При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет firefox может записываться в /nix/store/8onlv1pc3ed6n5nskg6ad4twcfd0d5ae4ed5c4-firefox-151.0.2/, где "8onlv1pc3ed6n5nskg6ad4twcfd0d5ae4ed5c4" является хешем всех его зависимостей и инструкций сборки. Под установкой пакета подразумевается его сборка или скачивание уже собранного (при условии, что он был уже собран на Hydra - сервисе сборки проекта NixOS), а также формирование директории с символическими ссылками на все пакеты в профиле системы или пользователя, с последующим добавлении этой директории в список PATH. Аналогичный подход применяется в пакетном менеджере GNU Guix, который основан на наработках Nix. Коллекция пакетов представлена в специальном репозитории Nixpkgs.

Основные новшества:

• Добавлено 20442 пакета, удалено 17532 пакета, обновлено 20641 пакетов. Добавлено 85 новых модулей и 1547 опций конфигурации, удалено 355 опций и 25 модулей. В разработке и сопровождении пакетов приняли участие 2842 разработчика, подготовивших 59703 изменения.
• Среди новых модулей: OpenThread Border Router, knot-resolver, LibreChat, DankMaterialShell, mangowc, Tailscale, udp-over-tcp, turborepo-remote-cache, ReFrame, LogiOps.
• Содержимое начального RAM-диска (initrd) переведно по умолчанию на использование системного менеджера systemd. Поддержка старой реализации на базе shell-скриптов объявлена устаревшей и будет удалена в выпуске NixOS 26.11.
• Платформа x86_64-darwin, которая перестала использоваться компанией Apple, объявлена устаревшей. Сопровождение и сборка бинарных пакетов для данной платформы будет осуществляться до конца года.
• Набор компиляторов GCC обновлён до ветки 15. Инструментарий LLVM остаётся на версии 21. Стандартная библиотека glibc обновлена до версии 2.42.
• Среда рабочего стола GNOME обновлена до ветки 50, в которой удалён код для поддержки X11, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.
• Среда рабочего стола Budgie обновлена до версии 10.10, переведённой на Wayland.
• По умолчанию предложено ядро Linux 6.18 (было 6.12). Из-за отсутствия сопровождающих прекращена поставка варианта ядра linux-rt.
• Добавлен файл system.nix, позволяющий сконфигурировать NixOS без использования nix-channel.
• Реализация D-Bus переведена с dbus на более высокопроизводительный и стабильный пакет dbus-broker.
• В Nixpkgs прекращена поддержка ФС Reiserfs и ecryptfs.

1. OpenNews: Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе
2. OpenNews: Доступен пакетный менеджер GNU Guix 1.5 и дистрибутив на его основе
3. OpenNews: Доступен дистрибутив NixOS 25.11, использующий пакетный менеджер Nix
4. OpenNews: Отставка команды модераторов NixOS из-за разногласий с управляющим комитетом
5. OpenNews: Мейнтейнеры NixOS отказались поддерживать XLibre

Кодек AV2 не требует лицензионных отчислений и развивается в качестве преемника формата AV1. Особенности кодека AV2:

• Оптимизация для применения в потоковом вещании;
• Улучшенное предсказание межкадровых изменений;
• Значительное улучшение по сравнению с AV1 производительности операций сжатия;
• Расширенная поддержка возможностей для виртуальной и дополненной реальности;
• Поддержка более широкого диапазона визуального качества;
• Возможность одновременной доставки нескольких видео в рамках одного видеопотока с поддержкой их раздельного отображения на экране;
• Дополнительные фильтры для подавления шумов, уменьшения артефактов от сжатия и сохранения детализации.

При тестировании одного из экспериментальных выпусков библиотеки avm использование кодека AV2 позволило добиться снижения битрейта на 32.59% по сравнению с кодеком AV1 при аналогичном уровне качества, при использовании метрик оценки качества VMAF (Video Multi-Method Assessment Fusion), разработанных компанией Netflix. При использовании метрик PSRN-YUV (Peak-Signal-to-Noise Ratio 14:1:1) битрейт удалось снизить на 28.63%. При этом судя по отзывам пользователей, опробовавших библиотеку AVM, производительность и качество кодирования на высоких битрейтах пока оставляет желать лучшего.

Также как и в кодеке AV1, в AV2 задействована гибридная блочно-ориентированная структура, но в отличие от AV1 поддерживается более крупные суперблоки 256×256, полностью рекурсивное секционирование (partitioning) и более эффективное разделение параметров яркости и цветности. В AV2 используеся унифицированный экспоненциальный квантизатор, охватывающий более широкий диапазон яркости и обеспечивающий большую точность квантования для 8-, 10- и 12-битного видео, а также лучше управляющий низкими битрейтами. Возможности предсказания межкадровых изменений модернизированы для повышения качества моделирования изменения яркости и цветности, учитывают при построении модели до 7 предыдущих кадров, поддерживают временну́ю (temporal) интерполяцию и лучше обрабатывают движение в видео с высоким разрешением или быстро меняющимся содержимым.

1. OpenNews: Проект VideoLAN опубликовал dav2d, декодировщик для видео в формате AV2
2. OpenNews: Альянс AOMedia развивает звуковой кодек OAC (Open Audio Codec), основанный на Opus
3. OpenNews: Кодек AV2 продемонстрировал снижение битрейта на 30% при уровне качества AV1
4. OpenNews: Альянс AOMedia анонсировал видеокодек нового поколения AV2

В GNOME Circle теперь не будут приниматься проекты, имеющие признаки использования AI для генерации кода, такие как бессмысленные вставки в коде, разнобой в стиле, надуманное использование API и наличие комментариев с подсказами для AI. В новых правилах также упоминается, что разработчики должны хорошо разбираться в присланном коде, быть способны обосновать используемые методы и ответить на связанные с кодом вопросы. При этом использование AI для обучения и решения сопутствующих разработке задач, таких как автодополнение кода, не запрещается.

Основной причиной запрета генерации кода через AI является попытка ускорить прохождение обязательного рецензирования проектов, предлагаемых для включения в коллекцию GNOME Circle. Очередь на проверку достигла значительного размера и некоторым приложениям приходится ждать годы до принятия решения по их включению в каталог.

Наблюдаемый в последнее время рост публикаций низкокачественных программ, сгенерированных через AI, создаёт дополнительную нагрузку на рецензирующих и ещё больше забивает очередь заявок. Чтобы разобрать накопившиеся завалы приём любых новых заявок на рецензирование временно приостановлен. После отмены приостановки для высвобождения ресурсов новые проекты, созданные через AI, будут отклоняться без проверки (уже отправленные до введения новых правил заявки будут рассмотрены).

Второй причиной запрета применения AI называется ужесточение правил в каталоге Flathub, который используется для размещения пакетов программ, представленных в GNOME Circle. Косвенно правила Flathub распространяются и на проект GNOME Circle, в котором пропадает смысл тратить время на проверку программ, пакеты с которыми не будут приняты во Flathub.

Опрос, проведённый среди сопровождающих GNOME Circle, показал, что 62% участников не используют AI, 34% обращаются к AI-ассистентам по мелким вопросам или для подготовки небольших отрывков кода, и лишь 3% генерируют крупные порции кода через AI. Ни один из сопровождающих не признался, что полностью отказался от собственноручного написания кода в пользу генерации через AI.

1. OpenNews: Инициатива GNOME Circle для разработчиков программ на базе платформы GNOME
2. OpenNews: В NetBSD введён запрет на использование кода, сгенерированного AI-системами
3. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений
4. OpenNews: Проект GNOME запретил использование AI для генерации дополнений к GNOME Shell
5. OpenNews: Статистика по языкам программирования, используемым в экосистеме GNOME

Проектом MariaDB развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с открытым и прозрачным процессом разработки, не зависящим от отдельных производителей. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL, SUSE, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.

Среди изменений в ветке MariaDB 12.3 по сравнению с прошлым LTS-выпуском MariaDB 11.8:

• Полностью переделана реализация бинарного лога (binlog), основные компоненты для ведения которого перенесены в движок InnoDB. Подобный перенос позволил избавиться от устаревшей логики синхронизации, ускорить репликацию и повысить производительность выполнения операций, связанных с записью данных. При тестировании новой реализации на высоконагруженных системах отмечен прирост производительности при большом числе операций записи до 4 раз. Для включения предложена настройка "binlog_storage_engine=innodb".
• На 30-50% повышена скорость векторного поиска с использованием типа VECTOR, применяемого в системах машинного обучения. Ускорение достигается благодаря оптимизации вычислений при поиске сходства между векторами в многомерных пространствах и реализации новой техники экстраполяции на основе вложенных векторных представлений (matryoshka embedding).
• Добавлены возможности для упрощения миграции с СУБД Oracle. В режиме совместимости с СУБД Oracle реализованы функции TO_NUMBER (преобразование строки в число), TO_DATE (преобразование строки в дату) и TRUNC (усечение даты, например, до часа, дня, месяца, года), а также появилась поддержка ассоциативных массивов (INDEX BY) и синтаксиса "( + )" для определения внешних слияний (outer join).
• Для повышения совместимости с MySQL добавлен плагин аутентификации caching_sha2_password, применяющий для хэширования алгоритм SHA2 вместо SHA1 и совместимый с одноимённым плагином из MySQL 9.
• Добавлен новый тип XMLTYPE для хранения данных в формате XML.
• Реализована возможность использования курсоров с параметризованными запросами (prepared statement).
• Добавлено выражение "SET PATH" для задания порядка поиска компонентов схемы хранения при обращении к ним без указания имени схемы.
• Реализована поддержка операции "IS JSON" для проверки типа выражения JSON, определённой в стандарте SQL:2023.
• В выражении "PARTITION BY KEY" реализована поддержка алгоритмов хэширования MYSQL51, MYSQL55, BASE31, CRC32C, XXH32 и XXH3.
• В движке хранения Aria реализован сегментированный кэш ключей, в котором ключи разбиваются на группы, хранимые в отдельных сегментах кэша. Новый кэш позволил повысить производительность паралеллельного выполнения запросов разными пользователями. Число сегментов задаётся через переменную aria_pagecache_segments, которая может принимать значения от 1 (по умолчанию) до 128.
• Добавлена возможность использования индексов на основе функций (functional index) для повышения производительности операций GROUP/ORDER BY.
• Реализована поддержка выражения "CREATE GLOBAL TEMPORARY TABLE" для создания глобальных временных таблиц. Подобные временные таблицы удаляются после завершения сеанса и видны всем пользователям, но содержат данные, индивидуальные для каждого пользователя.
• Добавлена поддержка SSL-ключей, защищённых паролем. Пароль для разблокирования SSL-сертификатов может быть задан через переменную ssl_passphrase или вручную при запуске сервера.
• Добавлено выражение "SET SESSION AUTHORIZATION" для выполнения действия под другим пользователем при выставлении соответствующих привилегий (выражение можно рассматривать как аналог "sudo" для СУБД).
• В плагин file_key_management.so добавлена поддержка хэшей SHA-2.
• Добавлена поддержка слабых курсорных переменных (weak cursor variable) предопределенного типа SYS_REFCURSOR, позволяющих возвращать курсор из хранимых процедур (в параметре OUT) или из функций (в выражении RETURN). Для ограничения максимального числа одновременно открытых курсоров добавлена системная переменная "max_open_cursors".
• В тип TO_CHAR добавлена поддержка формата FM (Fill Mode) для исключения добавочного заполнения. Например, запрос "SELECT CONCAT('/', TO_CHAR('2020-01-06 10:11:12', 'FMDAY'), '/');" вернёт "/Monday/" вместо "/Monday /".
• В утилиту mariadb-check и выражение CHECK TABLE добавлена поддержка таблиц от движка SEQUENCE.
• В оптимизатор добавлена поддержка опций (hint), влияющих на построения плана оптимизаций: QB_NAME, NO_RANGE_OPTIMIZATION, NO_ICP, MRR, NO_MRR, BKA, NO_BKA, BNL, NO_BNL, SEMIJOIN, SUBQUERY, JOIN_FIXED_ORDER, JOIN_ORDER, JOIN_PREFIX, JOIN_SUFFIX, MAX_EXECUTION_TIME, [NO_]JOIN_INDEX, [NO_]GROUP_INDEX, [NO_]ORDER_INDEX, [NO_]INDEX, [NO_]SPLIT_MATERIALIZED, NO_ROWID_FILTER, INDEX_MERGE/NO_INDEX_MERGE, [NO_]DERIVED_CONDITION_PUSHDOWN и [NO_]MERGE. Опции подставляются в запрос в формате, совместимом с MySQL, например:

  
     SELECT /*+ BKA(t1) NO_BKA(t2) */ * FROM t1 INNER JOIN t2 WHERE ...;
     SELECT /*+ MAX_EXECUTION_TIME(1000) */ * FROM t1 INNER JOIN t2 WHERE ...;
  

• Повышена производительность неупорядоченных выражений "LEFT JOIN" и упорядоченного сканирования при использовании выражения "PARTITION BY RANGE".
• В результатах трассировки оптимизатора обеспечен показ определений таблиц и представлений.
• При выполнении операций слияния таблиц (JOIN) реализована оптимизация, учитывающая уникальность строк в подзапросах с выражением "GROUP BY" для более точного прогнозирования числа результирующих строк (out_rows) и корректного применения индексов.
• Улучшена масштабируемость блокировок MDL (Metadata Lock).
• Добавлена поддержка новых функций GIS (Geographic Information System): ST_Validate, MBRCoveredBy, ST_Simplif, ST_GeoHash, ST_LatFromGeoHash, ST_LongFromGeoHash, ST_PointFromGeoHash, ST_IsValid, ST_Collect.
• Добавлена поддержка триггеров, срабатывающих для нескольких событий. В выражении CREATE TRIGGER теперь можно перечислять подпадающие под него события, используя синтаксис "{ event [ OR ... ] }".
• В плагин для ведения лога аудита добавлена поддержка буферизации операции записи в лог. Размер буфера задаётся через переменную server_audit_file_buffer_size. Реализовано сохранение в логе аудита информации о сетевых портах для входящих соединений (ранее отражался только хост).
• В утилиту mariadb добавлена опция "--script-dir" для задания альтернативного каталога поиска скриптов, запускаемых командой SOURCE.
• Разрешено использование репликации в параллельном режиме при асинхронной репликации данных между двумя кластерами Galera.
• В утилиту mariadb-dump добавлена возможность указания масок (например, "database_*"), используя опцию "-L" (--wildcards).
• Убрано требование по уникальности идентификаторов внешних ключей (foreign key) в контексте всей БД (достаточно уникальности на уровне таблицы).
• Сняты ограничения на уровень вложенности структур в функциях для работы с JSON (убран лимит JSON_DEPTH_LIMIT, который ранее принимал значение 32).
• Добавлена таблица TRIGGERED_UPDATE_COLUMNS в схеме INFORMATION_SCHEMA (INFORMATION_SCHEMA.TRIGGERED_UPDATE_COLUMNS), показывающая столбцы, изменяемые при срабатывании триггера.
• В таблице PARAMETERS в схеме INFORMATION_SCHEMA реализован столбец PARAMETER_DEFAULT, содержащий значения по умолчанию параметров хранимых процедур.
• Удалены переменные big_tables, large_page_size и storage_engine, ранее объявленные устаревшими.

1. OpenNews: Инициативы по сближению MySQL с сообществом и форсированию разработки
2. OpenNews: Выпуск СУБД MySQL 9.6.0
3. OpenNews: Представлен openHalo, инструментарий для миграции с MySQL на PostgreSQL
4. OpenNews: Релиз СУБД PostgreSQL 18
5. OpenNews: Стабильный выпуск СУБД MariaDB 12.2

В ранее действующих правилах допускалось размещение приложений и изменений, часть которых была сгенерирована через AI и прошла ручное рецензирование. В новых правилах запрещена публикация приложений, содержащих любой код, документацию и прочие компоненты, созданные при участии AI, но предусмотрена возможность предоставления отдельных исключений для зрелых и качественно сопровождаемых проектов. Ограничения распространяются только на новые проекты, размещаемые после изменения правил, и не повлияют на уже опубликованные в каталоге приложения, созданные через AI.

В примечании Барт отметил, что большие языковые модели могут быть полезным инструментом и со временем всё меньше кода будет создаваться без их участия. Но в настоящее время реальность такова, что авторы программ, созданных через AI, зачастую не готовы прилагать усилия для создания и оттачивания полноценного продукта и выступают лишь посредниками, поставившими задачу AI-агенту и опубликовавшими результат. Указано, что Барт устал от обострившихся за последний месяц конфликтов с высокомерными авторами, возникающих после отказа принимать в каталог сырые программы, созданные через AI. По словам Барта, подобные авторы ведут себя так, будто дарят гениальное ПО, а какие-то идиоты отказываются его принимать.

1. OpenNews: Во Flatpak намерены сделать systemd обязательной зависимостью
2. OpenNews: Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения
3. OpenNews: В GNOME Flatpak Runtime прекращена поддержка 32-разрядных приложений
4. OpenNews: Проекту Fedora пригрозили иском из-за поставки сбойного flatpak-пакета с OBS Studio
5. OpenNews: Каталог приложений Flathub достиг отметки в 2 миллиарда загрузок

Методы работы с памятью в Rust нацелены на исключение ошибок при манипулировании указателями и защиту от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлен модуль range с реализацией новых типов, развиваемых для замены устаревших типов Range, RangeInclusive, RangeToInclusive и RangeFrom, и позволяющих хранить диапазоны в Copy-структурах. Тип Range определяет диапазоны, ограниченные минимальным и максимальным допустимым значением (но не входящим в него), тип RangeFrom определяет числа начиная с указанного значения, а тип RangeInclusive - значения указанного диапазона с обеими его границами. В будущих выпусках дополнительно появятся типы RangeFull и RangeTo, старая реализация будет перенесена в core::range::legacy::*, а синтаксис "N..M" и "N..=M" переведут на новый вариант типов.

  Новые типы отличаются тем, что вместо типажа Iterator реализуют типаж IntoIterator, т.е. вместо встроенного итератора определяют то, как преобразовать тип в итератор. Подобный подход позволяет использовать с новыми типами операцию копирования (типаж Copy, показывающий, что значения типа можно дублировать через простое копирование), которая ранее была недоступна из-за несовместимости с типами со встроенными итераторами. Например, новые типы дают возможность сохранить границы среза в структуру, которая полностью копируется без раздельного сохранения начального и конечного значений:

  
     use core::range::Range;
  
     #[derive(Clone, Copy)]
     pub struct Span(Range<usize>);
  
     impl Span {
         pub fn of(self, s: &str) -> &str {
             &s[self.0]
         }
     }
  

• Добавлены макросы "assert_matches!" и "debug_assert_matches!", проверяющие соответствие значения указанному шаблону и аварийно завершающие выполнение при расхождении. От выражений "assert!(matches!(..))" и "debug_assert!(matches!(..))" новые макросы отличаются выводом отладочной информации со значениями, вызвавшими сбой. Для избежания пересечений со сторонними макросами, поставляемыми с аналогичными именами, новые макросы требую явного импорта библиотеки "core::assert_matches".

  
     use core::assert_matches;
  
     fn get_random_number() -> u32 {
         4
     }
  
     fn main() {
         assert_matches!(get_random_number(), 1..=6);
     }
  

• При сборке для целевой платформы WebAssembly прекращена передача компоновщику опции "--allow-undefined", разрешавшей связывание при наличии неопределённых символов, которые преобразовывались в импорт из модуля "env". При сборке для WebAssembly все связанные с компоновкой символы теперь по умолчанию обязательно должны быть определены. Для возвращения старого поведения можно использовать переменную окружения "RUSTFLAGS=-Clink-arg=--allow-undefined" или выражение '#[link(wasm_import_module = "env")]" в коде.
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • assert_matches!
  • debug_assert_matches!
  • From<T> for AssertUnwindSafe<T>
  • From<T> for LazyCell<T, F>
  • From<T> for LazyLock<T, F>
  • core::range::RangeToInclusive
  • core::range::RangeToInclusiveIter
  • core::range::RangeFrom
  • core::range::RangeFromIter
  • core::range::Range
  • core::range::RangeIter
• В пакетном менеджере Cargo устранена уязвимость CVE-2026-5223, которая может использоваться для перезаписи исходного кода другого crate-пакета в локальном кэше пакетов из того же репозитория через манипуляции с символическими ссылками внутри crate-а пакетов. Уязвимость проявляется только при работе со сторонними репозиториями пакетов и не затрагивает пользователей репозитория crates.io, так как в crates.io запрещена загрузка пакетов с символическими ссылками.

Дополнительно можно отметить публикацию (PDF) результатов анализа пригодности языка Rust для разработки прошивок для микроконтроллеров и встраиваемых систем с ограниченными ресурсами. Исследование проведено компанией STMicroelectronics при участии нескольких европейских университетов. Двум изолированным командам разработчиков была поставлена задача по реализации одной и той же прошивки для микроконтроллеров STM32U585AI с ядром Arm Cortex-M33. Первая команда создавала прошивку на Си, а вторая на Rust.

Тестирование выполненной работы не выявило заметных преимуществ в использовании языка Си вместо Rust при разработке прошивок для микроконтроллеров при сравнении потребления памяти и производительности. Более того, задействование написанного на Rust системного runtime от открытого проекта Ariel OS позволило добиться потребления памяти в проекте на Rust ниже, чем в реализации на языке Си, использующей традиционный стек для разработки прошивок на базе библиотеки newlib.

Размер результирующей прошивки составил 84100 байт в проекте на Rust и 76744 байта в проекте на Си (на 10% меньше), но потребление оперативной памяти в прошивке на Rust оказалось значительно ниже - 24640 байтов против 42608 байтов. Что касается производительности, то при тестировании начальных прототипов, разработанных за 6 недель, реализация на Rust в два раза опережала, реализацию на Си, но обе реализации значительно отставали от расчётной максимальной производительности. После 4 недель, выделенных на оптимизацию, обе реализации достигли примерно одинакового результата, близкого к расчётному максимуму.

1. OpenNews: Выпуск Rust 1.95. Добавление Rust в дисплейный сервер Mir. Анализатор трафика ayaFlow на Rust
2. OpenNews: Google задействовал Rust-библиотеку Hickory в прошивке радиомодуля смартфонов Pixel 10
3. OpenNews: Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust
4. OpenNews: Intel развивает виртуальную прошивку TD-Shim, написанную на Rust
5. OpenNews: Google переписал на языке Rust прошивку pvmfm, используемую в Android

Уязвимость затрагивает код, обеспечивающий поддержку механизма cifs.spnego для выполнения аутентификации по протоколу SPNEGO (Simple and Protected GSSAPI Negotiation) при подключении к SMB-серверам. При использовании cifs.spnego для определения ключей из Kerberos/SPNEGO ядро вызывает обработчик cifs.upcall, предоставляемый пакетом cifs-utils и выполняемый в пользовательском пространстве с правами root.

Непривилегированный пользователь может инициировать вызов обработчика через отправку запроса, требующего получения ключа "cifs.spnego", с поддельным описанием "CIFS SPNEGO". В обработчике cifs.upcall не выполняются дополнительные проверки корректности параметров, переданных через ядро, среди прочего он воспринимает заслуживающими доверия значения полей pid, uid, creduid и upcall_target. После активации обработчик cifs.upcall переключается в пространства имён пользовательского процесса, через который был отправлен запрос, и до сброса привилегий выполняет поиск в системной базе NSS (Name Service Switch).

Атакующий может запустить свой процесс в отдельном пространстве имён точек монтирования, что приведёт к выполнению обращения к NSS в его контексте. Для эксплуатации уязвимости достаточно внутри созданного атакующим окружения разместить собственный файл конфигурации /etc/nsswitch.conf и набор подставных библиотек libnss_*.so.2. Выполнение NSS-запроса обработчиком cifs.upcall приведёт к загрузке подставленных атакующим библиотек с правами root.

Для эксплуатации уязвимости в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace) или точек монтирования (mount namespace), а также требуется наличие в системе установленного пакета cifs-utils. Дистрибутивы, в которых возможна эксплуатация уязвимости в конфигурации по умолчанию:

• Linux Mint Cinnamon 21.3/22.3
• CentOS Stream 9 GNOME
• Rocky Linux 9 Workstation
• Kali Linux
• AlmaLinux 9.7 Workstation
• SUSE 15 SP7/SAP 15 SP7/SAP 16

Дистрибутивы, в которых для работы эксплоита требуется установка пакета cifs-utils:

• Ubuntu 18.04/20.04/22.04 Desktop/Server
• Pop!_OS 22.04 Intel/24.04 Generic
• Ubuntu 24.04 Desktop minimal/full and Server
• Debian 11/12/13 netinst standard and GNOME/KDE/standard/XFCE
• CentOS Stream 9 Cinnamon/KDE/MATE/XFCE
• Rocky Linux 9 KDE/Workstation-Lite
• openSUSE Leap 15.6 GNOME/KDE
• openSUSE Tumbleweed GNOME/KDE
• Rocky Linux 8 GenericCloud
• Oracle Linux 8/9 KVM
• Amazon Linux 2023 KVM

Дистрибутивы, в которых в конфигурации по умолчанию применяются настройки, блокирующие эксплуатацию уязвимости через SELinux или Apparmor, даже при наличии пакета cifs-utils:

• Ubuntu 26.04 Desktop/Server
• Fedora 40/41/42/43/44 Workstation/Server
• CentOS Stream 10 GNOME/KDE
• Rocky Linux 10 Workstation
• AlmaLinux 10.1 Workstation
• Oracle Linux 10 KVM
• openSUSE Tumbleweed GNOME/KDE
• openSUSE Leap 16.0 OEM GNOME/KDE/Minimal-VM
• SUSE Linux 16

В качестве обходного пути защиты можно заблокировать автоматическую загрузку модуля ядра cifs:

   sh -c "printf 'install cifs /bin/false\n' > /etc/modprobe.d/cifs.conf; rmmod cifs 2>/dev/null; true"

Также можно запретить использование user namespace ("sysctl -w kernel.unprivileged_userns_clone=0") и удалить или переопределить правило cifs.spnego в настройках cifs-utils:

    cat >/etc/request-key.d/cifs.spnego.conf <'EOF'
    create cifs.spnego * * /usr/sbin/keyctl negate %k 30 %S
    EOF

Тем временем, за 28 мая опубликовано 137 отчётов об уязвимостях в ядре Linux, а за 27 мая - 277 отчётов.

1. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
2. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
3. OpenNews: DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux
4. OpenNews: PinTheft - шестая уязвимость класса Copy Fail, предоставляющая права root в Linux
5. OpenNews: GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

Атака основана на том, что характер изменения времени доступа к SSD-накопителю во время открытия сайта или запуска web-приложения специфичен для конкретного сайта и приложения. Используя типовые слепки изменения времени доступа для заранее измеренных сайтов и приложений можно выделять свойственную им активность на фоне других операций ввода/вывода. В контексте реализованной атаки для сопоставления задержек при вводе/выводе с сигнатурами сайтов и приложений задействована свёрточная нейронная сеть, способная выявлять закономерности на фоне шума от постороннего ввода/вывода.

Для работы метода в браузере задействован API OPFS (Origin-Private FileSystem), позволяющий создавать файлы в локальной файловой системе (файлы создаются в привязанной к сайту изолированной части ФС). Анализ времени доступа к SSD-накопителю осуществляется путём измерения задержек при одинаковых операциях с данными. Для обхода влияния на операции с файлом страничного кэша в ходе атаки требуется создание файлов очень большого размера, превышающего размер доступной оперативной памяти.

В качестве меры для противодействия атаке производителям браузеров предложено запрашивать у пользователя отдельное подтверждение доступа к API OPFS или ограничить максимальный размер файла значением, не превышающим размер оперативной памяти. В настоящее время Chrome и Safari позволяют через API OPFS создавать файлы, занимающие до 60% имеющегося дискового пространства.

Разработчики Chromium из компании Google не признают подобные атаки по сторонним каналам уязвимостями. Разработчики Safari из Apple не исключают внедрение в будущем методов для противодействия атаке. Компания Mozilla признала наличие проблемы, но пока не реализовала исправление.

1. OpenNews: SnailLoad - атака по определению открываемых сайтов через анализ задержек доставки пакетов
2. OpenNews: SQUIP - атака на процессоры AMD, приводящая к утечке данных по сторонним каналам
3. OpenNews: Представлена новая техника скрытой идентификации системы и браузера
4. OpenNews: Атака NetSpectre, приводящая к утечке содержимого памяти по сети
5. OpenNews: Эксплуатация уязвимости в DRAM-памяти через локальную сеть

Внутри проекта будет сформирован информационно-координационный центр, отвечающий за решение вопросов, связанных с безопасностью, и использующий AI для проверки и тестирования исправлений в открытых кодовых базах. Создаваемое подразделение позволит предприятиям привлекать инженеров IBM и Red Hat для решения критических проблем с безопасностью, обеспечивая при этом передачу исправлений разработчикам upstream-проектов.

Проект будет выступать площадкой, на которой предприятия смогут сообщать о выявлении проблем, устранять уязвимости, получать проверенные патчи, применимые как к продуктам Red Hat, так и к развиваемому сообществом коду, и скоординировано передавать исправления в upstream-проекты. Помимо этого IBM и Red Hat привлекут своих инженеров и AI для содействия в сопровождении upstream-проектов и корпоративных окружений, рецензирования выявляемых уязвимостей, разработки патчей и продвижения исправлений учётом сложных цепочек зависимостей.

1. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО
2. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
3. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
4. OpenNews: Линус Торвальдс раскритиковал приватный разбор уязвимостей, выявленных при помощи AI
5. OpenNews: GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

В качестве примера ошибок в ядре, которые удалось бы избежать при использовании Rust, упомянута ошибка в подсистеме Bluetooth, остававшаяся незамеченной 15 лет, и проблема в гипервизоре Xen. В первом случае разработчик выполнил разыменование указателя без проверки, а во втором забыл снять блокировку в коде обработки ошибок. По словам Грега, большинство ошибок в ядре вызваны подобными мелочами, которые со временем накапливаются и всплывают как уязвимости. В Rust многие из подобных проблемы предотвращаются компилятором, например, Rust-абстракции для блокировок в ядре допускают получение доступа к внутренним указателям структур только после захвата соответствующей блокировки, которая снимается автоматически. Без захвата блокировки получить доступ к указателям структур на Rust не получится.

Грег считает, что подобные возможности Rust не допустили бы появления 60% ошибок, выявляемых в ядре, а выполняемые компилятором проверки избавили бы сопровождающих от траты времени на обсуждение с авторами корректности обработки ошибок и обоснованности выставления блокировок в нужном месте. Более того, внедрение поддержки Rust уже оказало благотворное влияние и на Си-код в ядре благодаря приведению в порядок Си-кода и интерфейсов, а также заимствованию некоторых приёмов разработки (например, были реализованы блокировки с ограниченной областью видимости).

Благодаря системе типов, гарантирующей соблюдение заданных правил, и применению систем непрерывной интеграции, проверяющих код на этапе сборки, при рецензировании изменений на Rust сопровождающие могут сосредоточиться на проверке логики работы, а не отслеживании манипуляций с ресурсами. Применение Rust также позволяет более внимательно относиться к данным, поступающим от оборудования или из внешних систем. Подобное достигается благодаря явному разграничению заслуживающих и не заслуживающих доверия данных на уровне системы типов: разработчику достаточно выполнить анализ при переходе из недоверительного в доверительное состояние.

Последнее время команда, отвечающая за безопасность в ядре, публикует каждый день примерно 13 отчётов об уязвимостях, что на фоне прошлой динамики выявления уязвимостей воспринимается как какое-то безумие (для примера за вчерашний день было опубликовано 277 отчётов об уязвимостях в ядре). По мнению Грега, использование Rust является одним из реальных способов добиться снижения числа ошибок в ядре, вызванных традиционными оплошностями при обработке ошибок и управлении ресурсами. В ядре поддержка Rust уже вышла за рамки эксперимента и в конце прошлого года была признана штатной возможностью ядра.

1. OpenNews: Интервью с Грегом Кроа-Хартманом о созданных через AI отчётах об ошибках
2. OpenNews: Грегу Кроа-Хартману присуждена премия за вклад в открытое ПО
3. OpenNews: Мнение Грега Кроа-Хартмана и Кейса Кука о продвижении Rust в ядро Linux
4. OpenNews: Поддержка Rust переведена из экспериментальных в основные возможности ядра Linux
5. OpenNews: Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust

Автор проекта - Андрей Квапил (@kvaps), основатель Cozystack и участник некоммерческой организации Piraeus, в рамках которой развиваются оператор и CSI-драйвер LINSTOR для Kubernetes. Автор известен в Kubernetes-сообществе как популяризатор LINSTOR и неоднократно выступал с техническими докладами по теме. Изначально разработка задумывалась как небольшая "пятничная" инициатива, однако в итоге превратилась примерно в 20 дней непрерывной работы. На текущий момент проект развивается как исследовательский, однако в перспективе рассматривается как возможная замена LINSTOR в роли системы хранения по умолчанию в Cozystack.

В качестве причин создания нового проекта упоминаются сложности с сопровождением оригинального проекта и передачей изменений в основной проект, а также архитектурные ограничения LINSTOR. Оригинальный проект использует "request-based" модель обработки запросов в реальном времени, который показывает проблемы на масштабах, тогда как декларативный reconciliation-подход Kubernetes и framework controller-runtime, по мнению автора, значительно лучше подходит для построения распределённых систем.

В отличие от LINSTOR, архитектура Blockstor полностью основана на подходе Kubernetes controller-runtime. Конфигурация и текущее состояние системы представлены в виде Kubernetes CRD-объектов, а сама система не рассчитана на работу вне Kubernetes-кластера.

Среди основных возможностей Blockstor:

• Реплицируемые поверх DRBD тома на базе LVM, LVM-thin, ZFS, ZFS-thin и файловых бэкендов.
• Автоматическое размещение реплик с учётом зон, свойств узлов и правил "replicas-on-different".
• Поддержка TieBreaker, quorum и изменения размера томов без остановки работы.
• Возможность работы без DRBD в режиме локального (single-replica diskful) или бездискового хранилища.
• Шифрование томов через LUKS.
• Поддержка снапшотов: создание, откат, клонирование и восстановление в виде нового ресурса.
• Перенос снапшотов внутри кластера через zfs send/recv и thin-send-recv.
• Создание storage pool’ов из физических дисков.
• Собранные для разных архитектур контейнерные образы (linux/amd64 и linux/arm64), опубликованные в GHCR.

Особенностью проекта стало активное использование AI-инструментов при разработке. Практически весь код был подготовлен с помощью Claude Code (модель Opus 4.7) компании Anthropic. Разработка велась почти круглосуточно в течение примерно 20 дней. В отдельные моменты одновременно работало до 60 AI-агентов, а общий диалог разработки составил около 1320 запросов со стороны автора и порядка 36 тысяч ответов модели в рамках одной непрерывной сессии. На выходе получилось 1500 коммитов, в которых 83 тысячи строк кода заняла реализация и ещё 137 тысяч строк кода тесты. По предварительной оценке, суммарно было израсходовано около 18.9 млрд токенов, а эквивалентная стоимость такого объёма при использовании API-тарифов составила бы около 40 тысяч долларов.

Автор первоначально рассчитывал на почти полностью автономную разработку силами AI-модели, однако сложная логика DRBD потребовала постоянного участия человека. Наиболее сложными оказались сценарии схождения DRBD-состояний, работа с Generation Identifier (GI), пропуска изначальной синхронизации и обработка split-brain сценариев. Поскольку оригинальный LINSTOR распространяется под лицензией GPL, использовать его код напрямую было нельзя. Основная часть реализации создавалась на основе анализа API-контрактов, поведения утилит, Python-клиента LINSTOR, а также совместимых по лицензии проектов, включая piraeus-operator и CSI-драйвер.

В наиболее сложных случаях применялась схема с разделением ролей AI-агентов: один агент анализировал исходный код LINSTOR и формировал текстовую спецификацию поведения, после чего другой агент реализовывал функциональность исключительно по этой спецификации без прямого копирования исходного кода. Из-за отсутствия открытых тестов у оригинального проекта тестовую базу пришлось формировать самостоятельно.

1. OpenNews: В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9
2. OpenNews: Релиз распределенного реплицируемого блочного устройства DRBD 9.2.0
3. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
4. OpenNews: Опубликован код COSI-драйвера для SeaweedFS
5. OpenNews: Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes

Навигация в браузерном интерфейсе осуществляется при помощи VR-контроллеров или через отслеживание движения глаз, а для ввода данных в web-формы применяется виртуальная клавиатура или система голосового ввода, дающая возможность заполнять формы и отправлять поисковые запросы с использованием развиваемого системы распознавания речи. Возможен просмотр в браузере пространственных видео, снятых в режиме 360 градусов. В качестве стартовой страницы браузер предоставляет интерфейс для доступа к избранному контенту и навигации по коллекции, адаптированных для 3D-шлемов игр, web-приложений, 3D-моделей и пространственных видео.

Готовые сборки формируются для платформы Android и поддерживают такие 3D-шлемы, как Huawei VR Glass, Huawei Vision Glass, VIVE Focus, Lynx R1, Lenovo A3, Magic Leap 2, Meta Quest 2/3/Pro, Oculus Quest и Pico 4/4E. В режиме тестирования возможен запуск на обычном Android-смартфоне без 3D-шлема. Код Wolvic написан на языках Java и C++, и распространяется под лицензией MPLv2.

Среди изменений в новых выпусках:

• Предоставлена возможность добавления и использования по умолчанию своих поисковых движков.
• Задействован новый движок для распознавания речи, применяемый для голосового поиска и позволяющий выполнять транскрибирование. В движке задействованы модели автоматического распознания речи от проекта Vosk, загружаемые по мере необходимости и занимающие менее 50 МБ. Распознавание производится на устройстве без обращения к внешним сервисам. Поддерживаются английский, испанский, немецкий, итальянский, китайский, французский и русский языки.
• Реализована корректная работа с сервисами, такими как Google Earth, предлагающими установить отдельное приложение. Для подобных программ Wolvic теперь откатывается на использование web-версии.
  
  
• Добавлены четыре новых виртуальных окружения, включаемые через диалог "Settings > Environment".
• Обеспечено сохранение состояния браузера после обновления - все открытые до обновления вкладки теперь сохраняются.
• Расширены возможности виджетов для выбора даты и времени.
• Возобновлена поддержка 3D-шлема Lynx-R1.
• Браузерный движок Gecko и компоненты Mozilla для Android обновлены до версии 140, соответствующей Firefox 140 (в прошлых выпусках использовались версии Mozilla Android Components 128 и Gecko 128).

1. OpenNews: Первый выпуск редакции браузера Wolvic с движком Chromium
2. OpenNews: Опубликован Wolvic 1.7, web-браузер для устройств виртуальной реальности
3. OpenNews: Представлен wxrd, композитный сервер на базе Wayland для систем виртуальной реальности
4. OpenNews: Плагин к KWin для использования KDE в виртуальной реальности
5. OpenNews: Выпуск открытой платформы виртуальной реальности Monado 25.1.0

В числе основателей проекта выступили 12 компаний и организаций, среди которых Qualcomm Technologies, Meta, Analog Devices, Baochip, SIMPLE Crypto Association, Tenstorrent, Winbond и ZeroRISC. Проект развивается на нейтральной площадке, не зависящей от отдельных производителей, и управляется участниками из образованного вокруг него сообщества.

Pavona предоставляет IP-блоки с ядрами RISC-V (Ibex RV32IMCB и VexII), криптоускорителями с поддержкой классических и постквантовых криптоалгоритмов, контроллерами OTP/flash, SRAM, JTAG, ADC, I2C, GPIO и SPI. Среди реализованных на аппаратном уровне криптоалгоритмов: HMAC, KMAC, AES, EDN, ASCON, ML-KEM, ML-DSA, DSA-SHA2 и SLH-DSA-SHAKE. Предоставляется полная документация и ресурсы для верификации перед производством (Design Verification collateral) и RTL-код. Помимо аппаратных компонентов проектом также предоставляется программное обеспечение, такое как криптографическая библиотека для интеграции с криптоускорителями, прошивки и сопутствующие утилиты.

На базе Pavona подготовлены две эталонные реализации: обособленный чип со встроенными криптографическими возможностями для использования в роли "Root of Trust" и реализация "Root of Trust" для архитектуры чиплетов, опробованные в производстве с использованием техпроцесса TSMC 3nm (N3). Чиплеты позволяют создавать комбинированные гибридные интегральные схемы (многочиповые модули), образованные из независимых полупроводниковых блоков. Отмечается, что Pavona стал первым проектом, предоставляющим готовый к производству встраиваемый в чипы открытый стек с поддержкой постквантовых криптографических алгоритмов (PQC).

1. OpenNews: Intel, AMD и ARM представили UCIe, открытый стандарт для чиплетов
2. OpenNews: Программно-аппаратная платформа CHERIoT 1.0 для повышения безопасности кода на языке Си
3. OpenNews: Микроядро Xous и открытый чип Baochip-1x для создания безопасных встраиваемых систем
4. OpenNews: Готов к производству первый прототип открытого чипа Libre-SOC
5. OpenNews: В Chromebook началась интеграция открытых чипов OpenTitan

Дистрибутив по возможности бинарно совместим с Red Hat Enterprise Linux и может использоваться в качестве замены RHEL 10.2 и CentOS 10 Stream. Помимо ребрендинга и удаления специфичных для RHEL пакетов в AlmaLinux 10.2 отмечены следующие отличия от RHEL 10.2:

• Опубликован репозиторий пакетов, собранных для архитектуры i686, а также образы контейнеров в формате Docker для 32-разрядных систем x86. Компания Red Hat отказалась от формирования 32-разрядных сборок для архитектуры x86 в выпуске RHEL 7, опубликованном в 2014 году. В ветке CentOS 7 сборка 32-разрядных пакетов была продолжена командной CentOS Linux AltArch SIG , но начиная с ветки CentOS 8 формирование подобных сборок прекратилось. Причиной возрождения сборок для архитектуры i686 в AlmaLinux стало желание предоставить возможность запуска старых приложений, доступных только в форме исполняемых файлов для 32-разрядных систем. Сборки также могут быть полезны для формирования 32-разрядных окружений для тестирования кода в системах непрерывной интеграции и для запуска контейнеров для 32-разрядных программ.
• Возвращена поддержка файловой системы Btrfs. Добавлена возможность разметки накопителей с использованием Btrfs в инсталляторе, обеспечена установка модуля ядра btrfs.ko, возвращён набор утилит btrfs-progs, а также проведена работа по адаптации работы с Btrfs стека управления хранением данных и проверена корректность функционирования пакетов bcc, buildah, cockpit, ignition, libblockdev, libguestfs, osbuild, osbuild-composer, podman, pykickstart, python-blivet, skopeo, udisks2 и virt-v2v в окружениях с Btrfs. Компания Red Hat объявила ФС Btrfs устаревшей в выпуске RHEL 7.4 (2017 год) и полностью прекратила её поддержку в ветке RHEL 8.
• По умолчанию активирован репозиторий пакетов CRB (CodeReady Builder), в котором поставляется подборка пакетов, по умолчанию не предлагаемых в Red Hat Enterprise Linux, таких как приложения для разработчиков, дополнительные библиотеки и обвязки, а также пакеты с отладочными данными, документацией, заголовочными файлами, статическими сборками и примерами кода (пакеты "-devel", "-example", "-doc" и "-static"). Среди прочего в CRB присутствуют библиотеки, использующиеся в качестве зависимостей в пакетах из репозитория EPEL (Extra Packages for Enterprise Linux).
• Cформированы пакеты для установки драйверов NVIDIA и стека CUDA. Драйверы могут использоваться в конфигурациях с UEFI Secure Boot. Модули ядра из официального набора проприетарных драйверов от компании NVIDIA не могут быть загружены в режиме UEFI Secure Boot, так как они не заверены цифровой подписью дистрибутива. Данное ограничение удалось обойти благодаря использованию открытых компанией NVIDIA модулей ядра, на базе которых сформирован собственный пакет nvidia-open-kmod с модулями, заверенными цифровой подписью AlmaLinux. Отдельно оформлен пакет almalinux-release-nvidia-driver с конфигурацией поддерживаемого компанией NVIDIA внешнего репозитория, из которого выполняется загрузка CUDA-драйверов и проприетарных компонентов драйвера NVIDIA, работающих в пространстве пользователя.
• Сформированы отдельные сборки для второй версии микроархитектуры x86-64 (x86-64-v2), которые сопровождаются параллельно с базовыми сборками x86-64, формируемыми с оптимизациями для микроархитектуры x86-64-v3, которая используется в RHEL 10. Дополнительная поддержка x86-64-v2 позволяет обеспечить совместимость с CPU старее Intel Haswell и AMD Excavator, спроектированными до 2013 года. Помимо штатных репозиториев сборки x86-64-v2 также подготовлены и для пакетов из репозитория EPEL.
• Возвращены серверные и клиентские реализации протокола SPICE, позволяющего организовать удаленную работу с рабочим столом, функционирующим в виртуальном окружении под управлением QEMU/KVM. В отличие от протоколов VNC и RDP в SPICE отрисовка содержимого экрана и обработка аудиопотоков производится на стороне клиента, а не на сервере. В RHEL поддержка SPICE была прекращена в выпуске 9.0.
• Возвращено использование процессорного регистра %rbp в качестве базового указателя на кадр стека, содержащий адреса возврата и переменные функции (frame pointer). Использование указателя на кадры стека позволяет использовать в дистрибутиве дополнительные возможности для трассировки и профилирования системы.
• Реализована возможность использования гипервизора KVM на системах с процессорами IBM POWER. В RHEL подобная поддержка была прекращена в ветке 9.0.
• Поддерживается репозиторий Synergy, в котором размещены пакеты, отличающиеся от Red Hat Enterprise Linux. В настоящее время в репозитории Synergy уже опубликованы пакеты c пользовательским окружением Pantheon, развиваемым проектом Elementary OS, и утилитой Warpinator, предназначенной для шифрованного обмена файлами между двумя компьютерами.
• Реализована возможность загрузки в режиме UEFI Secure Boot для систем с процессорами Intel/AMD и ARM.
• Возобновлена поддержка более 150 аппаратных устройств, не поддерживаемых в RHEL 10.2. Например, возвращены идентификаторы старых PCI-устройств в драйверах:
  • aacraid - Dell PERC2, 2/Si, 3/Si, 3/Di, Adaptec Advanced Raid Products, HP NetRAID-4M, IBM ServeRAID & ICP SCSI
  • be2iscsi - Emulex OneConnectOpen-iSCSI для BladeEngine 2 и 3
  • be2net - Emulex BladeEngine 2 and 3 adapters *
  • hpsa - HP Smart Array Controller
  • lpfc - Emulex LightPulse Fibre Channel SCSI
  • megaraid_sas - Broadcom MegaRAID SAS
  • mlx4_core - Mellanox Gen2 и ConnectX-2
  • mpt3sas - LSI MPT Fusion SAS 3.0
  • mptsas - Fusion MPT SAS Host
  • qla2xxx - QLogic Fibre Channel HBA
  • qla4xxx - QLogic iSCSI HBA.

Дистрибутив AlmaLinux основан компанией CloudLinux в ответ на преждевременное сворачивание поддержки CentOS 8 компанией Red Hat (выпуск обновлений для CentOS 8 прекращён в конце 2021 года, а не в 2029 году, как предполагали пользователи). Проект курирует отдельная некоммерческая организация AlmaLinux OS Foundation, которая была создана для разработки на нейтральной площадке с участием сообщества и c использованием модели управления, похожей на организацию работы проекта Fedora. Дистрибутив бесплатен для всех категорий пользователей. Все наработки AlmaLinux публикуются под свободными лицензиями.

Кроме AlmaLinux, в качестве альтернатив классическому CentOS также позиционируются Rocky Linux (развивается сообществом под руководством основателя CentOS), Oracle Linux, SUSE Liberty Linux и EuroLinux. Кроме того, компания Red Hat предоставила возможность бесплатного использования RHEL в организациях, развивающих открытое ПО, и в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем.

1. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
2. OpenNews: Доступен дистрибутив AlmaLinux 10.1
3. OpenNews: Развитие AlmaLinux для профессиональных видеостудий
4. OpenNews: В AlmaLinux появилась поддержка архитектуры RISC-V
5. OpenNews: В AlmaLinux возобновлена сборка пакетов для 32-разрядных систем x86

Уязвимость позволяет добиться продолжения выполнения фонового JavaScript-обработчика (Service Worker) даже после закрытия окна браузера, что даёт возможность атакующему организовать постоянный контроль за браузером с возможностью загрузки и выполнения в любой момент своего JavaScript-кода в контексте своей страницы. Сценарий атаки сводится к тому, что атакующий может добиться открытия своей страницы в версии браузера, не содержащей уязвимостей, после чего дождаться выявления серьёзной уязвимости в браузере и организовать выполнение эксплоита без необходимости повторного открытия пользователем страницы атакующего. Суть метода в создании страницы с Service Worker-ом, выполняющей операцию загрузки данных, которая никогда не прерывается.

По мнению выявившего проблему исследователя, уязвимость может использоваться для создания ботнета из браузеров, пользователи которых не подозревают, что один раз закрепившись, атакующий может удалённо выполнить JavaScript-код на их устройстве без совершения действий с их стороны. Подобный ботнет и без эксплуатации других уязвимостей может применяться для организации DDoS-атак и проксирования вредоносного трафика через системы жертв. Проблема затрагивает все браузеры на движке Chromium.

1. OpenNews: Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome