Спустя четыре дня после релиза OpenSSH 10.1 опубликован корректирующий выпуск OpenSSH 10.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии отмечены только исправления ошибок: В утилите ssh решена проблема с обработкой параметров терминала, приводившая к невозможности использования SSH-сеанса при активной настройке ControlPersist. В утилите ssh-keygen устранена проблема с загрузкой ключей из токенов PKCS#11. В ssh-keygen решена проблема с операциями формирования цифровых подписей при хранении ключа удостоверяющего центра в ssh-agent. Добавлена поддержка платформ без mmap, таких как WASM. Решены проблемы со сборкой во FreeBSD и MacOS ‹10.12. Прекращено использование PAM_RHOST если внешних хост … Читать далее Обновление OpenSSH 10.2

Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность определения хранимых в приватном репозитории ключей для доступа к облачному окружению AWS. Атака основывается на способности GitHub Copilot загружать внешние изображения в зависимости от обрабатываемого содержимого и возможности подставлять в pull-запросы скрытые комментарии, которые невидны в интерфейсе GitHub, но учитываются при анализе чатботом. Для организации утечки атакующий на своём сервере создаёт набор однопиксельных прозрачных изображений, каждое из которых соответствуют спецсимволу, цифре или букве алфавита. Далее жертве отправляется pull-запрос, в котором помимо … Читать далее Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев

Пользователи, перешедшие на выпуск Ubuntu 25.10, столкнулись с невозможностью установить или обновить Flatpak-пакеты. Проблема вызвана изменениями в AppArmor-правилах, применяемых при запуске утилиты fusermount3. Из-за некорректно выставляемых правил доступа попытки установки или обновления пакетов при помощи утилиты flatpak приводят к выводу ошибки о невозможности отмонтировать каталог /var/tmp/flatpak-cache-*. Проблеме присвоен критический уровень важности. В настоящее время подготовлено и проходит проверку обновление пакета с правилами AppArrmor, до готовности которого в качестве обходного пути для временного решения проблемы можно отключить Apparmor-профиль для fusermount3. Источник: http://www.opennet.ru/opennews/art.shtml?num=64028 Читать далее В Ubuntu 25.10 оказалась неработоспособна установка Flatpak-пакетов

Опубликован дистрибутив Ubuntu 25.10 «Questing Quokka», который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Готовые установочные образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu, UbuntuKylin (редакция для Китая), Ubuntu Unity, Edubuntu и Ubuntu Cinnamon. Основные изменения: Рабочий стол обновлён до выпуска GNOME 49. Прекращена поддержка сеанса GNOME на базе X11 и оставлен только сеанс на базе Wayland, в котором для запуска X11-приложений применяется XWayland. Пакеты с компонентами X.org и альтернативными десктоп-окружениями, использующими X11, продолжают поставляться в репозитории. В конфигуратор добавлен интерфейс для управления автозапуском приложений (Settings → Apps). … Читать далее Релиз Ubuntu 25.10

Компания Meta* представила инструментарий для сжатия и распаковки данных OpenZL, по сравнению с форматами Zstd и XZ демонстрирующий более высокий уровень сжатия и скорость работы. OpenZL разработан для эффективного сжатия структурированных наборов данных, например, применяемых при машинном обучении, а также хранилищ, содержащих поля с различными повторяющимися типами информации. Код OpenZL написан на C/C++ и открыт под лицензией BSD. При сжатии БД с астрономическим каталогом звёзд SAO, инструментарий OpenZL позволил сократить размер данных в 2.06 раза, в то время как алгоритм zstd сжал информацию в 1.31 раза, а XZ в 1.64 раза. При этом по скорости сжатия OpenZL опередил zstd в … Читать далее Система сжатия OpenZL, опережающая Zstd и XZ по скорости и уровню сжатия структурированных данных

После года разработки опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.6. Программа поддерживает более тысячи сетевых протоколов и несколько десятков форматов захвата трафика. Предоставляется графический интерфейс для создания фильтров, захвата трафика, анализа сохранённых дампов и инспектирования пакетов. Поддерживаются такие расширенные возможности, как пересборка порядка следования пакетов, выделение и сохранение содержимого файлов, передаваемых с использованием разных протоколов, воспроизведение VoIP и RTP-потоков, расшифровка IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2. Код проекта распространяется под лицензией GPLv2. Ключевые новшества Wireshark 4.6.0: В меню «Statistics» в секцию графиков добавлен режим «Plots». В отличие от ранее доступного режима «I/O Graphs» вместо гистограмм, отражающих … Читать далее Выпуск сетевого анализатора Wireshark 4.6.0

Один из сотрудников Amazon представил библиотеку Servo GTK, предназначенную для встраивания web-движка Servo в приложения, использующие GTK4. Библиотека реализует GTK-виджет, при помощи которого можно использовать Servo Webview для отрисовки web-контента. Из особенностей отмечается поддержка ускорения отрисовки при помощи OpenGL и возможность обработки событий в асинхронном режиме. Проект написан на языке Rust и распространяется под лицензией MPL 2.0. В качестве примера использования на базе библиотеки подготовлен простейший web-браузер с интерфейсом на базе GTK. Движок Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и … Читать далее Представлена библиотека Servo GTK для интеграции движка Servo с GTK-приложениями

Исследователи из компании Wiz выявили в СУБД Redis уязвимость (CVE-2025-49844), позволяющую добиться удалённого выполнения кода (RCE) на сервере. Проблеме присвоен наивысший уровень опасности (CVSS score 10 из 10), при этом для эксплуатации уязвимости атакующий должен иметь возможность отправки запросов к СУБД Redis, допускающей выполнение пользовательских Lua-скриптов. Помимо публично доступных экземпляров Redis, предоставляющих доступ без аутентификации, уязвимость позволяет скомпрометировать облачные системы и платформы хостинга, поддерживающие сервисы для работы с Redis. По данным компании Wiz сканирование сети выявило около 330 тысяч принимающих соединения Redis-серверов, из которых около 60 тысяч принимают запросы без аутентификации. Предоставляемый проектом Redis официальный образ Docker-контейнера настроен для доступа … Читать далее Уязвимости в Redis и Valkey, позволяющие выполнить код на сервере при наличии доступа к БД

Опубликован релиз мета-дистрибутива T2 SDE 25.10, предоставляющего окружение для формирования собственных дистрибутивов, кросс-компиляции и поддержания версий пакетов в актуальном состоянии. Из популярных дистрибутивов, построенных на базе системы T2, можно отметить Puppy Linux. Проектом предоставляется 36 загрузочных iso-образов с минимальным графическим окружением в вариантах с библиотеками Musl, uClibc и Glibc. Для актуальных архитектур подготовлены сборки с графическим окружением на базе GNOME и Wayland. Платформа сосредоточена на создании сборок на базе ядра Linux, но отдельно развиваются прототипы, позволяющие собирать пакеты для различных ОС, включая macOS, Haiku и BSD-системы. В планах поддержка создания окружений на основе других ядер, например, на базе L4, Fuchsia … Читать далее Релиз T2 SDE 25.10, платформы для создания дистрибутивов

После года разработки опубликован значительный выпуск языка программирования Python 3.14. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей. Среди новшеств, добавленных в Python 3.14 (1, 2, 3): Реализована официальная поддержка сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock). Сборка без GIL позволяет избавиться от проблемы с распараллеливанием операций на многоядерных системах, вызванной тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. Отключение GIL приводит к дополнительным накладным расходам, вызванным изменениями в сборщике мусора, системе управления памятью и примитивах … Читать далее Выпуск языка программирования Python 3.14

Опубликован выпуск основной ветки nginx 1.29.2, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD. В новом выпуске: Добавлена возможность сборки с криптографической библиотекой AWS-LC, развиваемой компанией Amazon. Решена проблема при работе директивы «ssl_protocols» с виртуальным сервером, отличным от сервера по умолчанию. Проблема проявлялась при использовании OpenSSL 1.1.1 и более новых выпусков. Устранён сбой согласования соединения TLSv1.3 в конфигурациях с OpenSSL и клиентскими сертификатами. … Читать далее Выпуск nginx 1.29.2 и форка FreeNginx 1.29.2

Компания Arduino, занимающаяся проектированием и разработкой открытых плат на базе микроконтроллеров, объявила о продаже бизнеса компании Qualcomm Technologies. Сумма сделки не разглашается. Отмечается, что присоединение к Qualcomm позволит расширить возможности Arduino по продвижению открытых аппаратных устройств по всему миру. После поглащения Arduino останется независимым брендом, поддержка существующих плат сохранится, а миссия и приверженность открытым технологиям не изменится, но проект получит значительные ресурсы для развития. В свою очередь компания Qualcomm намерена использовать технологии Arduino для формирования единого стека периферийных вычислений. Одновременно представлены два новых продукта Arduino: Плата UNO Q, сочетающая в себе процессор Qualcomm Dragonwing QRB2210 и микроконтроллер STM32U585. Процессор QRB2210 … Читать далее Qualcomm поглощает Arduino. Представлены плата Arduino UNO Q и среда разработки Arduino App Lab

Пять бывших сопровождающих проекты RubyGems.org, RubyGems и Bundler, среди которых владелец торговой марки Bundler, объявили о создании альтернативного проекта — Gem Cooperative, который подконтролен сообществу и использует открытую модель управления, созданную с оглядкой на проект Homebrew. На текущем этапе проектом запущен gem-cервер, содержащий все пакеты из каталога RubyGems.org и синхронизированный с ним. Заявлена полная совместимость с системой управления пакетами RubyGems и менеджером зависимостей Bundler. Сервер пока работает в режиме зеркала RubyGems.org, а функциональность для публикации пакетов планируют добавить в ближайшие месяцы. Для переключения на альтернативный сервер достаточно заменить в gemfile значение параметра source с «https://rubygems.org» на «https://gem.coop». Основавшие Gem Cooperative … Читать далее Бывшие мэйнтейнеры RubyGems.org основали альтернативный репозиторий Gem Cooperative

Андреас Клинг (Andreas Kling) сообщил об успешном прохождении браузером Ladybird 90% тестов из набора web-platform-tests, определяющих совместимость с эталонной web-платформой. В соответствии с требованиями Apple достигнутого рубежа достаточно чтобы считаться альтернативным браузерным движком для iOS. Ladybird успешно прошёл 1861180 проверок из 2033861. Для сравнения Chromium 139 прошёл 1996034 проверок, Firefox 143 — 1942510, Safari 26.0 — 1952703, Servo — 1672466. Тесты web-platform-tests формируются в рамках инициативы Interop, продвигаемой совместно компаниями Google, Mozilla, Apple, Microsoft, Bocoup и Igalia, и нацеленной на проверку уровня реализации web-технологий в браузерах и выявление расхождений, влияющих на внешний вид и поведение при обработке сайтов. Браузер Ladybird … Читать далее Браузер Ladybird успешно прошёл 90% тестов на совместимость с Web-платформой

Представлен выпуск графического редактора GIMP 3.0.6. Готовые сборки опубликованы для Linux (AppImage и Flatpak для архитектур x86 и ARM64), macOS и Windows. Основное внимание при подготовке новой версии уделено исправлению ошибок и регрессивных изменений. Новая функциональность развивается в ветке GIMP 3.1, на базе которой будет сформирован стабильный выпуск GIMP 3.2 с поддержкой слоёв-ссылок (Link layer) и векторных слоёв (Vector layer), а также расширением поддержки цветовой модели CMYK и возможностей для управления цветом. Среди изменений в GIMP 3.0.6: Из выпуска GIMP 3.1.2 бэкпортирована поддержка отрисовки эскизов кистей, шрифтов и палитр с использованием цветов фона и переднего плана активной темы оформления. Например, … Читать далее Обновление графического редактора GIMP 3.0.6

Издание Phoronix опубликовало предупреждение о переводе в состояние заброшенных 12 пакетов, оставшихся без сопровождающих после сокращения персонала в компании Intel и прекращения разработки проекта Clear Linux. Ссылки на источники в статье не приводятся, но, судя по всему, информация получена из августовского отчёта разработчиков Debian QA Group без уточнения текущего состояния. В актуальном списке заброшенных пакетов (orphaned), оставшихся без сопровождения, из отмеченных пакетов упомянут лишь один — psst. Остальные помечены как претенденты на перевод в разряд оставшихся без сопровождения и упоминаются в списке пакетов для которых ищутся сопровождающие, так как текущий сопровождающий желает передать пакеты в другие руки. Для 4 пакетов … Читать далее 3 заброшенных Intel пакета намечены для удаления из Debian Testing

Опубликован релиз OpenSSH 10.1, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: Устранена проблема с безопасностью, позволяющая атакующему подставить shell-команды через манипуляции со спецсимволами в имени пользователя или URI, которые могли быть выполнены при запуске команды, указанной через настройку «ProxyCommand» и содержащей подстановку «%u». Проблема затрагивает только системы, допускающие при запуске ssh подстановку имён пользователей или URI, полученных из незаслуживающих доверия источников. Для блокирования подобных атак запрещено использование управляющих символов в именах пользователей, указываемых при запуске в командной строке или подставляемых в настройки через %-последовательности. Также запрещено использование нулевого символа («») в URI … Читать далее Релиз OpenSSH 10.1

Доступен выпуск проекта TinyUSB 0.19, развивающего кросс-платформенный USB-стек для встраиваемых систем. Предоставляются компоненты USB-стека для USB-хостов (USB Host) и для подключаемых устройств (USB Device). Код проекта написан на языке Си и распространяется под лицензией MIT. Для повышения безопасности в TinyUSB не применяются операции динамического выделения памяти. Для использования в многопоточных приложениях все события, связанные с возникновением прерываний не обрабатываются сразу при поступлении ISR (Interrupt Service Request), а помещаются в очередь, которая разбирается и обрабатывается в контексте выполнения приложения, а не обработчика прерываний. Для безопасного доступа к совместно используемым ресурсам, таким как FIFO CDC (Communication Device Class), применяются семафоры и мьютексы. … Читать далее Опубликован открытый USB-стек TinyUSB 0.19

Опубликован релиз Phosh 0.50, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, Droidian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру squeekboard. Наработки проекта распространяются под лицензией GPLv3+. Среди изменений: Упрощён доступ к настройкам верхней панели. Добавлена собственная реализация кода поддержки клавиш управления яркостью экрана. Ранее для управления яркостью использовался gnome-settings-daemon, но в выпуске … Читать далее Выпуск Phosh 0.50.0, GNOME-окружения для смартфонов

10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB. Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории «виртуализация» эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений … Читать далее Соревнования по выявлению уязвимостей ZeroDay Cloud с призовым фондом 4.5 млн долларов

Фонд свободного ПО отпраздновал своё сорокалетие. В 1985 году, спустя год после основания проекта GNU, Ричард Столлман учредил организацию Free Software Foundation. Организация была создана с целью защиты от компаний с сомнительной репутацией, уличённых в присвоении кода и пытающихся продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его товарищами. Спустя три года после основания оргаенизации Столлманом была подготовлена первая версия лицензии GPL, определившая юридические рамки модели распространения свободного программного обеспечения. 17 сентября 2019 года Столлман покинул пост президента Фонда СПО и на его место в 2020 году был избран Джеффри Кнаут, которого несколько дней назад сменил Ян Келлинг. … Читать далее Фонд свободного ПО отметил сорокалетие и представил проект LibrePhone