Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код. Пакет evm-units включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты. Вредоносный пакет был размещён в апреле 2025 года и был загружен 7257 раз. Пакет uniswap-utils также был загружен в апреле, был загружен 7441 раз и использовал evm-units в качестве зависимости. Вредоносный код активировался при вызове функции get_evm_version() и приводил к загрузке внешнего кода по ссылке «https://download[.]videotalks[.]xyz/gui/6dad3/…». В Linux и macOS загружался и запускался скрипт init, а в Windows — init.ps1. Пакет sha-rust был размещён в каталоге 20 ноября, был загружен … Читать далее В Rust-репозитории crates.io выявлены четыре вредоносных пакета

Опубликованы корректирующие выпуски поддерживаемых веток почтового сервера Postfix 3.x — 3.10.7, 3.9.8, 3.8.14 и 3.7.19. В новых версиях устранена проблема со сборкой из исходного кода, возникающая в новых версиях дистрибутивов Linux, перешедших на набор компиляторов GCC 15, по умолчанию переведённого на использование стандарта С23. Проблема в том, что в стандарте С23 определено новое зарезервированное ключевое слово «bool», которое сопоставлено с типом, имеющим размер 1 байт. В коде Postfix определён собственный тип «bool», сопоставленный с типом «int», имеющим размер 4 байта. Попытка сборки Postfix компилятором в режиме С23 завершается ошибкой из-за переопределения типа «bool». В находящейся в разработке ветке Postfix 3.11 … Читать далее Обновление Postfix 3.10.7 с устранением проблемы со сборкой в новых дистрибутивах Linux

Состоялся релиз Tewi 2.0.0, консольного приложения с текстовым интерфейсом (TUI) для управления BitTorrent-клиентами. Программа позволяет подключаться к фоновым процессам Transmission, qBittorrent и Deluge, просматривать и управлять списком торрентов, добавлять новые закачки и выполнять поиск по популярным трекерам. Поддерживаются различные режимы отображения (карточки, компактный, однострочный), просмотр детальной информации о торрентах (файлы, трекеры, пиры), управление категориями и метками, переключение альтернативных лимитов скорости. Интерфейс построен на базе библиотеки Textual. Код написан на Python и распространяется под лицензией GPLv3+. Основные изменения с версии 1.0.0 Добавлена поддержка торрент-клиента Deluge (через Web API). Добавлена поддержка файла конфигурации «~/.config/tewi/tewi.conf» и различных профилей конфигурации (опции «—profile» и «—profiles»). … Читать далее Релиз Tewi 2.0.0, текстового интерфейса для управления torrent-клиентами

Компания Google опубликовала релиз web-браузера Chrome 143. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 144 запланирован на 13 января. Основные изменения в Chrome 143: Объявлена устаревшей и запланирована к отключению в выпуске Chrome 155 поддержка языка преобразования XML-документов … Читать далее Выпуск web-браузера Chrome 143

Началось тестирование первого кандидата в релизы Wine 11.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается во второй половине января. По сравнению с выпуском Wine 10.20 закрыто 17 отчётов об ошибках и внесено 175 изменений. Наиболее важные изменения: Движок Wine Mono обновлён до выпуска 10.4.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework. Данные локализации обновлены до версии Unicode CLDR 48 (Unicode Common Locale Data Repository). Реализована поддержка работы на 64-разрядных системах модуля TWAINDSM для сканеров. Закрыты отчёты об ошибках, связанные с работой приложений: Photoshop CS … Читать далее Кандидаты в релизы Wine 11 и Wine-staging 11

Спустя две недели с момента прошлого глобального сбоя вчера сеть доставки контента Cloudflare, обслуживающая около 20% всего мирового web-трафика, на 25 минут частично оказалась недоступной. Во время инцидента примерно треть запросов через Cloudflare завершалось возвращением пустой страницы с кодом ошибки 500. На этот раз, причиной стала остававшаяся много лет незамеченной проблема в коде на языке Lua, применяемом в системе фильтрации трафика WAF (Web Application Firewall) для блокирования вредоносных запросов. Чтобы защитить системы клиентов от критической уязвимости (CVE-2025-55182) в серверных компонентах фреймворка React, после появления в публичном доступе эксплоита, инженеры Cloudflare реализовали защиту на уровне WAF. С внедрением защиты не всё … Читать далее 25-минутный сбой Cloudflare из-за проблемы в коде на языке Lua

Опубликован выпуск пакетного фильтра nftables 1.1.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.3.1, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила … Читать далее Выпуск пакетного фильтра nftables 1.1.6

Компания Oracle опубликовала дистрибутив Oracle Linux 10.1, созданный на основе пакетной базы Red Hat Enterprise Linux 10.1 и полностью бинарно совместимый с ней. Для загрузки без ограничений предложены установочные iso-образы, размером 10 ГБ и 1.3 ГБ, подготовленные для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux 10 открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Для загрузки также подготовлены отдельно поддерживаемые репозитории с наборами пакетов Application Stream и CodeReady Builder. Помимо пакета с ядром из состава RHEL (на базе ядра 6.12) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel … Читать далее Выпуск дистрибутива Oracle Linux 10.1

В кодовую базу, на основе которой формируется релиз GNOME 50, принят набор изменений с реализацией возможности восстановления приложений, запущенных в прошлом сеансе. В менеджер сеансов gnome-session добавлен режим для сохранения списка запущенных приложений во время завершения сеанса и восстановления их окон (запуска приложений) в последующем сеансе. В конфигуратор добавлен соответствующий переключатель, позволяющий отключить данное поведение. Источник: http://www.opennet.ru/opennews/art.shtml?num=64383 Читать далее В GNOME реализовали восстановление приложений, запущенных до закрытия сеанса

Компания Proxmox, известная разработкой продуктов Proxmox Virtual Environment, Proxmox Backup Server и Proxmox Mail Gateway, представила первый стабильный релиз нового дистрибутива — Proxmox Datacenter Manager, включающий интерфейс пользователя и инструментарий для централизованного управления несколькими независимыми кластерами на базе Proxmox Virtual Environment. Серверный бэкенд, утилиты командной строки и новый web-интерфейс написаны на языке Rust и распространяются под лицензией AGPLv3. Для создания web-интерфейса использован собственный набор виджетов, основанный на web-фреймворке Yew. Размер установочного iso-образа 1.5 ГБ. Proxmox Datacenter Manager позволяет через один web-интерфейс инспектировать все подключённые узлы и кластеры, управлять сложными и распределёнными инфраструктурами с масштабированием от отдельных локальных установок до управления … Читать далее Представлен дистрибутив Proxmox Datacenter Manager 1.0

Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений. Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий): CVE-2025-66200 — организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой «RequestHeader» в файле .htaccess (если разрешено её использование .htaccess). CVE-2025-59775 — SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками «AllowEncodedSlashes On» и «MergeSlashes Off». CVE-2025-65082 — переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить … Читать далее Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

Компания Oracle опубликовала выпуск операционной системы Solaris 11.4 SRU 87 (Support Repository Update), в котором предложена серия значительных изменений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. Пользователи также могут воспользоваться бесплатной редакцией Solaris 11.4 CBE (Common Build Environment), развиваемой с использованием модели непрерывной публикации новых версий. Среди изменений в новой версии: Firefox и Thunderbird обновлены до ESR-ветки 140 (ранее использовалась ветка 128). В состав включён набор компиляторов GCC 15.2 Обновлены версии GCC 12.5.0 и 13.4.0. Обновлены версии программ, среди которых BIND 9.18.41, 7-Zip 25.01, git 2.50.1, golang 1.25.3, openssl 3.0.18, … Читать далее Выпуск операционной системы Solaris 11.4 SRU87

Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub. В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными. В около 70% из этих репозиториев размещён файл content.json, в 50% — файл truffleSecrets.json, а в 80% — environment.json, содержащие … Читать далее Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2

Состоялся первый релиз проекта geoip, реализующего сервис для получения информации о местоположении IP-адресов через REST API. Проект ориентирован на упрощение интеграции GeoIP-функциональности в различные приложения, освобождая разработчика от необходимости самостоятельно управлять обновлениями баз данных и работать с форматом MMDB. Код написан на языке Rust и распространяется под лицензией MIT. Поддерживается работа в Linux и macOS, а также других UNIX-подобных системах. Основные возможности сервиса: Высокая производительность и низкое потребление памяти, благодаря использованию компилируемого в машинный код языка без сборoщика мусора. Предоставление информации об IP-адресе (страна, город, почтовый индекс, координаты, оператор связи и др.) через REST API на основе данных MaxMind GeoLite2 … Читать далее Выпуск geoip 0.1.0, реализации REST API для определения местоположения по IP

Доступен релиз Alpine Linux 3.23, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker и используется в проекте PostmarketOS. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x, riscv64 и loongarch64) подготовлены в шести вариантах: стандартном (344 МБ), загружаемом по сети (361 МБ), расширенном (1 ГБ), для виртуальных машин (67 MB), minirootfs (4 MB) и для гипервизора Xen (1 ГБ). … Читать далее Релиз дистрибутива Alpine Linux 3.23 и пакетного менеджера apk 3.0

Разработчики проекта MinIO, развивающего совместимое с API Amazon S3 высокопроизводительное объектное хранилище, объявили о переводе репозитория в режим сопровождения. Отныне в открытую кодовую базу будут включаться только исправления критических уязвимостей, а изменения, связанные с новой функциональностью и исправлением ошибок, будут оставаться в закрытом репозитории, на основе которого разрабатывается коммерческая версия. Пользователям, которым необходима поддержка или активно сопровождаемая версия, рекомендовано перейти на проприетарный продукт MinIO AIStor. Ранее разработчики MinIO высказывали недовольство использованием их разработок в сторонних проприетарных продуктах без выполнения условий лицензии AGPL и без указания авторства (например, одна из компаний пыталась продавать полный клон MinIO, рекламируя его как более производительный, … Читать далее MinIO прекратил развитие открытой кодовой базы в пользу проприетарного продукта

В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack, применяемых для выполнения функций и формирования элементов интерфейса на сервере, а не на стороне клиента. Проблема вызвана небезопасной десериализацией данных, полученных в HTTP-запросах к серверным обработчикам. Обработчики «vm#runInThisContext», «vm#runInNewContext», «child_process#execFileSync» и «child_process#execSync» можно использовать для запуска команд в системе или выполнения JavaScript-кода в контексте текущего процесса (с обходом sandbox-изоляции). Также возможно использование обработчиков «fs#readFileSync» и «fs#writeFileSync» для чтения и … Читать далее Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере

Международный консорциум OASIS, занимающийся разработкой и продвижением открытых стандартов, утвердил финальный вариант спецификации OpenDocument 1.4 (ODF) в качестве стандарта OASIS. Следующим этапом станет продвижение OpenDocument 1.4 в роли международного стандарта ISO/IEC. Формат OpenDocument 1.4 поддерживается в LibreOffice начиная с выпуска LibreOffice 25.2. ODF представляет собой основанный на XML, независимый от приложений и платформ файловый формат для хранения документов, содержащих текст, электронные таблицы, диаграммы и графические элементы. Спецификации также включают требования к организации чтения, записи и обработки подобных документов в приложениях. Стандарт ODF применим для создания, редактирования, просмотра, обмена и архивирования документов, которые могут представлять собой текстовые документы, презентации, электронные таблицы, … Читать далее Консорциум OASIS утвердил OpenDocument (ODF) 1.4 в качестве стандарта

Ядру Linux 6.18 присвоен статус ветки с длительным сроком поддержки. Обновления для ветки 6.18 будут выпускаться как минимум до декабря 2027 года, но не исключено, что, как и в случае с прошлыми LTS-ветками, время сопровождения будет продлено до шести лет. Для обычных выпусков ядра обновления выпускаются только до выхода следующей стабильной ветки (например, обновления для ветки 6.17 выпускались до выхода 6.18). Одновременно объявлено о завершении цикла сопровождения ветки ядра Linux 5.4, для которой опубликован финальный выпуск 5.4.302 (больше в серии 5.4.x обновления публиковаться не будут). Ветка 5.4 была сформирована в ноябре 2019 года, сопровождалась 6 лет и использовалась в Ubuntu … Читать далее Ядро Linux 6.18 отнесено к категории выпусков с длительным сроком поддержки

Компания Google представила второй квартальный релиз открытой мобильной платформы Android 16 (QPR2). Связанный с новым выпуском исходный код размещён в Git-репозитории проекта (ветка android-16.0.0_r4). Сборки прошивки подготовлены для устройств Pixel 6/6a/6 Pro, Pixel 7/7a/7 Pro, Pixel 8/8a/8 Pro, Pixel 9/9a/9 Pro/9 Pro XL/9 Pro Fold, Pixel Fold и Pixel Tablet. В ближайшие месяцы прошивки с новой версией ожидаются для смартфонов Samsung, Honor, iQOO, Lenovo, Motorola, Nothing, OnePlus, Oppo, realme, Sharp, Sony, Tecno, vivo и Xiaomi. Дополнительно будут сформированы универсальные сборки GSI (Generic System Images), подходящие для разных устройств на базе архитектур ARM64 и x86_64. Выпуск Android 16 QPR2 сформирован в … Читать далее Выпуск платформы Android 16 QPR2 с поддержкой запуска графических Linux-приложений

Компания Anthropic, продвигающая семейство больших языковых моделей Claude, поглотила стартап, разрабатывающий открытую JavaScript-платформу Bun, преподносимую как высокопроизводитльный аналог платформ Node.js и Deno. Основной причиной поглощения упоминается желание обеспечить стабильное развитие платформы Bun, которая задействована в продуктах Claude Code и Claude Agent SDK. После завершения сделки проект останется открытым и публично развиваемым на GitHub, продолжит поставляться под лицензий MIT, будет сопровождаться и разрабатываться той же командой и сохранит свои приоритеты (ориентация на высокую производительность и совместимость с Node.js). Проект Bun написан на языках Zig и С++, и развивается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую … Читать далее JavaScript-платформа Bun перешла в руки компании Anthropic