).
  • Потребление энергии при воспроизведении видео: KDE X11 - 11.4-14.9 ватт, KDE Wayland (CA) - 13.8-14.1 ватт, GNOME Wayland - 12.5-15.6 ватт, KDE Wayland (PE) - 13.8-20.4 ватт.
Metric Fedora 42 Wayland KDE neon Wayland (PE) KDE neon Wayland (CA) KDE neon X11 (Comp ON)
Idle CPU % (id) 97.8 98.03 97.90 98.17
Переключения контекста (cs) 536 1195 1208 803
Число прерываний (in) 929 1188 1173 937
Потребление энергии (ватт) 5.83-7.62 6.09 6.05-6.08 5.67-5.87
CPU clock (ms) ~492,000 ~543,000 ~540,000 ~527,000
Переключения контекста 9,468 | 19.244/s 14,415 | 26.547/s 16,120 | 29.864/s 6,021 | 11.436/s
Idle CPU % при просмотре видео 70.4 68.49 74.29 90.20
Нагрузка на графический конвейер GPU при просмотре видео 58.21% 56.33% 57.33% 57.98%
VRAM 50.89 23.29 24.60 44.36
Энегропотребление в ваттах при просмотре видео 12.5-15.6 13.8-20.4 13.8-14.1 11.4-14.9
FPS в тесте WebGL Aquarium 26-29 16-38 18-37 16-42
Энергопотребелние в тесте WebGL Aquarium 17-19 17-29 16-27 21-29

По итогам тестирования сделан вывод, что X11 ещё рано сбрасывать со счетов, а решения на базе Wayland требуют дополнительной оптимизации. X11 отмечается как по-прежнему самое оптимальное решение с точки зрения производительности. Реализация Wayland в KDE предположительно лучше, чем в GNOME - сеанс GNOME Wayland, реализованный в Fedora, судя по тестам менее производителен, чем сеанс KDE Wayland, который в свою очередь отстаёт от KDE X11.

  1. OpenNews: Ubuntu будет поставлять intel-compute-runtime без защиты от Spectre, снижающей производительность на 20%
  2. OpenNews: Сравнение производительности СУБД Valkey и Redis
  3. OpenNews: Производительность Ubuntu-пакета jq удалось увеличить в 1.9 раза путём пересборки
  4. OpenNews: Доступен GameMode 1.7, оптимизатор производительности игр в Linux
  5. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11
Обсуждение (441 +89) | Тип: К сведению |
·09.07.2025 Доступна система обнаружения атак Suricata 8.0 (41 +12)
  После двух лет разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 8.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Основные изменения:

  • Добавлена экспериментальная возможность использования Suricata в качестве межсетевого экрана. Режим межсетевого экрана позволяет использовать диалект языка правил инспектирования трафика для фильтрации сетевых пакетов.
  • Переработана возможность написания скриптов на языке Lua. В состав кодовой базы интегрирован интерпретатор Lua 5.4, запускаемый в sandbox-окружении, ограничивающем правила на языке Lua (например, из правил не может осуществляться запись в файлы или создаваться сетевые сокеты).
  • Предоставлена возможность динамической (во время работы) регистрации плагинов с парсерами протоколов, детекторами и компонентами для ведения логов.
  • Проведены значительные оптимизации производительности, позволившие ускорить различные аспекты работы движка, включая определение протоколов, загрузку правил и инициализацию. Ускорение достигается благодаря предсказанию переходов, оптимизации хэш-функций, увеличению размера буферов загрузки данных в формате PCAP и переработке синхронизации потоков. Также удалось сократить время запуска Suricata, используя кэширование, расширенную группировку портов и улучшенный алгоритм подстановки IP-адресов.
  • На языке Rust переписаны обработчики LibHTP, FTP, ENIP, а также код разбора MIME-типов, операции byte_extract и декодирования base64.
  • Добавлена поддержка протоколов DoH (DNS over HTTPS), LDAP, mDNS (Multicast DNS) и Websocket.
  • Добавлены новые модули декодирования и ведения логов для протоколов ARP и POP3.
  • Обеспечен разбор трафика SDP поверх SIP и SIP поверх TCP.
  • Расширены возможности движка определения протоколов и построения правил. Для правил реализованы ключевые слова LDAP, MIME/ EMAIL, vlan.id, DNS, SMTP, FTP, TLS, tcp.wscale, pgsql.query, from_base64, entropy, luaxform и mDNS. Добавлены транзакционные правила, позволяющие описать оба направления транзакции в одном правиле.


Особенности Suricata:

  • Использование для вывода результатов проверки унифицированного формата Unified2, также применяемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
  • Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP, LDAP и SSH;
  • Система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок (лог сохраняется в стандартном формате Apache). Поддерживается извлечение и проверка файлов, передаваемых по протоколу HTTP, а также разбор сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
  • Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
  • Высокая производительность, способность обрабатывать на обычном оборудовании потоки в десятки гигабит в cекунду.
  • Высокопроизводительный механизм сопоставления по маске с большими наборами IP-адресов. Поддержка выделения контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или хэшу.
  • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать её в других правилах;
  • Использование формата YAML в файлах конфигурации, сочетающего наглядность с лёгкостью машинной обработки;
  • Полная поддержка IPv6;
  • Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
  • Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, ARP, PPPoE, Raw, SLL, VLAN;
  • Режим ведения лога ключей и сертификатов, фигурирующих в соединениях на базе TLS;
  • Возможность написания скриптов на языке Lua для расширенного анализа трафика и реализации дополнительных возможностей, для которых недостаточно стандартных правил.
    1. OpenNews: Выпуск системы обнаружения атак Suricata 7.0
    2. OpenNews: Релиз Messor, децентрализованной системы для обнаружения вторжений
    3. OpenNews: Обновление системы обнаружения атак Suricata с устранением критической уязвимости
    4. OpenNews: В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений
    5. OpenNews: Релиз системы обнаружения атак Snort 3
Обсуждение (41 +12) | Тип: Программы |
·09.07.2025 Red Hat представил бесплатный вариант RHEL для разработки приложений на предприятиях (38 –1)
  Компания Red Hat анонсировала инициативу Red Hat Enterprise Linux for Business Developers, позволяющую бесплатно загрузить и использовать дистрибутив Red Hat Enterprise Linux 10 на предприятиях с целью разработки и тестирования приложений. Каждому участнику программы Red Hat Developer разрешается бесплатное использование до 25 экземпляров дистрибутива.

Инициатива расширяет ранее действующую программу Red Hat Developer, позволяющую бесплатно использовать RHEL в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем. Новый вариант расширяет данную опцию на коммерческие предприятия, но в отличие от программы Red Hat Developer не позволяет использовать бесплатные копии дистрибутива для рабочих внедрений, а ограничивается только процессом разработки и проведением тестирования.

Для получения бесплатных экземпляров RHEL для целей разработки предприятию достаточно зарегистрироваться с корпоративным email, принять соглашение (Enterprise Agreement) и загрузить iso-образ. Поддержка бесплатных экземпляров дистрибутива осуществляется предприятием самостоятельно (self-serve). Возможна загрузка сборок для всех поддерживаемых архитектур (в Red Hat Developer допускалась только загрузка сборок для x86_64 и ARM). Использование предоставленных 25 экземпляров разрешается на физических компьютерах, в облачных окружениях и в системах виртуализации.

  1. OpenNews: Red Hat Enterprise Linux стал бесплатен для организаций, развивающих открытое ПО
  2. OpenNews: Red Hat представил бесплатные варианты Red Hat Enterprise Linux
  3. OpenNews: Открыт бесплатный доступ к Red Hat Enterprise Linux для разработчиков
  4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10
Обсуждение (38 –1) | Тип: К сведению |
·09.07.2025 Атака TSA, приводящая к утечке информации из микроархитектурных структур CPU AMD (41 +13)
  Компания AMD раскрыла информацию о новом классе микроархитектурных атак на свои процессоры - TSA (Transient Scheduler Attack). Атака позволяет злоумышленнику обойти механизмы изоляции CPU и определить данные, обрабатываемые в других контекстах, например, из пространства пользователя определить информацию, обрабатываемую на уровне ядра, или из гостевой системы узнать данные, используемые в другой гостевой системе.

Уязвимости выявлены в ходе разработки инструментария, созданного исследователями из Microsoft и Швейцарской высшей технической школы Цюриха для стресс-тестирования микроархитектурной изоляции между различными зонами разграничений доступа, такими как ядро, виртуальные машины и процессы.

Метод атаки основан на зависимости времени выполнения некоторых инструкций от состояния микроархитектурных структур. Когда процессор ожидает быстрого завершения инструкции чтения данных из памяти (например, полагая, что данные есть в кэше L1), но не удаётся успешно получить данные, возникает состояние "ложного завершения" инструкции (false completion). При этом процессор ещё до определения этого состояния может запланировать спекулятивное выполнение других операций, зависящих от результата выполнения инструкции загрузки из памяти.

Так как загрузка оказалась не завершена, ассоциированные с ней данные признаются процессором недействительными, а операция загрузки позднее повторяется ещё раз. Зависимые операции также повторно выполняются после готовности корректных данных. При этом сброс конвейера (pipeline flush) после выполнения инструкции, для которой зафиксировано состояние "ложного завершения", не производится, и некорректные данные могут быть перенаправлены в зависимые операции.

Выполнение подобных операций не меняет состояние кэша и TLB (Translation Lookaside Buffer), т.е. данные не могут быть восстановлены при помощи традиционных методов определения состояния кэша. Но эти данные влияют на время выполнения других инструкций. Анализ времени выполнения может использоваться как источник утечки информации из микроархитектурных структур, оставшейся после спекулятивного выполнения других операций.

В зависимости от источника извлечения остаточных данных выделены две уязвимости:

  • CVE-2024-36350 (TSA-SQ - TSA Store Queue) - утечка из буфера временного хранения операций записи (Store Queue), позволяющая определить результат работы инструкций записи в память.
  • CVE-2024-36357 (TSA-L1 - TSA L1 Data Cache) - утечка через кэш L1D.

Уязвимости проявляются в семействе процессоров AMD (Fam19h) на базе микроархитектур Zen 3 и Zen 4. Например, проблема присутствует в сериях CPU AMD Ryzen 5000/6000/7000/8000, AMD EPYC Milan/Milan-X/Genoa/Genoa-X/Bergamo/Siena, AMD Instinct MI300A, AMD Ryzen Threadripper PRO 7000 WX, AMD EPYC Embedded 7003/8004/9004/97X4, AMD Ryzen Embedded 5000/7000/V3000.

Необходимые для блокирования уязвимости изменения включены в состав декабрьского обновления микрокода и PI-прошивок (Platform Initialization), переданных OEM-производителям. Патчи для защиты от уязвимости переданы для включения в состав ядра Linux (для отключения защиты, негативно влияющей на производительность, предусмотрена опция командной строки ядра "tsa=off"). Исправление также добавлено в гипервизор Xen. Для блокирования уязвимости требуется одновременно как обновление микрокода, так и включение режима защиты на уровне ядра или гипервизора.

  1. OpenNews: CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP
  2. OpenNews: Уязвимости в CPU AMD, позволяющие выполнить код на уровне SMM
  3. OpenNews: Google опубликовал инструментарий для анализа и изменения микрокода AMD
  4. OpenNews: Уязвимость в загрузчике микрокода в CPU AMD, позволяющая обойти изоляцию SEV-SNP
  5. OpenNews: Атака BadRAM, позволяющая обойти механизм аттестации SEV-SNP в CPU AMD
Обсуждение (41 +13) | Тип: Проблемы безопасности |
·08.07.2025 Уязвимости в Git, допускающие выполнение кода при обращении к внешнему репозиторию (36 +15)
  Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 и 2.50.1, в которых устранены уязвимости, позволяющие выполнить свой код на системе пользователя при выполнение операции клонирования репозитория, подконтрольного атакующему.
  • CVE-2025-48384 - уязвимость вызвана тем, что при чтении значений параметров конфигурации Git очищает указанные в конце символы перевода строки (LF) и возврата каретки (CR), но при записи значений в файл конфигурации не выполняет экранирование символа возврата каретки. Атакующий может указать при инициализации субмодуля путь, в конце имени которого указан символ возврата каретки (ФС в unix-подобных ОС позволяют указывать спецсимволы в именах файлов и каталогов).

    Очистка символа возврата каретки при чтении конфигурации приведёт к тому, что субмодуль будет извлечён по некорректному пути. Атакующий может разместить по этому некорректному пути символическую ссылку, указывающую на каталог с git hook-ами и разместить в нём обработчик, вызываемый после завершения операции checkout. Выполнение команды "git clone --recursive" над репозиторием с подобным субмодулем приведёт к выполнению кода, указанного злоумышленником.

  • CVE-2025-48385 - недостаточная проверка на стороне клиента bundle-файлов, отдаваемых сервером во время клонирования репозитория и используемых для передачи части отдаваемых данных через системы доставки контента (CDN). Атакующий, контролирующий Git-сервер, может организовать загрузку клиентом специально оформленного bundle-файла, который после извлечения будет сохранён в произвольное место ФС.
  • CVE-2025-48386 - специфичная для платформы Windows уязвимость, вызванная переполнением буфера в обработчике Wincred, применяемом для сохранения учётных данных в Windows Credential Manager.

Кроме того, устранены четыре уязвимости в графических интерфейсах Gitk и Git GUI, написанных на Tcl/Tk:

  • CVE-2025-27613 - открытие в Gitk специально оформленного репозитория может привести к перезаписи произвольных файлов в файловой системе.
  • CVE-2025-27614 - при выполнении "gitk filename" над специально оформленным репозиторием может привести к запуску скрипта, подготовленного атакующим.
  • CVE-2025-46334 - в Git GUI в Windows можно организовать запуск кода атакующего при выполнении пользователем действий "Git Bash" или "Browse Files" c репозиторием, в рабочем дереве которого атакующим размещены типовые исполняемые файлы, такие как sh.exe, astextplain.exe, exif.exe и ps2ascii.exe, вызываемые в процессе работы Git GUI.
  • CVE-2025-46335 - возможность создать или перезаписать произвольный файл в ФС при редактировании пользователем в Git GUI файла из каталога со специально оформленным именем, извлечённого из репозитория, подготовленного атакующим.

  1. OpenNews: Выпуск системы управления исходными текстами Git 2.50
  2. OpenNews: Две уязвимости в Git, способные привести к удалённому выполнению кода
  3. OpenNews: Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код
  4. OpenNews: Пять уязвимостей в Git, среди которых одна критическая и две опасные
  5. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
Обсуждение (36 +15) | Тип: Проблемы безопасности |
·08.07.2025 Выпуск почтового клиента Thunderbird 140 (87 +26)
  Представлен релиз почтового клиента Thunderbird 140, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 140 построен на кодовой базе ESR-выпуска Firefox 140 и отнесён к категории версий с длительным сроком поддержки, обновления для которых выпускаются в течение года.

Основные изменения в Thunderbird 140:

  • Улучшена реализация тёмного режима оформления. В панель сообщений интегрировано дополнение Dark Reader для автоматического применения тёмной темы оформления к содержимому сообщений со светлым фоном.
  • В настройки добавлена опция для глобального управления сортировкой и нитевидным режимом показа сообщений во всех компонентах Thunderbird. Предоставлена возможность настройки числа столбцов в режиме Cards View.
  • В уведомление о новой почте добавлены кнопки для пометки прочитанным, пометки спамом, маркировки звёздочкой, архивирования или удаления сообщения. Для предприятий реализована политика для выборочного управления уведомлениями. При выводе уведомлений задействованы родные для Linux, macOS и Windows системные механизмы показа уведомлений.
  • Включён по умолчанию интерфейс Account Hub, позволяющий управлять несколькими учётными записями к разным почтовым службам.
  • В боковой панели реализована поддержка ручной сортировки папок.
  • Добавлена экспериментальная поддержка настройки учётной записи в Microsoft Exchange из Thunderbird.
  • Реализована возможность генерации QR-кода для быстрого переноса настроек учётной записи на мобильную версию Thunderbird для Android.
  • Добавлена настройка mail.threadpane.table.horizontal_scroll для включения поддержки горизонтальной прокрутки в интерфейсе для просмотра списка сообщений.
  • В контекстное меню панели со списком почтовых папок добавлена возможность работы с фильтрами сообщений.

  1. OpenNews: Опубликован почтовый клиент Thunderbird 139.0
  2. OpenNews: Mozilla развивает Thunderbird Pro и сервис Thundermail в стиле Gmail и Office 365
  3. OpenNews: Выпуск почтового клиента Betterbird 128.9.0, форка Thunderbird
  4. OpenNews: Thunderbird переходит к ежемесячному формированию значительных релизов
  5. OpenNews: Выпуск почтового клиента Thunderbird 128
Обсуждение (87 +26) | Тип: Программы |
·08.07.2025 Выпуск системы потокового видеовещания OBS Studio 31.1 (52 +25)
  После полугода разработки опубликован выпуск OBS Studio 31.1, пакета для потокового вещания, композитинга и записи видео. Код написан на языках C/C++ и распространяется под лицензией GPLv2. Сборки сформированы для Linux (flatpak), Windows и macOS.

Целью разработки OBS Studio было создание переносимого варианта приложения Open Broadcaster Software (OBS Classic), не привязанного к платформе Windows, поддерживающего OpenGL и расширяемого через плагины. Отличием также является использование модульной архитектуры, подразумевающей разделение интерфейса и ядра программы. Поддерживается перекодирование исходных потоков, захват видео во время игр и стриминг в PeerTube, Twitch, Facebook Gaming, YouTube, DailyMotion и другие сервисы. Для обеспечения высокой производительности возможно использование механизмов аппаратного ускорения (например, NVENC, Intel QSV, Apple Video Toolbox и VAAPI).

Предоставляется поддержка композитинга с построением сцены на основе произвольных видеопотоков, данных с web-камер, карт захвата видео, изображений, текста, содержимого окон приложений или всего экрана. В процессе вещания допускается переключение между несколькими предопределёнными вариантами сцен (например, для переключения представлений с акцентом на содержимое экрана и изображение с web-камеры). Программа также предоставляет инструменты для микширования звука, фильтрации при помощи VST-плагинов, выравнивая громкости и подавления шумов.

Ключевые изменения:

  • Для платформ Linux и macOS реализована поддержка стриминга многотрекового видео, при котором вещание одновременно осуществляется с несколькими уровнями качества (например, в дополнение к 1080p создаются варианты с качеством 720p и 480p).
  • В настройки оформления интерфейса пользователя добавлены опции для изменения параметров шрифта, таких как размер, расстояние между соседними символами и отступы вокруг текста.
  • Добавлены кнопки для изменения уровня масштабирования области предпросмотра.
  • В кодировщике AV1 на базе фреймворка AMF реализована поддержка B-кадров (двунаправленные кадры, которые могут ссылаться на предыдущие и последующие кадры).
  • Добавлена возможность задействования GPU для преобразования цветовых форматов, цветовых пространств и цветовых диапазонов.
  • Для многотрековых видео реализована возможность включения сетевых оптимизаций и механизма TCP Pacing (снижает потери пакетов при нехватке памяти на транзитных маршрутизаторах).
  • Для многотрековых видео реализована поддержка вещания с задержкой (Stream Delay).
  • В кодировщик видео на базе VA-API добавлена поддержка режима кодирования QVBR (Quality‑Defined Variable Bitrate) для обеспечения постоянного качества видео при заданном битрейте. Режим реализован для GPU Intel и AMD.
  • В функцию захвата экрана с использованием PipeWire добавлена поддержка механизма "explicit sync", дающего возможность снизить задержки и избавиться от появления артефактов.
  • Для BSD-систем добавлена поддержка виртуальной камеры, реализованной на базе API V4L2.
  • На платформе Linux появилась поддержка аппаратного ускорения в источнике вещания на базе браузера (Browser Source), которая пока работает только на системах с GPU Intel и AMD.
  • Добавлена поддержка платформы Windows на системах с архитектурой ARM.

  1. OpenNews: OBS Studio и Fedora урегулировали конфликт
  2. OpenNews: Представлен SRT, открытый протокол для потоковой передачи видео
  3. OpenNews: Выпуск системы потокового видеовещания OBS Studio 31.0
  4. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
  5. OpenNews: Выпуск сервера потокового вещания Owncast 0.1.0
Обсуждение (52 +25) | Тип: Программы |
·07.07.2025 В завтрашнем обновлении Windows Server будет нарушена совместимость с Samba (214 +27)
  Сформированы внеплановые обновления Samba 4.22.3 и 4.21.7, решающие проблему с нарушением совместимости серверов Samba с завтрашним обновлением Windows Server. В случае, если не установить предложенные корректирующие обновления, серверы Samba не смогут функционировать в роли членов доменов Windows Active Directory, если в настройках для маппинга идентификаторов пользователей задействован бэкенд 'ad'.

Компания Microsoft наметила на 8 июля выпуск обновлений к поддерживаемым версиям Windows Server, в которых будут устранены проблемы с безопасностью в реализации контроллера домена Active Directory. В рамках обновления во всех поддерживаемых версиях Windows Server, включая Windows Server 2008, в протокол Microsoft RPC Netlogon будут внесены изменения, связанные с добавлением дополнительных проверок доступа к некоторым вызовам RPC. Ранее расширенные проверки применялись только в Windows Server 2025, но, начиная с завтрашнего дня, будут задействованы и в других версиях.

Подобные изменения нарушают совместимость с Samba и приводят к сбою при отправке сервисом winbind запросов обнаружения контроллера домена (Netlogon DC Discovery). Из-за возникающего сбоя пользователи домена не смогут подключиться к SMB-сервисам на базе Samba, в которых используется бэкенд 'ad'.

  1. OpenNews: Выпуск Samba 4.22.0
  2. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
  3. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
  4. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
  5. OpenNews: Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin
Обсуждение (214 +27) | Тип: К сведению |
·07.07.2025 Доступен Wayland 1.24 (307 +7)
  После 13 месяцев разработки представлен стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.24. Ветка 1.24 обратно совместима на уровне API и ABI с выпусками 1.x и содержит в основном исправления ошибок и незначительные обновления протокола. Наработки проекта распространяются под лицензией MIT. Эталонный композитный сервер Weston, предоставляющий код и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях, развивается в рамках отдельного цикла разработки.

Основные изменения в протоколе:

  • Реализован интерфейс wl_fixes, позволяющий решать проблемы с другими программными интерфейсами базовых протоколов, которые не могут быть устранены собственными возможностями этих интерфейсов. Например, запрос "wl_fixes::destroy_registry" позволяет ликвидировать объект wl_registry, после чего клиент не сможет его использовать, а композитный сервер прекратит передачу через него событий.
  • В программном интерфейсе wl_keyboard::key реализовано псевдо-состояние "repeated", означающие нахождение клавиши в нажатом виде. Клавиша может быть переведена в состояние "repeated" только после перехода в состояние "pressed", но до наступления состояния "released". Связанные с новым состоянием события могут генерировать несколько раз, пока клавиша нажата. Изменение позволяет композитным серверам обрабатывать повторные нажатия при удерживании клавиш как отдельные состояния, а не просто как поток повторных событий нажатия ("pressed"), что может быть полезным для организации работы с удалённым рабочим столом.
  • Добавлены функции wl_display_dispatch_queue_timeout() и wl_display_dispatch_timeout() для диспетчеризации событий в очереди с учётом таймаута (функции wl_display_dispatch и wl_display_dispatch_queue возвращают 0 только при отсутствии событий, а варианты *_timeout ещё и при наступлении таймаута).
  • Добавлены функции wl_shm_buffer_ref() и wl_shm_buffer_unref() для доступа к разделяемой памяти, связанной c буфером wl_shm_buffer, после его ликвидации (например, когда клиент завершает работу). Функции позволяют отвязать буфер wl_shm_buffer от времени жизни основного ресурса wl_buffer, когда композитному серверу требуется отложить переход к новому состоянию.
  • Добавлены функции wl_proxy_get_interface() и wl_resource_get_interface(), возвращающие wl_interface для указанного ресурса, что востребовано в обвязках для языков с динамической типизацией.
  • Добавлена функция wl_resource_post_error_vargs(), выступающая альтернативой функции wl_resource_post_error() с возможностью передать список аргументов для форматирования строки (va_list).



Наиболее заметные события, связанные с Wayland и произошедшие с момента публикации прошлого выпуска:

  • Улучшение поддержки Wayland в проприетарных драйверах NVIDIA.
  • KDE планирует оставить только поддержку Wayland. Разделение кода kwin_x11 и kwin_wayland.
  • Ubuntu и Kubuntu оставят только поддержку сеанса Wayland в GNOME и KDE.
  • В GDM по умолчанию оставлена только поддержка Wayland.
  • GTK перевёл бэкенд для X11 в разряд устаревших.
  • В Fedora 43 решено удалить из репозитория пакеты, используемые в GNOME для работы поверх X-сервера. Все пользователи GNOME c X11 будут принудительно переключить на сеанс на базе Wayland.
  • В среде рабочего стола Budgie будет оставлена только поддержка Wayland.
  • В Xfce 4.20 реализована частичная поддержка Wayland.
  • MATE 1.28 с экспериментальной поддержкой Wayland.
  • Wayback - композитный сервер Wayland для запуска рабочих столов на базе X11
  • Компания Valve запустила проект Frog для ускорения продвижения новых протоколов Wayland.
  • Библиотека построения графических интерфейсов Cosmoe, использующая Wayland и API в стиле BeOS.
  • Включение по умолчанию драйвера Wayland в Wine.
  • Переход Raspberry Pi OS на использование Wayland.
  • Выпуск графического тулкита FLTK 1.4.0 с поддержкой Wayland.
  • В набор Wayland-Protocols добавлена дополнительная фаза продвижения протоколов - "experimental", нацеленная на снижение барьера при интеграции протоколов, ускорение доведения протоколов до разработчиков и стимулирование ранней реализации в существующих проектах.
  • AMD развивает собственный композитный сервер ACS, использующий Wayland.
  • Семь альфа-выпусков среды рабочего стола COSMIC.
  • Обновление композитных серверов: Weston 14.0, Niri 25.05, Wayland Maker 0.5, miracle-wm 0.5, Hyprland 0.49, labwc 0.8.3, Cage 0.2, Wayfire 0.9, Sway 1.11.



Добавленные за последний год расширения протоколов, дополняющих базовый протокол Wayland и поставляемых в отдельном наборе Wayland-Protocols:

  • color-management - возможности для управления цветом и поддержки расширенного динамического диапазона яркости (HDR, High Dynamic Range).
  • color-representation-v1 - задание цветового представления Wayland-поверхности.
  • xdg-toplevel-tag - позволяет Wayland-клиентам прикреплять теги к поверхностями верхнего уровня, которые композитный сервер может использовать для идентификации окон после перезапуска приложения.
  • ext-background-effect - применение эффектов к полупрозрачным частям Wayland-поверхности, таких как размытие фона.
  • pointer-warp - позволяет приложению мгновенно переместить указатель в указанную позицию.
  • xx-session-management - восстановление состояния окон для прерванных сеансов (например, после аварийного завершения композитного менеджера).
  • xx-input-method - развитие нового протокола для использования методов ввода текста. ext-data-control - позволяет привилегированным клиентам управлять обработкой данных, например, для реализации менеджеров буфера обмена.
  • ext-workspace - реализует концепцию виртуальных рабочих столов и предлагает события с информацией о состоянии рабочих столов, а также возможности для активации и деактивации рабочих столов.
  • xdg-system-bell - позволяет выводить системный сигнал, который может использоваться, например, как предупреждение в эмуляторе терминалов.
  • xdg-toplevel-icon - для привязки пиктограммы к окну верхнего уровня.
  • ext-image-capture-source и ext-image-copy-capture - захват выводимого на экран контента.
  • fifo - реализует FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности.
  • commit-timing - позволяет привязать ограничение времени к содержимому поверхности (композитный сервер должен отобразить изменение контента по возможности через указанное время, но не раньше).




Напомним, что Wayland представляет собой протокол взаимодействия композитного сервера и работающих с ним приложений. Клиенты самостоятельно выполняют отрисовку своих окон в отдельном буфере, передавая информацию об обновлениях композитному серверу, который комбинирует содержимое буферов отдельных приложений для формирования итогового вывода с учётом возможных нюансов, таких как перекрытие окон и прозрачность. Иными словами, композитный сервер не предоставляет API для отрисовки отдельных элементов, а оперирует только с уже сформированными окнами, что позволяет избавиться от двойной буферизации при использовании высокоуровневых библиотек, таких как GTK и Qt, берущих на себя работу по компоновке содержимого окон.

Wayland решает многие проблемы с безопасностью X11, так как в отличие от последнего изолирует ввод и вывод для каждого окна, не позволяет клиенту получить доступ к содержимому окон других клиентов, а также не допускает перехват связанных с другими окнами событий ввода. Поддержка прямой работы c Wayland реализована для большинства применяемых в Linux графических библиотек, включая GTK, Qt, SDL, FLTK, wxWidgets, Clutter и EFL (Enlightenment Foundation Library).

Взаимодействие с аппаратным обеспечением в Wayland/Weston, например, проведение инициализации, переключение видеорежимов (drm modesetting) и управление памятью (GEM для i915 и TTM для radeon и nouveau) графических карт, может производиться напрямую через модуль, работающий на уровне ядра, что позволяет обойтись без привилегий суперпользователя. Для обеспечения выполнения обычных X11-приложений в окружении на базе Wayland используется DDX-компонент XWayland (Device-Dependent X), похожий по организации работы на Xwin и Xquartz для платформ Win32 и macOS.

  1. OpenNews: Выпуск композитного сервера Weston 14.0
  2. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11
  3. OpenNews: Состояние поддержки Wayland в проприетарных драйверах NVIDIA
  4. OpenNews: Выпуск Wayland-Protocols 1.45
  5. OpenNews: Доступен Wayland 1.23
Обсуждение (307 +7) | Тип: К сведению | Интересно
·06.07.2025 Релиз командной оболочки Bash 5.3 (271 +34)
  После почти трёх лет разработки опубликована новая версия командного интерпретатора GNU Bash 5.3, используемого по умолчанию в большинстве дистрибутивов Linux. Одновременно сформирован релиз библиотеки readline 8.3, применяемой в bash для организации редактирования командной строки.

Из ключевых улучшений можно отметить:

  • Реализованы новые формы подстановки команд "${ command; }" и "${|command;}", позволяющие перехватить вывод команды без ответвления отдельного дочернего процесса и без использования неименованных каналов. Результаты выполнения команды отдаются как результат подстановки или записываются в переменную REPLY.
  • Добавлена новая переменная GLOBSORT, определяющая способ сортировки при дополнении файлового пути. Например, можно выбрать сортировку по имени (GLOBSORT=name), размеру (GLOBSORT=size) или времени изменения (GLOBSORT=mtime), а также определить прямой (от меньшего к большему) или обратный (от большего к меньшему) порядок сортировки (например, при "GLOBSORT=-size" вначале будут показаны самые большие файлы).
  • Во встроенную команду "compgen" добавлена опция "-V varname" для сохранения сгенерированных дополнений в переменную, вместо вывода в стандартный поток.
  • Во встроенную команду "read" добавлена опция "-E", при вводе данных задействующая библиотеку readline с правилами автодополнения конструкций bash.
  • Во встроенную команду "source" добавлена опция "-p PATH", позволяющая переопределить список поиска в файловых путях (указанное значение используется вместо переменной $PATH).
  • Исходный код переведён на использование стандарта C23. Прекращена возможность сборки компиляторами в режиме "K&R C" (стиль, соответствующий описанию языка Си в книге "The C Programming Language" Кернигана и Ритчи).
  • Во встроенной команде "umask" обеспечена полная совместимость со спецификациями POSIX.
  • Добавлена загружаемая команда "kv", формирующая ассоциативный массив на основе набора данных в формате "ключ значение".
  • Добавлена загружаемая команда "strptime", преобразующая текстовое представление даты и времени в эпохальное время (число секунд с 1 января 1970 года).
  • Добавлена загружаемая команда "fltexpr", позволяющая выполнять арифметические операции с плавающей запятой по аналогии с командой let.
  • Добавлена динамически выставляемая переменная BASH_MONOSECONDS, которая содержит текущее значение системных монотонных часов, которые непрерывно увеличиваются, даже при изменении времени в прошлое значение.
  • В режиме POSIX сравнение строк в команде "test", используя операторы "<" и ">", теперь производится с учётом текущей локали.
  • В команде "bind -x" разрешено разделение пробелом клавиши и вызываемой команды, если последовательность заключена в двойные кавычки.
  • В новой версии Readline предложена опция "search-ignore-case" для поиска в истории без учёта регистра символов. Добавлена команда "export-completions" для экспорта вариантов дополнения слова для обработки в других процессах. Добавлена команда "execute-named-command" для выполнения команды, имя которой получено из стандартного входного потока.

  1. OpenNews: Доступен командный интерпретатор Bash 5.2
  2. OpenNews: Уязвимость в реализации автодополнения ввода в Bash
  3. OpenNews: Опубликована командная оболочка fish 4.0, переписанная на языке Rust
  4. OpenNews: Релиз командной оболочки zsh 5.1
  5. OpenNews: Xonsh - командная оболочка, сочетающая Python с лучшими возможностями Bash, zsh и fish
Обсуждение (271 +34) | Тип: Программы |
·06.07.2025 Let's Encrypt начнёт выдавать TLS-сертификаты для IP-адресов (80 +44)
  Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал начало предоставления бесплатных сертификатов для IP-адресов. В отличие от сертификатов для доменов срок действия сертификатов для IP-адресов составит не 30, а 6 дней. Реализуемая возможность позволит настроить защищённый шифрованный доступ к хостам не только при использовании доменных имён, но и при обращении напрямую по IP-адресу.

Из областей, в которых может оказаться востребовано защищённое обращение к web-серверу напрямую по IP-адресу, упоминается взаимодействие с домашними устройствами, такими как серверы хранения; начальная настройка или тестирование новых серверов; организация шифрованных соединений между бэкендами во внутренней инфраструктуре; создание хостинг-провайдерами информационных страниц-заглушек, показываемых по умолчанию при обращении по IP; организация входа на привязанные к IP-адресам сервисы, такие как 1.1.1.1 и 8.8.8.8; развёртывание личных серверов, на которые не хочется тратить деньги на регистрацию домена; организация доступа к серверам DoH (DNS over HTTPS) напрямую по IP.

В настоящее время сертификаты для IP генерируются в тестовом режиме и будут доступны для широкого использования позднее в этом году, одновременно с возможностью генерации для доменов короткоживущих сертификатов, действующих 6 дней. Для запроса короткоживущего сертификата и сертификата для IP требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля "shortlived". Для подтверждения владения IP-адресом можно использовать только методы http-01 и tls-alpn-01 (метод dns-01 запрещён).

  1. OpenNews: Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов
  2. OpenNews: NS-сервера домена .top прекратили обслуживание запросов валидации Let's Encrypt
  3. OpenNews: Let's Encrypt перешёл на NTP-сервер ntpd-rs, написанный на языке Rust
  4. OpenNews: Let's Encrypt празднует 10 лет
  5. OpenNews: Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней
Обсуждение (80 +44) | Тип: К сведению |
·05.07.2025 Релиз Multipass 1.16, инструментария для развёртывания Ubuntu в виртуальных машинах (18 +9)
  Компания Canonical опубликовала выпуск инструментария multipass 1.16, предназначенного для упрощения установки различных версий Ubuntu в виртуальных машинах, запускаемых в системах виртуализации Linux, Windows и macOS. Выпуск примечателен полным открытием кодовой базы проекта - в репозиторий включён код компонентов для организации работы в Windows и macOS, ранее не распространяемый публично. Код проекта написан на C++ и распространяется под лицензией GPLv3. Для быстрой установки multipass в Ubuntu подготовлен snap-пакет.

Multipass позволяет разработчику одной командой без дополнительных настроек запустить нужную версию Ubuntu в виртуальной машине, например, для экспериментов или проверки работы своего приложения. Для запуска виртуальной машины в Linux используется KVM или VirtualBox, в Windows - Hyper-V, а в macOS - HyperKit. Поддерживается работа в дистрибутивах Arch Linux, CentOS, Debian, elementary OS, Fedora, KDE Neon, Kubuntu, Manjaro, Pop!_OS, openSUSE, Red Hat Enterprise Linux, Ubuntu и Raspberry Pi OS.

Инструментарий самостоятельно извлекает необходимый образ операционной системы и поддерживает его в актуальном состоянии. Для настройки может применяться cloud-init. Предусмотрена возможность как монтирования дисковых разделов в виртуальное окружение (команда "multipass mount"), так и передачи отдельных файлов между хост-системой и виртуальной машиной (команда "multipass transfer"). Поддерживается полная интеграция установленной виртуальной машины с основным рабочим столом (добавляются пиктограммы приложений, системное меню и уведомления).

Основные изменения:

  • Предоставлена возможность запуска в macOS и Windows собственных образов виртуальных машин, используя ссылки на локальный (file://) или внешний файл (https://).
  • Модернизирован графический интерфейс для управления виртуальными машинами и взаимодействия с сервисами multipass. Добавлена возможность запуска виртуальной машины с использованием конфигурации, применяемой для другой виртуальной машины. В терминале добавлена возможность масштабирования вывода (Ctrl + "+", Ctrl + "-", Ctrl + "0").
  • На Linux хостах с архитектурой ARM реализована поддержка запуска с использованием QEMU.
  • Добавлена возможность запуска виртуальной машины кнопкой "Open shell".
  • Обеспечено сохранение размера окна и улучшен выбор размеров окон по умолчанию.
  • Улучшена поддержка переноса данных через буфер обмена.
  • Для шифрования трафика gRPC задействован mTLS.
  • В разряд устаревших переведены драйверы запуска систем с использованием LXD и libvirt. Указанные драйверы будут удалены в следующей версии.

  1. OpenNews: Релиз Multipass 1.14, инструментария для развёртывания Ubuntu в виртуальных машинах
  2. OpenNews: Первый выпуск платформы виртуализации SEAPATH
  3. OpenNews: Представлен TinyKVM для виртуализации на уровне отдельных процессов
  4. OpenNews: Выпуск Proxmox VE 8.4, дистрибутива для организации работы виртуальных серверов
  5. OpenNews: Компания AMD открыла модуль ядра GIM для виртуализации GPU
Обсуждение (18 +9) | Тип: Программы |
·03.07.2025 Доступен язык программирования Perl 5.42 (207 +28)
  После года разработки опубликован релиз новой стабильной ветки языка программирования Perl - 5.42. При подготовке нового выпуска было изменено около 280 тысяч строк кода (без документации и автоматически сгенерированного кода - 93 тысячи), изменения затронули 1500 файлов, в разработке приняли участие 64 разработчика.

Ветка 5.42 выпущена в соответствии с утверждённым двенадцать лет назад фиксированным графиком разработки, подразумевающим выпуск новых стабильных веток раз в год и корректирующих релизов - раз в три месяца. Примерно через месяц планируется выпустить первый корректирующий релиз Perl 5.42.1, в котором будут исправлены наиболее значительные ошибки, выявленные в процессе внедрения Perl 5.42.0. Одновременно с выходом Perl 5.42 прекращена поддержка ветки 5.38, для которой обновления могут быть выпущены в будущем только в случае выявления критических проблем с безопасностью. Начался процесс разработки экспериментальной ветки 5.43, на базе которой в июне 2026 года будет сформирован стабильный релиз Perl 5.44, если не будет принято решение перейти к нумерации 7.x.

Ключевые изменения:

  • Добавлены экспериментальные операторы обработки списков - "any { BLOCK } @list" и "all { BLOCK } @list", которые напоминают оператор "grep { BLOCK } @list", но могут возвращать только значения true или false. Оператор "all" возвращает "true" при выполнении условия для всех элементов списка, а оператор "any" - при выполнении условия хотя бы для одного элемента. Функциональность операторов аналогична функциям из модуля List::Util, но встроенные варианты быстрее и потребляют меньше памяти.
    
       use v5.42;
       use feature 'keyword_all';
       no warnings 'experimental::keyword_all';
       my @numbers = ...
       if ( all { $_ % 2 == 0 } @numbers ) {
           say "All the numbers are even";
       }
    
  • Для определяемых внутри класса полей реализован атрибут ":writer", применяемый для автоматического создания метода, записывающего значение переменной в поле для текущего экземпляра класса.
    
       class Point {
           field $x :reader :writer :param;
           field $y :reader :writer :param;
       }
       my $p = Point->new( x => 20, y => 40 );
       $p->set_x(60);
    
  • Добавлена поддержка определения лексических методов, которая по аналогии с определением лексических подпрограмм ("lexical_subs"), позволяет создавать методы, доступные только в области лексической видимости блока в котором они были созданы. Для создания подобных методов используется выражение "my имя_метода".
  • Добавлен оператор "->&", позволяющий вызывать подпрограммы, находящиеся в лексической области видимости, так, как будто они являются методами. В сочетании с возможностью определения лексических методов новый оператор реализует функциональность, похожую на приватные методы.
  • Добавлен оператор присвоения "A ^^= B", выполняющий операцию "A = A XOR B".
  • Добавлена прагма "source::encoding", определяющая кодировку исходного кода. Для кода в кодировке ASCII можно указать "use source::encoding 'ascii'" (по умолчанию), а для UTF-8 - "use source::encoding 'utf8'", при этом последнее выражение эквивалентно выражению "use utf8". Интерпретатор выведет ошибку, если в коде, помеченном как ASCII, встречаются символы UTF-8, или если в коде, помеченном как UTF-8, используются escape-последовательности "\x{}". Для отключения проверки части кода можно использовать значение "no source::encoding". На практике, добавленная прагма может оказаться полезной для выявления случаев, когда разработчик забыл указать "use utf8" для кода в кодировке UTF-8.
  • В пространство имён "CORE::" добавлена функция chdir(). Например, теперь к данной функции можно обращаться как "&CORE::chdir($dir)" или "my $ref = \&CORE::chdir; $ref->($dir)".
  • Добавлено выражение 'no feature "apostrophe_as_package_separator"' для отключения поддержки использования символа " ' " в качестве разделителя имён пакетов (например, "My'Module'Var" вместо "My::Module::Var"). Изначально в Perl 5.42 планировалось удалить поддержку подобных разделителей, которые ранее были объявлены устаревшими, но в ходе обсуждений было решено сохранить данную возможность по умолчанию, но предусмотреть опцию для отключения.
  • В число возвращаемых возможностей переведена функциональность "switch" и оператор "~~", которые ранее были помечены устаревшими и были запланированы к удалению. Начиная с выпусков Perl 5.36 и 5.42 возможности "switch" и "~~" по умолчанию отключены при привязке кода к версиям языка (например, при указании "use v5.42"), но могут быть активированы выражениями 'use feature "switch"' и 'use feature "smartmatch"'.
  • Добавлена поддержка спецификации Unicode 16.0.

  1. OpenNews: Доступен язык программирования Perl 5.40.0
  2. OpenNews: Переполнение буфера в Perl, связанное с обработкой символов
  3. OpenNews: Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG
  4. OpenNews: Доступен язык программирования Perl 5.38.0 с поддержкой классов
  5. OpenNews: Релиз компилятора Rakudo 2023.04 для языка программирования Raku (бывший Perl 6)
Обсуждение (207 +28) | Тип: Программы |
Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру