Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab — 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации. Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335). Всем пользователям рекомендуется срочно установить … Читать далее Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию

Разработчики проекта LLVM утвердили правила применения AI-инструментов при разработке. Необходимость регламентирования использования AI объясняется увеличением числа мусорных изменений, предлагаемых для включения в кодовую базу LLVM. Под мусорными подразумеваются изменения, сгенерированные AI-инструментами и отправленные как есть, без понимая сути, проверки и придерживаясь позиции «мэйнтейнер сам разберётся». Подобная активность создаёт повышенную нагрузку на сопровождающих и вынуждает их тратить время на разбор бесполезного кода. При этом разработчики LLVM признают, что при должном использовании AI является полезным инструментом, ускоряющим разработку. Утверждённые в LLVM условия применения AI частично основаны на правилах, в прошлом году опубликованных проектом Fedora. Основная идея принятых правил в том, что разработчики … Читать далее LLVM ввёл правила применения AI-инструментов. Curl свернул выплаты за уязвимости из-за AI

Компания System76, разрабатывающая Linux-дистрибутив Pop!_OS, опубликовала выпуск среды рабочего стола COSMIC 1.0.3, а также объявила о доступности сформированного на прошлой неделе обновления 1.0.2. Пакеты с COSMIC 1.0.3 доступны в дистрибутиве Pop!_OS 24.04 и в ближайшее время ожидаются в Fedora, NixOS, Arch Linux, openSUSE, Serpent OS, Redox и CachyOS. COSMIC развивается как универсальный проект, не привязанный к конкретному дистрибутиву и соответствующий спецификациям Freedesktop. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования, а также предлагает архитектуру, привычную для разработчиков, знакомых с языком декларативного построения интерфейсов Elm. Предоставляется несколько движков отрисовки, поддерживающих Vulkan, … Читать далее Обновление среды рабочего стола COSMIC 1.0.3

Компания Oracle сформировала новую ветку СУБД MySQL 9.6.0. Сборки MySQL Community Server 9.6.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. В соответствии с внедрённой в 2023 году моделью формирования релизов, MySQL 9.6 отнесён к веткам «Innovation». Innovation-ветки рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности, публикуются каждые 3 месяца и поддерживаются только до публикации следующего значительного релиза (например, после появления ветки 9.6 прекращена поддержка ветки 9.5). В дальнейшем планируют сформировать LTS-релиз 9.7, рекомендованный для внедрений, которым необходима предсказуемость и длительное сохранение неизменного поведения. Следом за LTS-выпуском будет сформирована новая Innovation-ветка — MySQL 10.0. Список … Читать далее Выпуск СУБД MySQL 9.6.0

Опубликован релиз web-браузера Pale Moon 34.0.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, сохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированным в Firefox 29 и 57 интерфейсам Australis и Photon, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox, … Читать далее Выпуск браузера Pale Moon 34.0.0

В сервере telnetd из набора GNU InetUtils выявлена уязвимость, позволяющая подключиться под любым пользователем, включая пользователя root, без проверки пароля. CVE-идентификатор пока не присвоен. Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) и остаётся неисправленной в актуальном выпуске 2.7.0. Исправление доступно в форме патчей (1, 2). Проблема вызвана тем, что для проверки пароля процесс telnetd вызывает утилиту «/usr/bin/login», передавая в качестве аргумента имя пользователя, указанного клиентом при подключении к серверу. Утилита «login» поддерживает опцию «-f», позволяющую осуществить вход без выполнения аутентификации (подразумевается, что эта опция используется, когда пользователь уже прошёл проверку). Таким образом, если добиться подстановки опции «-f» в … Читать далее Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации

Представлен релиз платформы Electron 40.0.0, предоставляющей самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Среди изменений в новом выпуске: Обновлены версии браузерного движка Chromium 144, платформы Node.js 24.11.1 и JavaScript-движка V8 14.4 (в прошлой ветке использовались Chromium 142, Node.js 22.20.0 и V8 14.2). Добавлена поддержка признака завершения дочернего процесса «memory-eviction», применяемого при завершении процесса для предотвращения исчерпания свободной памяти в системе (OOM, out-of-memory). В режиме отрисовки в буфер (Offscreen Rendering) появилась поддержка вывода в формате RGBAF16 с цветовым пространством scRGB HDR . Добавлен метод app.isHardwareAccelerationEnabled() для проверки включения аппаратного ускорения. В API … Читать далее Выпуск Electron 40, платформы создания приложений на базе движка Chromium

Опубликован релиз легковесного дистрибутива MX Linux 25.1, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве на выбор можно использовать системы инициализации sysVinit и systemd. Поставляются собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 64-разрядные сборки (x86_64) с рабочим столом Xfce (2.8 ГБ), а сборки с рабочим столом KDE (3.3 ГБ) и сборки (2.3 ГБ) с оконным менеджером Fluxbox. В новом выпуске: Осуществлена синхронизация с пакетной базой Debian 13.3. Ядро Linux обновлено до версии 6.12. Обновлены сборки … Читать далее Выпуск дистрибутива MX Linux 25.1

Доступен выпуск свободной PaaS-платформы Cozystack 0.40, построенной на базе Kubernetes. Проект нацелен на предоставление готовой платформы для хостинг-провайдеров и фреймворка для построения частных и публичных облаков. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. Cozystack позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Код платформы доступен на GitHub и распространяется под лицензией Apache-2.0. В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную … Читать далее Выпуск Cozystack 0.40, открытой PaaS-платформы на базе Kubernetes

Некоммерческая организация Open Quantum Design (OQD), учреждённая исследователями из Института квантовых вычислений университета Ватерлоо (Канада), разрабатывает первый открытый квантовый компьютер. Рабочий прототип открытого квантового компьютера развивается как совместный проект, аккумулирующий ресурсы, знания и опыт групп исследователей из различных университетов, некоммерческих организаций и частных компаний, специализирующихся на разработках в области квантовых вычислений. Отмечается, что совместная работа даёт возможность ускорить достижение результата, способствует разностороннему рассмотрению путей решения проблем и позволяет принять участие в работе даже небольшим командам, не обладающим ресурсами для самостоятельных исследований в области квантовых систем. Все компоненты проекта, включая эмулятор квантового компьютера и стек для разработки приложений, распространяются на GitHub … Читать далее Проект по созданию открытого квантового компьютера

Для композитного менеджера KWin предложен экспериментальный плагин, превращающий KDE в среду рабочего стола для систем виртуальной реальности. Плагин позволяет формировать интерфейс не на физическом мониторе, а в форме виртуальных экранов в 3D-пространстве, работа с которым осуществляется через очки дополненной реальности или 3D-шлемы. Поддерживается работа с плавающими окнами, совмещение физических и виртуальных экранов, произвольное позиционирование экранов в 3D-пространстве, управление при помощи клавиатуры без необходимости использования мыши или VR-контроллеров, режим отслеживания положения пользователя. Для отрисовки задействован модуль Qt Quick 3D Xr, завязанный на runtime OpenXR. В качестве runtime опробована платформа Monado в сочетании с очками дополненной реальности Rokid Max и HP G2, … Читать далее Плагин к KWin для использования KDE в виртуальной реальности

20 лет назад, когда был выпущен gcc4, компилятор g77 был заменён на gfortran. Однако из-за некоторых возникших с ним проблем он был исключён из базового образа NetBSD. Благодаря недавно внесённым изменениям в NetBSD-current, gfortran теперь снова поставляется в базовом образе операционной системы. В скором будущем планируют добавить соответствующие переменные в pkgsrc для компиляции программ с использованием этого системного компилятора, без необходимости установки пакета gcc12 из репозитория pkgsrc. Источник: http://www.opennet.ru/opennews/art.shtml?num=64642 Читать далее В базовую систему NetBSD вернули компилятор языка Fortran

Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи. Получив контроль за существующей учётной записью атакующие могут разместить вредоносное обновление ранее опубликованных заслуживающих доверия приложений, обойдя расширенные проверки, применяемые к новым участникам, и избежав добавления предупреждающих меток о новых проектах. Алан … Читать далее Захват контроля над snap-пакетами, связанными с просроченными доменами

Компания Google опубликовала релиз web-браузера Chrome 144. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 145 запланирован на 10 февраля. Отдельно можно отметить добавление в тестовую ветку Chrome Canary, на основе которой будет сформирован выпуск Chrome 147, настройки для … Читать далее Выпуск Chrome 144. Тестирование JPEG XL, вертикальных вкладок и отключения AI

После полутора лет разработки представлен выпуск проекта Synfig 1.5.4, развивающего редактор векторной 2D-анимации, используемый при производстве анимационного проекта «Моревна» (Morevna). Пакет разработан специально для анимации и позволяет создавать работы кинематографического качества без рутинной промежуточной прорисовки каждого кадра. Код проекта написан на С++ и распространяется под лицензией GPLv3. Сборки Synfig сформированы для Linux (AppImage), Windows и macOS. Synfig примечателен наличием средств для композитинга на основе слоёв (в качестве слоёв можно использовать геометрические фигуры, градиенты, фильтры, искажения, преобразования, фракталы и т.п.) и полной поддержкой контурных градиентов, которые позволяют добавлять мягкое затенение анимации без необходимости рисовать его на каждом кадре. Редактор также предоставляет … Читать далее Выпуск пакета для создания 2D-анимации Synfig 1.5.4

После почти 10 лет с момента публикации ветки 3.0 и спустя 20 лет после основания проекта состоялся релиз JavaScript-библиотеки jQuery 4.0, используемой по данным организации W3Techs на 70.9% из 10 млн наиболее посещаемых сайтов в сети. Код jQuery распространяется под лицензией MIT. Выпуск jQuery 4.0 содержит изменения, нарушающие обратную совместимость, но по заверению разработчиков большинство пользователей смогут безболезненно перейти на новую версию с минимальными изменениями в своём коде. Для упрощения миграции можно использовать специальный плагин. Нарушения обратной совместимости связаны с удалением устаревшего кода, удалением некоторых внутренних недокументированных параметров, прекращением поддержки некоторого излишне усложнённого поведения и прекращением поддержки API, ранее объявленных … Читать далее Выпуск JavaScript-библиотеки jQuery 4.0

Проект ChaosBSD развивает периодически синхронизируемый форк FreeBSD, нацеленный на тестирование драйверов перед их включением в основной состав FreeBSD. Проект предоставляет площадку для разработки и портирования новых драйверов, а также проверки, обкатки и стабилизации частично работоспособных, нестабилизиованных и недоделанных драйверов, состояние развития которых не позволяет включить их в основной состав FreeBSD. После стабилизации подобные драйверы будут переноситься во FreeBSD. Отмечаются четыре стадии продвижения драйвера: достижение возможности сборки; избавление от ошибок и стабилизация; проведение чистки и создание документации; передача в основной состав FreeBSD. ChaosBSD рассматривается как платформа для тестирования, не гарантирующая сохранение истории изменений и коммитов — периодически репозиторий сбрасывается, синхронизируется с … Читать далее ChaosBSD — форк FreeBSD для тестирования драйверов

Опубликован выпуск консольной утилиты nvtop 3.3.0, предназначенной для интерактивного мониторинга работы GPU и аппаратных ускорителей. Утилита позволяет наглядно отслеживать нагрузку, потребление памяти и изменение частоты GPU, а также просматривать процессы, наиболее активно нагружающие GPU. Поддерживаются GPU и ускорители компаний AMD, Apple (M1, M2), Google (TPU), Huawei (Ascend), Intel (i915/Xe), NVIDIA, Apple (M1 & M2), Huawei (Ascend), Qualcomm (Adreno), Broadcom (VideoCore), Rockchip, MetaX и Enflame. Возможно отслеживание на одном экране работы сразу нескольких чипов. В новой версии реализована поддержка AI-ускорителей Enflame GCU (General Computing Unit) и Rockchip NPU, а также GPU MetaX. Улучшена поддержка GPU Mali, AMD и NVIDIA. Расширены сведения … Читать далее Выпуск nvtop 3.4.0, утилиты для мониторинга GPU и аппаратных ускорителей

Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлена первая порция изменений для ветки KDE Plasma 6.7, релиз которой ожидается в июне. Развитие новой ветки началось после перевода ветки KDE Plasma 6.6 на стадию бета-тестирования и заморозке связанной с ней кодовой базы от внесения функциональных изменений (допускается только приём исправлений). Релиз KDE Plasma 6.6 намечен на 17 февраля. Новшества, развиваемые для KDE Plasma 6.7: Реализован глобальный режим push-to-talk, при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш. В виджеты управления яркостью и цветопередачей добавлены кнопки для быстрого переключения межу светлым и тёмным режимами оформления. В … Читать далее Бета выпуск KDE Plasma 6.6 и начало разработки KDE Plasma 6.7

Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения. В эксплоите задействованы две уязвимости: в библиотеке Dolby Unified Decoder (CVE-2025-54957) и драйвере bigwave для ядра Linux (CVE-2025-36934). Ранее для эксплуатации уязвимостей в кодеках было необходимо, чтобы пользователь прослушал или просмотрел полученный вредоносный контент. После интеграции AI-помощников в последних выпусках Android-прошивок полученный мультимедийный контент автоматически декодируется после получения, что существенно увеличивает поверхность … Читать далее Уязвимость в Android-прошивке, позволяющая выполнить код через отправку сообщения

Доступен корректирующий выпуск Firefox 147.0.1, в котором представлены три исправления: Временно отключён добавленный в выпуске 147 механизм «Compression Dictionary Transport» из-за проблем с совместимостью с некоторыми сайтами, использующими данную технологию. Например, наблюдается невозможность работы с сайтом ChatGPT. Для возвращения поддержки сжатия контента по переданным сервером словарям можно использовать настройку «network.http.dictionaries.enable» на странице about:config. Устранена ошибка в реализации спецификации Freedesktop.org XDG Base Directory. Из-за ошибки несмотря на перенос хранения профилей, дополнений, настроек и внутренних БД в каталог «~/.config/mozilla» браузер продолжал создавать пустой каталог «~/.mozilla/extensions». Решена проблема с определением формата времени в методе Intl.DateTimeFormat, приводившая к неверному отображению времени на некоторых сайтах … Читать далее Обновление Firefox 147.0.1. План прекращения поддержки старой боковой панели