Сервис GitHub предупредил о выявлении неавторизированного доступа к своим внутренним репозиториям. Причиной стала компрометация рабочей станции одного из сотрудников, установившего новую версию одного из расширений к редактору кода VS Code, в которую был интегрирован вредоносный код. Подробности обещают опубликовать после завершения разбирательства. По предварительным данным информация пользователей, хранимая вне внутренних репозиториев компании GitHub, не пострадала. Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console … Читать далее Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Компания Microsoft опубликовала наработки, связанные с дистрибутивом Azure Linux 4, который по сравнению с веткой 3.0 кардинально переработан и переведён с собственной пакетной базы на использование пакетов из дистрибутива Fedora 43. Если ранее Azure Linux позиционировался как платформа для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft, то теперь Azure Linux преподносится как защищённая и надёжная операционная система общего назначения, оптимизированная для облака Azure, которую можно использовать в виртуальных машинах, контейнерах, окружении WSL (Windows Subsystem Linux) и в качестве основной ОС на компьютерах. Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать … Читать далее Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux

Доступен выпуск проекта fheroes2 1.1.16, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II. В составе проекта поставляется скрипт для автоматической загрузки и извлечения ресурсов из демоверсии игры, которых достаточно для полноценной работы. Основные изменения: Прокладка дорог и рек теперь поддерживает рисование кистью с зажатой левой кнопкой мыши. Добавлена возможность передвигать и копировать мышью объекты на карте. В настройках объекта «Великий Артефакт» можно выбрать, какие именно артефакты … Читать далее Выпуск fheroes2 1.1.16, открытого движка Heroes of Might and Magic 2

Раскрыта информация о шестой уязвимости (1, 2-3, 4, 5), позволяющей непривилегированному локальному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимость получила кодовое имя PinTheft. Доступен прототип эксплоита. CVE-идентификатор ещё не присвоен. Исправление пока доступно только в виде патча, который опубликован 5 мая и 11 мая был принятв ветку netdev, но не включён в корректирующие выпуски ядра. Уязвимость присутствует в реализации сетевого протокола RDS (Reliable Datagram Sockets), предназначенного для высокоскоростного обмена сообщениями между узлами в кластере, с минимальной задержкой и гарантированной доставкой. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0) и ядром, собранным с опциями CONFIG_RDS, CONFIG_RDS_TCP и … Читать далее PinTheft — шестая уязвимость класса Copy Fail, предоставляющая права root в Linux

Опубликован проект IncidentRelay, развивающий открытую систему для организации дежурств, маршрутизации оповещений и сопровождения инцидентов, запускаемую на собственном сервере (self-hosted). Проект ориентирован на SRE, DevOps и инфраструктурные команды, которым требуется локально разворачиваемая альтернатива SaaS-сервисам для управления дежурством (on-call management), применения политик эскалации и реагирования на инциденты. Код проекта написан на Python и распространяется под лицензией MIT. IncidentRelay принимает события из систем мониторинга, сопоставляет их с правилами маршрутизации и доставляет уведомления ответственным дежурным или командам. В системе реализованы расписания дежурств, ротации, переопределения смен, подтверждение получения инцидента, перевод инцидента в resolved, напоминания, эскалации и silences для подавления известных или плановых срабатываний. Поддерживается приём … Читать далее IncidentRelay — открытая система для организации дежурств и маршрутизации оповещений

Опубликован релиз ForgeZero 1.9.0 (fz), консольного инструмента сборки для проектов на языках C, C++ и ассемблере (NASM, GAS, FASM). Инструмент не требует создания Makefile или иных конфигурационных файлов для базового использования. Код проекта написан на языке Go и распространяется под лицензией MIT. ForgeZero определяет тип файла и автоматически выбирает необходимый бэкенд. Каждый файл с кодом собирается в объектный файл, после чего выполняется проверка дублирующихся глобальных символов во всех объектах и осуществляется компоновка в единых исполняемый файл. Скомпилированные файлы кэшируются и повторно пересобираются только после внесения изменений в связанные с ними файлы с кодом. Возможно опциональное отслеживание изменений в ФС и … Читать далее Выпуск ForgeZero 1.9.0, инструмента сборки для C и ассемблера

В ядре Linux выявлена уязвимость, по аналогии с уязвимостями Copy Fail, Dirty Frag и Fragnesia, позволяющая непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимости присвоено кодовое имя DirtyDecrypt (проблема также упоминается под именем DirtyCBC). Доступен прототип эксплоита. CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию внутри эксплоита, в нём используется уязвимость CVE-2026-31635, исправление … Читать далее DirtyDecrypt — очередная уязвимость класса Copy Fail, предоставляющая права root в Linux

Опубликован релиз MyCompany 6.2 — свободной ERP-системы для малого и среднего бизнеса, построенной на платформе lsFusion. Решение покрывает задачи складского и финансового учёта, управления закупками и продажами, производством, розничной торговлей и услугами и т.д. Типовое решение MyCompany распространяется под лицензией Apache 2.0 и развивается как открытый проект на GitHub. Для начала работы доступны демо-стенд и документация по установке и настройке. Основные изменения: В производственном модуле появилась система управления рабочими центрами и рабочими заданиями. Рабочие центры описывают производственные участки, а рабочие задания привязываются к производственным заказам и хранят назначенный рабочий центр, плановые дату и время начала и длительность. Добавлен интерактивный дашборд … Читать далее Релиз MyCompany 6.2, открытой платформы для автоматизации малого бизнеса

Компания Grafana Labs, развивающая одноимённую открытую платформу мониторинга и визуализации данных, раскрыла сведения о попадании в руки атакующих токена доступа к GitHub-окружению. Атакующие воспользовались токеном для загрузки кода проприетарных продуктов компании из приватных репозиториев и попытались вымогать деньги, угрожая раскрытием полученной кодовой базы. Представители Grafana Labs отказались платить. По заявлению компании атакующие не получили доступ к персональной информации и данным пользователей. Подробности об инциденте планируют опубликовать после завершения расследования. Источник: http://www.opennet.ru/opennews/art.shtml?num=65471 Читать далее Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода

Исследователи из массачусетского технологического института развивают проект GenCAD, предоставляющий модель машинного обучения для генерации 3D-моделей на основе двумерного изображения или эскиза детали. GenCAD выдаёт на выходе не просто 3D-модель, а полную параметрическую CAD-программу с историей команд построения модели, пригодную для импортирования в параметрические САПР. К обсуждению проекта подключился энтузиаст, который заявил, что создание моделей для САПР может осуществляться без специализированных моделей машинного обучения, используя обычные AI-ассистенты, такие как Aider, OpenClaw и QwenCode, с типовыми AI-сервисами. В качестве примера опубликована коллекция промптов, позволяющих на основе описания, перечня желаемых характеристик и изображений с визуальными примерами генерировать программы для платформы OpenSCAD, формирующие CAD-модели … Читать далее GenCAD — генератор моделей для САПР на основе изображений и эскизов

Опубликован релиз Phosh 0.55, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, ALT Mobile, Droidian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру. Наработки проекта распространяются под лицензией GPLv3+. Среди изменений: Добавлен новый компонент syncbus с реализацией сервера для доступа через D-Bus к функциональности P2P-системы синхронизации файлов Syncthing. На базе библиотеки Adwaita подготовлен начальный … Читать далее Выпуск Phosh 0.55.0, GNOME-окружения для смартфонов

Корнелиус Шумахер (Cornelius Schumacher), президент организации KDE e.V., проанализировал статистику о размере кодовой базы KDE. Суммартный размер кода библиотек KDE Frameworks, среды рабочего стола KDE Plasma и базового набор приложений KDE Gear составил 8 173 148 строк. Объём кода удвоился по сравнению с 2009 годом (было 4 273 291 строк). Общее число добавленных в репозиторий строк кода, с учётом изменённых и удалённых строк, оценивается в 55 млн. 16.2% от активного кода приходится на KDE PIM (Personal Information Management), 15.8% на KDE Plasma, 14% — KDE Frameworks, 9.6% — KOffice/Caligra. Источник: http://www.opennet.ru/opennews/art.shtml?num=65468 Читать далее Размер кодовой базы KDE достиг 8 млн строк кода

В анонсе очередного предварительного выпуска ядра 7.1-rc4 Линус Торвальдс призвал исследователей безопасности, использующих AI, не отправлять отчёты о найденных уязвимостях в приватный список рассылки «security@kernel.org» и следовать принятым на днях правилам и модели угроз при отправке информации об уязвимостях. Отмечается, что использование типовых AI-инструментов приводит к выявлению одних и тех же уязвимостей и отправке большого числа дублирующихся отчётов, разбор которых создаёт огромную дополнительную нагрузку на сопровождающих и делает процесс работы через список рассылки почти полностью неуправляемым. Список рассылки «security@kernel.org» является закрытым и сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать отчёты, отправленные другими участниками, и их обсуждение … Читать далее Линус Торвальдс раскритиковал приватный разбор отчётов об уязвимостях, созданных через AI

Джаспер Нюйенс (Jasper Nuyens), основатель организации Linux Belgium, создавший надстройку для использования Linux в информационной системе автомобилей Tesla, предложил простой способ снизить поверхность атаки на ядро Linux для снижения вероятности компрометации на фоне всплеска выявления опасных уязвимостей при помощи AI. Так как многие уязвимости, как правило, находят в специфичных модулях ядра, доступных для автозагрузки, но обычно не применяемых большинством пользователей, Джаспер предложил по умолчанию блокировать неиспользуемые в текущей системе или в общем виде редко используемые модули. В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать … Читать далее ModuleJail для блокировки неиспользуемых модулей ядра Linux

C использованием AI-ассистента подготовлен набор патчей, настроек, скриптов и DLL-библиотек с реализацией заглушек недостающих функций, позволяющих запустить программу обработки фотографий Adobe Lightroom CC (не путать с Lightroom Classic) в Linux при помощи Wine 11.8 и DXVK. Также возможен запуск приложения Creative Cloud для подключения к облаку Adobe, отображения панели приложений и установки Adobe Lightroom CC и других программ Adobe. При запуске Adobe Lightroom CC отображает синхронизированный с облаком каталог и позволяет использовать модуль редактирования с панелью инструментов (освещение, цвета, эффекты, геометрия, оптика, детализация и т.п.). Среди прочего работают инструменты кадрирования/изменения геометрии и удаления/восстановления объектов, что позволяет, например, выровнять горизонт и … Читать далее Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine

Сформировано пятое корректирующее обновление дистрибутива Debian 13, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 144 обновления с устранением проблем со стабильностью и 103 обновления с устранением уязвимостей. Из изменений в Debian 13.5 можно отметить обновление до свежих стабильных версий пакетов apache2, openssl и systemd. Удалён пакет dav4tbsync, функциональность которого теперь доступна в Thunderbird 140. Для загрузки и установки «с нуля» в ближайшие часы будут подготовлены установочные сборки c Debian 13.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.5, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в … Читать далее Новые версии Debian 12.14 и 13.5

Линус Торвальдс принял в состав ядра документ, регламентирующий процесс обработки ошибок, связанных с безопасностью, определяющий модель угроз, поясняющий, какие ошибки в ядре трактуются как уязвимости, и разбирающий действия с ошибками, выявленными при помощи AI. Документ подготовлен Вилли Тарро (Willy Tarreau), автором HAProxy и давним разработчиком ядра Linux, отвечавшим за сопровождение нескольких стабильных веток ядра. В качестве основы использованы договорённости, достигнутые в ходе обсуждения недавно выявленных критических уязвимостей в ядре (1, 2, 3, 4), раскрытых до публикации исправлений и для которых, благодаря AI, удалось сразу создать рабочие эксплоиты. Основную массу связанных с безопасностью ошибок предписывается обрабатывать публично, чтобы привлечь максимально широкую … Читать далее Модель угроз и особенности оценки уязвимостей в ядре Linux

Состоялся релиз функционального языка программирования Erlang 29, нацеленного на разработку распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 29 (Open Telecom Platform) — сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang. Основные новшества: В SSH-сервере по умолчанию отключены сервисы shell и exec, а также подсистема SFTP. Для выполнения Erlang-кода аутентифицированными пользователями через SSH теперь требуется изменение настроек. В SSH по умолчанию активирован гибридный алгоритм обмена ключами mlkem768x25519-sha256. В библиотеке SSL … Читать далее Релиз Erlang/OTP 29

Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлена первая порция изменений для ветки KDE Plasma 6.8, релиз которой запланирован на 14 октября. Развитие новой ветки началось после перевода ветки KDE Plasma 6.7 на стадию бета-тестирования и заморозки связанной с ней кодовой базы от внесения функциональных изменений (допускается только приём исправлений). Релиз KDE Plasma 6.7 намечен на 16 июня. Среди изменений, добавленных за прошедшую неделю в ветку KDE 6.7: Во встроенный сервер для организации удалённой работы с рабочим столом (krdp), реализующий протокол RDP, добавлена поддержка режима прогрессивного кодирования (Progressive Encoding Mode), который может использоваться для клиентов, не поддерживающих кодек … Читать далее Начало разработки KDE Plasma 6.8. Улучшение удалённой работы с рабочим столом в KDE

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 11.9. С момента выпуска 11.8 было закрыто 24 отчёта об ошибках и внесено 197 изменений. Наиболее важные изменения: В состав включена библиотека SQLite 3.51.1. Реализована начальная поддержка системных потоков. В ntdll добавлены функции для создания потока с использованием pthread. Добавлена поддержка приостановки потока в эмулируемом коде при выполнении на системах ARM64. Улучшена совместимость с VBScript. В драйвере winewayland.drv, позволяющем использовать Wine в окружениях на базе протокола Wayland, для выставления позиции курсора задействован Wayland-протокол wp_pointer_warp_v1, позволяющй мгновенно переместить указатель в указанную позицию. В d3d9 добавлена фиктивная последовательность инициализации таблицы виртуальных методов (d3d9_device_vtbl, … Читать далее Новые версии Wine 11.9 и Wine-staging 11.9

Энтузиаст портировал для работы в Linux приложение 3D Movie Maker, код которого был открыт компанией Microsoft в 2022 году под лицензией MIT. Порт распространяется под именем 3DMMEx и в целом сохраняет классический антураж приложения, добавляя незначительные улучшения, такие как модернизация работы с мышью, новые комбинации клавиш и импорт высококачественного звука. Привязка к API Windows в 3DMMEx заменена на использование библиотеки SDL, а ассемблерные вставки переписаны на языке C++. Добавлена поддержка 64-разрядных архитектур x86_64 и ARM64, а также компиляторов Visual Studio 2022, Clang и GCC. Программа 3D Movie Maker позволяет детям создавать фильмы, размещая трёхмерных персонажей и реквизит в заранее сформированном … Читать далее Microsoft 3D Movie Maker портирован для Linux