Раскрыта информация об уязвимости «HTTP/2 Bomb«, затрагивающей различные реализации протокола HTTP/2 и позволяющей добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora в конфигурации по умолчанию. Уязвимость использует метод, напоминающий zip-бомбу, применяемую к функциональности сжатия заголовков в HTTP/2. Идея в том, что запрос может содержать тысячи сжатых заголовков, таких как «Cookie», без прикреплённых данных, каждый из которых в запросе представлен однобайтовой ссылкой в индексе HPACK, но на сервере требует полноценного выделения памяти под весь заголовок. Уровень расходования памяти в различных HTTP-серверах варьируется от … Читать далее Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти

В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE не назначен), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4. Уязвимость присутствует в udev-обработчике libinput-device-group и вызвана отсутствием должного экранирования спецсимволов в атрибутах, получаемых от устройств и передаваемых в подсистему udev в форме «ключ=значение». Через подстановку символа перевода строки («n») в атрибут, можно добиться добавления своего правила udev, например, через выполнение uinput-команды UI_SET_PHYS(«pocn‹SECOND_KEY›=‹value›»). Для выполнения произвольных команд с правами root достаточно подобным способом подставить … Читать далее Уязвимость в libinput, позволяющая повысить свои привилегии в системе

Опубликован релиз прокси-сервера Privoxy 4.2.0, предназначенного для создания персональных фильтров web-контента. При помощи Privoxy можно вырезать рекламные вставки, отбрасывать отслеживающие Cookie, удалять всплывающие диалоги, блокировать загрузку стороннего JavaScript-кода и вносить необходимые пользователю произвольные изменения в web-страницы. Privoxy поддерживает установку как на локальные системы отдельных пользователей, так и на серверы для создания централизованной инфраструктуры фильтрации контента в локальной сети. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. Готовые сборки подготовлены для Linux (deb) и Windows. Из расширенных возможностей Privoxy можно отметить: возможность привязки тегов для изменения поведения фильтров в зависимости от отдельных клиентских и серверных HTTP-заголовков; режим инспектирования … Читать далее Выпуск фильтрующего прокси Privoxy 4.2.0

Администраторы почтовых серверов на базе Fedora Linux обратили внимание на возникновение проблем с работой почтового клиента Microsoft Outlook после обновления дистрибутива. Диагностика проблемы показала, что в новой версии пакета с IMAP/POP3-сервером Dovecot 2.4.3 в настройках по умолчанию была запрещена аутентификация по протоколам IMAP и POP3 с передачей пароля в открытом виде в сеансах без применения шифрования. У пользователей Outlook была включена опция для обращения к почтовому серверу с использованием шифрования, но почтовый клиент при её выставлении продолжал использовать сетевой порт 110 для POP3, вместо смены номера порта на 995, применяемого для TLS-сеанса к серверу POP3, и не использовал расширение STARTTLS … Читать далее Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook

После выхода обновления утилиты для синхронизации файлов rsync 3.4.3 с исправлением 6 уязвимостей, отмечено появление регрессий, нарушающих работоспособность ранее используемых конфигураций. Помимо этого непонимание и недовольство вызвало добавление за последние две недели в репозитории rsync около 50 изменений, подготовленных с использованием AI-модели Claude. Некоторые пользователи связали появление регрессий с генерацией низкокачественных исправлений уязвимостей при помощи AI. Некоторые из регрессий в rsync 3.4.3: Начали завершаться с ошибкой команды для инкрементального создания резервных копий, в которых было указано несколько опций «—compare-dest»; Стало невозможно собрать rsync на системах с ядрами Linux до версии 5.6 из-за задействования системного вызов openat2 (коммит 1, коммит 2); … Читать далее Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI

Компания Microsoft представила порт набора утилит Coreutils для платформы Windows. В состав входит несколько десятков утилит, включая sort, cat, chmod, chown, cp, find, sleep, sort, tee, echo, uptime и ls. Инструментарий позволяет напрямую использовать в Windows типовые утилиты, доступные в Linux и macOS, без использования прослойки WSL. Целью проекта заявлено упрощение перехода между Unix-подобными системами, WSL, контейнерами и Windows, и предоставление единого набора команд, флагов и методов, позволяющих переносить существующие скрипты из других систем без переписывания. Код написан на Rust и PwerShell, и распространяется под лицензией MIT. Реализация основана на коде проекта uutils (Rust Coreutils), развивающего вариант GNU Coreutils на … Читать далее Microsoft представил Coreutils для Windows, эмулятор терминала Intelligent Terminal и контейнеры в WSL

Доступен выпуск дистрибутива Ubuntu Sway Remix 26.04 LTS, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 26.04, созданной с оглядкой как на опытных пользователей GNU/Linux, так и новичков, желающих попробовать окружение мозаичных оконных менеджеров без необходимости в их долгой настройке. Для загрузки подготовлены сборки для архитектур amd64, arm64 и компьютеров Raspberry Pi. Окружение дистрибутива построено на основе Sway — композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера Thunar, и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего … Читать далее Выпуск дистрибутива Ubuntu Sway Remix 26.04 LTS

Опубликован инструментарий nbd-vram, позволяющий разместить область подкачки в видеопамяти графической карты NVIDIA. Подобный манёвр даёт возможность виртуально увеличить размер памяти в системе, работающей на ноутбуках с впаянной нерасширяемой оперативной памятью и GPU NVIDIA. Код написан на языке Си и распространяется под лицензией MIT. Например, на ноутбуке с 16 ГБ ОЗУ и видеокартой NVIDIA GeForce RTX/GTX с 8 ГБ VRAM через раздел подкачки можно задействовать дополнительные 7 ГБ памяти. В сочетании с применением модуля ядра zram для сжатого хранения раздела подкачки и подключением дополнительного раздела подкачки на SSD-накопителе общий размер адресуемой памяти в тестовой конфигурации доведён до 46 ГБ (при нехватке … Читать далее Расширение системной памяти через подкачку в видеопамяти NVIDIA

Дрю ДеВолт (Drew DeVault), автор пользовательского окружения Sway, почтового клиента Aerc, языка программирования Hare и платформы совместной разработки SourceHut, опубликовал первый выпуск Vim Classic, форка текстового редактора Vim 8.2, продолжающего сопровождение прошлой ветки. В качестве причин создания форка указано непринятие политики Vim в отношении использования AI. По задумке Дрю ДеВолта, Vim Classic 8.3 можно рассматривать как то, как мог бы выглядеть выпуск Vim 8.3, если бы разработчики Vim не создали ветку Vim 9 с новым скриптовым языком Vim9 Script, имеющим синтаксис, близкий к JavaScript, TypeScript и Java. От Vim 8.2 выпуск Vim Classic 8.3 отличается исправлением ошибок и портированием некоторых … Читать далее Первый выпуск редактора Vim Classic, продолжающего развитие ветки Vim 8.2

Сопровождающий открытый инструментарий ScanCode Toolkit, предназначенный для сканирования кода на предмет пересечений с чужими авторскими правами, выявления используемых лицензий и обнаружения неисправленных уязвимостей, раскритиковал проект, создавший при помощи AI клон продукта ScanCode, переписанный с Python на Rust (название клона не упоминается, но, судя по всем признакам, речь про проект Provenant). Утверждается, что в переписанном проекте нарушена торговая марка ScanCode и удалены упоминания об авторских правах и лицензиях. Претензии объясняются тем, что в переписанном клоне продолжено использование ключевых алгоритмов ScanCode, сохранена архитектура проекта и структура кода. По мнению сопровождающего ScanCode успешному созданию клона способствовало наличие у проекта исчерпывающего автоматизированного тестового набора, … Читать далее Проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI

Компания Canonical представила инструментарий workshop, позволяющий одной командной быстро создавать в Ubuntu изолированные окружения для применения при разработке ПО и решения задач, связанных с машинным обучением и вовлечением AI-агентов. Начинка окружения определяется в одном файле конфигурации в формате YAML, который позволяет точно воспроизвести описанное окружение на любых компьютерах. Предполагается, что благодаря workshop разработчик может сосредоточиться на том, что он хочет получить, не тратя своё время на разбор зависимостей и настройку начинки. Инструментарий устанавливается в виде snap-пакета. Код проекта написан на языке Go и распространяется под лицензией GPLv3. Окружение формируется из независимых подключаемых элементов, оформляемых в виде SDK, которыми можно делиться … Читать далее Canonical опубликовал утилиту workshop для развёртывания окружений для разработки

Опубликованы корректирующие выпуски X.Org Server 21.1.23 и DDX-компонента (Device-Dependent X) xwayland 24.1.12, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 9 уязвимостей. Некоторые уязвимости потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Исправленные уязвимости (CVE-идентификаторы не назначены): Переполнение буфера при обработке альтернативных названий шрифтов. Проблема вызвана разными ограничениями на размер имени шрифта в библиотеке libXfont2 и X-сервере — сервер выделял под имя 256 байт, … Читать далее Обновление X.Org Server 21.1.23 с устранением 9 уязвимостей

В результате компрометации процесса формирования релизов на базе GitHub Actions в принадлежащих компании Red Hat репозиториях RedHatInsights, злоумышленники смогли опубликовать в каталоге NPM 64 вредоносные версии, охватывающие 32 NPM-пакета для платформы Red Hat Cloud Services. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации нового варианта червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении. Червь размещался в файле index.js и активировался через preinstall-обработчик, вызываемый при установке поражённого пакета. После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp и KubernetesK8s, … Читать далее Атакующие встроили вредоносное ПО в 32 NPM-пакета Red Hat

Разработчики языка программирования Rust готовят к публикации правила применения AI-ассистентов в проекте. Предложенные правила отточены в ходе обсуждения, насчитывающего более 3000 сообщений, одобрены 4 сопровождающими и ожидают публикации. За отдельными исключениями, правила запрещают передачу кода, сгенерированного через AI, в основной репозиторий rust-lang/rust, но не распространяются на субмодули, подветки и зависимости из каталога crates.io, а также другие репозитории организации. При этом правила разрешают использование AI для анализа, изучения, рецензирования и проверки кода. Применение AI допускается в случаях, когда полученная через AI информация в частном прядке используется только одним разработчиком и не распространяется публично. Например, когда разработчик задаёт AI вопросы по коду, … Читать далее Разработаны правила использования AI в проекте Rust

Представлен выпуск проекта 86Box 6.0, развивающего эмулятор систем на базе архитектуры x86, при помощи которого можно запускать старые операционные системы и приложения, включая те, что применялись в начале 1980-годов на компьютерах IBM PC 5150 и IBM PS/2. Поддерживается точная низкоуровневая эмуляция систем, начиная с процессоров 8086 и заканчивая Intel Сeleron Mendocino. Код проекта написан на языке C и распространяется под лицензией GPLv2. Для управления работой предоставляется графический интерфейс c возможностями для настройки виртуальных машин. Доступна эмуляция различных периферийных устройств, таких как видеоадаптеры, звуковые карты, сетевые карты и контроллеры жёстких дисков. Среди поддерживаемых операционных систем: MS-DOS, Windows 3.11/95, OS/2, различные дистрибутивы … Читать далее Выпуск эмулятора 86Box 6.0

Опубликован выпуск Linux-дистрибутива Armbian 26.5, предоставляющего компактное системное окружение для одноплатных компьютеров с процессорами на базе архитектур ARM, RISC-V и x86, поддерживающее различные модели Raspberry Pi, Odroid, Orange Pi, Banana Pi, Helios64, pine64, Nanopi и Cubieboard на базе процессоров Allwinner, Amlogic, Actionsemi, Freescale / NXP, Marvell Armada, Rockchip, Radxa и Samsung Exynos. Для формирования сборок используются пакетные базы Debian и Ubuntu, но все компоненты полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом … Читать далее Выпуск Armbian 26.5, дистрибутива для одноплатных компьютеров

Представлен релиз дистрибутива NixOS 26.05, основанного на пакетном менеджере Nix и предоставляющего собственные разработки для упрощения настройки и сопровождения системы. В NixOS вся настройка системы осуществляется через единый файл системной конфигурации configuration.nix. Предоставляются возможности для быстрого отката системы на предыдущую версию конфигурации и переключения между различными состояниями системы. Поддерживается установка индивидуальных пакетов отдельными пользователями и возможность одновременного использования нескольких версий одной программы. Обеспечены воспроизводимые сборки. Для архитектур x86_64 и ARM64 подготовлены установочный образы с графическим окружением (3.7 ГБ) и сокращённым консольным вариантом (1.6 ГБ). При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет … Читать далее Доступен дистрибутив NixOS 26.05, использующий пакетный менеджер Nix

Проект ReactOS подготовил единый BootCD, заменивший собой ранее раздельные установочные носители и LiveCD-образы. Новый образ совмещает традиционный текстовый установщик и режим LiveCD на одном носителе. Внутри унифицированного BootCD обновлённый LiveCD-режим теперь включает опцию запуска полностью графического установщика системы. Графический интерфейс призван сделать установку более доступной для новых пользователей по сравнению с давно существующим текстовым процессом настройки, особенно при использовании USB-носителей. Помимо этого, в кодовую базу ReactOS добавлен новый ATA-драйвер хранилища, работа над которым велась с начала 2024 года. Стек хранилища поддерживает технологию PnP (plug-and-play) и работает с устройствами SATA, PATA, ATAPI, AHCI и даже SCSI, потенциально расширяя спектр оборудования, на … Читать далее В ReactOS реализованы единый BootCD, графический установщик и экспериментальная поддержка ARM64

Опубликован выпуск проекта uutils coreutils 0.9.0 (Rust Coreutils), развивающего аналог пакета GNU Coreutils, написанный на языке Rust. В состав coreutils входит более ста утилит, включая sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Целью проекта является создание кроссплатформенной альтернативной реализации Coreutils, среди прочего способной работать на платформах Windows, Redox и Fuchsia. Rust Coreutils задействован по умолчанию в выпуске Ubuntu 25.10 и применяется в дистрибутивах AerynOS (Serpent OS) и Apertis (развивается компанией Collabora). В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL. Дополнительно той же командой разработчиков развиваются … Читать далее Выпуск uutils 0.9, варианта GNU Coreutils на языке Rust

Альянс Open Media (AOMedia), курирующий разработку форматов кодирования видео AV1/AV2, формата объёмного звука IAMF и формата изображений AVIF, опубликовал релиз проекта AVM 1.0.0, развивающего официальную эталонную реализацию кодировщика и декодировщика формата кодирования видео AV2. AVM включает оптимизации для процессоров на базе архитектуры ARM64, x86_64 и MIPS, реализованные с использованием расширенных наборов инструкций NEON, AVX2, SSE2/3/4, MSA и DSPr2. Код AVM написан на языке Си и распространяется под лицензией BSD. Кодек AV2 не требует лицензионных отчислений и развивается в качестве преемника формата AV1. Особенности кодека AV2: Оптимизация для применения в потоковом вещании; Улучшенное предсказание межкадровых изменений; Значительное улучшение по сравнению с … Читать далее Первый стабильный выпуск эталонной реализации видеокодека AV2

Комитет, управляющий каталогом GNOME Circle, утвердил новые правила, запрещающие публикацию приложений, сгенерированных при помощи AI-инструментов. GNOME Circle предоставляет площадку для размещения приложений и библиотек, созданных сторонними разработчиками с использованием технологий GNOME, для упрощения их вхождения в экосистему GNOME. В GNOME Circle теперь не будут приниматься проекты, имеющие признаки использования AI для генерации кода, такие как бессмысленные вставки в коде, разнобой в стиле, надуманное использование API и наличие комментариев с подсказами для AI. В новых правилах также упоминается, что разработчики должны хорошо разбираться в присланном коде, быть способны обосновать используемые методы и ответить на связанные с кодом вопросы. При этом использование … Читать далее Каталог GNOME Circle не будет принимать приложения, созданные с использованием AI