В библиотеке ADOdb, применяемой во многих PHP-проектах для абстрагирования доступа к СУБД и насчитывающей около 3 млн установок из репозитория Packagist, выявлена уязвимость (CVE-2025-46337), позволяющая выполнить подстановку своего SQL-запроса. Проблеме присвоен критический уровень опасности (10 из 10). Уязвимость устранена в выпуске ADOdb 5.22.9. Уязвимость проявляется при использовании ADOdb вместе с СУБД PostgreSQL в приложениях, вызывающих метод pg_insert_id() и передющих непроверенные внешние данные через параметр $fieldname. Проблема вызвана ошибкой в ADOdb-драйвере к PostgreSQL, связанной с отсутствием должного экранирования спецсимволов в параметрах $tablename и $fieldname, перед их применением в функции pg_insert_id() для формирования имени последовательности. $result=pg_query($this->_connectionID, ‘SELECT last_value FROM ‘. $tablename .’_’. … Читать далее Уязвимость в ADOdb, допускающая подстановку SQL-запросов

Инго Молнар (Ingo Molnar), мэйнтейнер архитектуры x86, механизма блокировок и планировщика задач в ядре Linux, выставил на обсуждение набор патчей, удаляющих из ядра поддержку процессоров 486 (M486, M486SX, AMD ELAN) и начальных серий процессоров 586. В ядре предлагается оставить только возможность работы с процессорами x86, поддерживающими инструкцию CX8 (CMPXCHG8B) и регистр TSC (Time Stamp Counter), которые появились в CPU Pentium. Отмечается, что для поддержки CPU 486 в ядре приходится держать код, эмулирующий операции CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач). Подобный код усложняет ядро, затрудняет сопровождение и временами становится источником проблем, разбор … Читать далее Разработчики ядра Linux на пути к удалению поддержки процессоров i486

В процессе разработки языка программирования Nim 3.0 развивается новый компилятор Nimony, основополагающим принципом проектирования которого является достижение предсказуемости времени выполнения в худшем случае (Worst Case Execution Time, WCET). Это требование продиктовано ориентацией на системы жёсткого реального времени, где недетерминированное поведение недопустимо. Как следствие, архитектура Nimony исключает использование JIT-компиляторов и сборщиков мусора с трассировкой (tracing garbage collectors), поскольку их операции могут вносить непредсказуемые задержки. Для достижения предсказуемости, примитивные типы данных (целые числа, символы) напрямую отображаются на машинные слова и байты соответствующей архитектуры. Композитные типы (структуры, объекты) формируются без использования косвенной адресации (indirection), размещаясь непосредственно в стеке или внутри других структур данных. … Читать далее Представлены принципы дизайна компилятора Nimony для будущего Nim 3.0

Проект Debian объявил о проведении общего голосования (GR, general resolution) разработчиков проекта для утверждения критериев принятия моделей машинного обучения в состав основного репозитория проекта. На данном этапе запущена фаза обсуждения, после которой начнётся сбор голосов (дата начала голосования пока не определена). Право голоса имеют около тысячи разработчиков, участвующих в сопровождении пакетов и поддержании инфраструктуры Debian. AI-модели, распространяемые под отрытыми лицензиями, но без предоставления исходного материала и инструментария для обучения модели, предлагается признать несовместимыми с критериями Debian, определяющими свободное ПО (DFSG, Debian Free Software Guideline). В случае утверждения предложения подобные модели не смогут быть включены в основной репозиторий проекта («main»). Возможность … Читать далее Проект Debian начал общее голосование по критериям открытости AI-моделей

В JavaScript-движке LibJS, применяемом в web-браузере Ladybird, выявлена уязвимость (CVE-2025-47154), позволяющая добиться выполнения своего кода в системе при обработке специально оформленного JavaScript-кода. Уязвимость вызвана обращением к уже освобождённой области памяти из-за освобождения памяти на вектор m_argument_values_buffer, на который оставался указатель в структуре arguments_list. Доступен рабочий пототип эксплоита. Выявивший проблему исследователь провёл fuzzing-тестирование LibJS, в коде которого были зафиксированы 10 аварийных завершений. Разбор одного из сбоев показал, что проблема может быть эксплуатирована при обработке JavaScript-кода. Уязвимость позволяла читать и записывать в произвольные области памяти процесса. Выполнение кода было организовано в эксплоите через замену указателя возврата из функции отрисовки. При помощи возвратно-ориентированного … Читать далее Уязвимость в LibJS, позволяющая выполнить код при открытии страницы в браузере Ladybird

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 10.7. С момента выпуска 10.6 было закрыто 14 отчётов об ошибках и внесено 271 изменение. Наиболее важные изменения: В библиотеке ntdll для повышения производительности отслеживания операций записи в память задействован механизм UFFD (userfaultfd), дающий возможность создавать обработчики обращений к невыделенным страницам памяти (page faults) в пространстве пользователя. В наборе библиотек WindowsCodecs реализована поддержка преобразования между целочисленными форматами представления цвета и форматами с плавающей запятой: 24bppBGR -› 128bppRGBAFloat, 32bppBGRA -› 128bppRGBAFloat, 128bppRGBAFloat -› 32bppBGRA, 96bppRGBFloat -› 128bppRGBFloat и 96bppRGBFloat -› 32bppBGRA. В библиотеке DbgHelp продолжена работа над новым бэкендом для формата PDB … Читать далее Релиз Wine 10.7 и бета-версия Proton 10.0

Брендан Грег (Brendan Gregg), один из разработчиков системы динамической отладки DTrace, ныне работающий в Intel и развивающий средства для анализа производительности на базе eBPF в ядре Linux, объявил об открытии исходного кода инструментария iaprof (AI Flame Graphs). Инструментарий предназначен для анализа информации о производительности GPU Intel и её наглядной визуализации. Код написан на языке Си и открыт под лицензией Apache 2.0. Из аппаратных платформ поддерживаются графические карты Intel Arc на базе микроархитектуры Battlemage (серия «B»), GPU для датацентров серии «Max» и различные графические карты Intel Xe2, среди прочего на базе iGPU Lunar Lake. В системе требуется наличие ядра Linux со … Читать далее Intel открыл iaprof, инструментарий для профилирования производительности GPU

На состоявшейся в Граце (Австрия) встрече разработчиков проекта KDE принято решение о сворачивании программы длительной поддержки релизов (LTS) среды рабочего стола KDE Plasma. Вместо сопровождения LTS-веток силами проекта KDE данная задача будет делегирована разработчикам дистрибутивов, которые при желании поставлять устаревший код должны будут самостоятельно отслеживать исправление ошибок в пакетах со старыми версиями KDE Plasma. В текущем виде длительная поддержка со стороны KDE не охватывает весь продукт — LTS ветка доступна только для рабочего стола, но не формируется для фреймворков и приложений. Таким образом, основную работу по поддержанию длительной поддержки KDE как продукта, состоящего из множества компонентов, большая часть из которых … Читать далее KDE прекращает формирование LTS-релизов и реформирует отправку телеметрии

Компания Redis Ltd объявила об изменении лицензионной политики проекта. Начиная с выпуска Redis 8.0 код проекта стал доступен под свободной лицензией AGPLv3. Переход на открытую лицензию стал возможным благодаря возвращению в компанию Сальвадора Санфилиппо (Salvatore Sanfilippo), создателя СУБД Redis. После своего ухода из Redis Ltd Сальвадор разработал набор векторных расширений (Vector Sets), которые был готов передать в состав Redis, но хотел чтобы созданный им код поставлялся под открытой лицензией. Сальвадор смог убедить коллег в целесообразности восстановления открытого характера проекта и улучшения взаимодействия с сообществом. Роуэн Троллоп (Rowan Trollope), директор Redis Ltd, заявил, что совершённый в прошлом году переход на проприетарные … Читать далее Проект Redis вернулся на использование открытой лицензии. Представлен Redis 8.0

Опубликован релиз свободной загрузочной прошивки Libreboot 25.04, который имеет статус экспериментального выпуска, сосредоточенного на развитии функциональности (стабильные релизы в основном содержат исправления и публикуются примерно раз в год, прошлый стабильный релиз был в декабре). Проект развивает готовую сборку проекта Coreboot, предоставляющую замену проприетарным прошивкам UEFI и BIOS, отвечающим за инициализации CPU, памяти, периферийных устройств и других компонентов оборудования, с минимизацией бинарных вставок. Libreboot нацелен на формирование системного окружения, позволяющего обойтись без проприетарного ПО настолько, насколько это возможно, не только на уровне операционной системы, но и прошивки, обеспечивающей загрузку. Libreboot дополняет Coreboot средствами для упрощения применения конечными пользователями, формируя готовый дистрибутив, … Читать далее Выпуск загрузочных прошивок Libreboot 25.04 и Canoeboot 25.04

В системе инициализации finit выявлена уязвимость (CVE-2025-29906), позволяющая войти в систему под любым пользователем без проверки пароля. Эксплуатация уязвимости осуществляется через манипуляцию с приглашением входа (login) и требует наличия доступа к консоли. Уязвимость проявляется начиная с версии 3.0 (октябрь 2017 года) и устранена в выпуске finit 4.11. Следом уже сформирован выпуск 4.12 в котором устранено переполнение буфера в плагине urandom, которое не отмечено как уязвимость. Уязвимость затрагивает реализацию программы getty, выводящей приглашение входа в терминале и запускающей процесс /bin/login для аутентификации пользователя. Уязвимость вызвана отсутствием разделения аргументов командой строки при запуске /bin/login, что позволяло указать опцию «-f» в имени пользователя, … Читать далее Уязвимость в системе инициализации finit, позволяющая войти в систему без пароля

Компания Nival опубликовала исходный код игры Блицкриг (Blitzkrieg), выпущенной в 2003 году и относящейся к военным стратегиям в реальном времени. Код написан на языках C и C++ и опубликован под лицензией, разрешающей использование и создание модификаций только в некоммерческих целях. В репозитории доступен код однопользовательского варианта игры, а также сопутствующие игровые данные, редакторы карт и инструменты для разработки. Поддерживается сборка для платформы Windows. Дополнительно можно отметить частичное открытие кода игры Prime World, выпущенной в 2014 году, построенной на движке Nival и относящейся к многопользовательским онлайн-играм в жанре боевой арены. Для игры Prime World опубликован только код боевой части, а код … Читать далее Компания Nival опубликовала код стратегической игры Блицкриг

После двух с половиной лет с момента публикации релиза 6.4 сформирован выпуск операционной системы DragonFly BSD 6.4.1, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки «виртуальных» ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях, учитывающие контекст вариантные символические ссылки, возможность заморозки процессов с сохранением их состояния на диске, гибридное ядро, использующее легковесные потоки (LWKT). Выпуск DragonFly BSD 6.4.1 является корректирующим и лишь устраняет некоторые накопившиеся ошибки. Например, исправлена проблема в пакетном менеджере pkg, из-за которой при обновлении удалялись файлы … Читать далее Выпуск операционной системы DragonFly BSD 6.4.1

Началось бета-тестирование дистрибутива openSUSE Leap 16, построенного на технологиях следующей значительной ветки коммерческого дистрибутива SLES 16, переходящего на новую платформу SLFO (SUSE Linux Framework One), ранее известную под именем ALP (Adaptable Linux Platform). openSUSE Leap 16 сохранит черты классического дистрибутива, использующего традиционные пакеты, а для тех кому необходима атомарно обновляемая система с базовой начинкой в режиме только для чтения следует использовать редакцию openSUSE Leap Micro. Для тестирования доступны сборки для архитектур x86_64, ARM64, s390x и PowerPC. Релиз намечен на октябрь 2025 года. Основные особенности openSUSE Leap 16: Задействован новый инсталлятор Agama, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST и … Читать далее Бета-выпуск дистрибутива openSUSE Leap 16

Компания Google опубликовала релиз web-браузера Chrome 136. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 137 запланирован на 27 мая. Основные изменения в Chrome 136: Добавлена защита от утечки информации о ранее просмотренных страницах, возникающей из-за применения псевдокласса CSS … Читать далее Выпуск web-браузера Chrome 136 с изоляцией стиля просмотренных ссылок

Последнее время значительно возросла активность web-ботов, индексирующих трафик. Помимо корректно работающих ботов распространение получили «неистовые» боты, игнорирующие правила индексирования robots.txt, лезущие с десятков тысяч разных IP, притворяющиеся легитимными пользователями и не придерживающиеся разумной политики интенсивности отправки запросов. Данные боты создают огромную паразитную нагрузку на серверы, нарушают нормальную работоспособность систем и отнимают время администраторов. Активность подобных ботов воспринимается многими как вредоносные действия. В качестве меры для замедления работы подобных ботов, а также ботов, сканирующих неисправленные уязвимости в типовых web-приложениях, один из администраторов предложил метод «zip-бомбы». Суть метода в том, что web-боту в ответ на запрос страницы передаётся содержимое, эффективно сжатое методом … Читать далее Использование zip-бомбы для борьбы с вредоносными web-ботами

Состоялся релиз web-браузера Firefox 138 и сформированы обновления прошлых веток с длительным сроком поддержки — 115.23.0 и 128.10.0. На стадию бета-тестирования переведена ветка Firefox 139, релиз которой намечен на 27 мая. Основные новшества в Firefox 138: Предложена новая система управления профилями. В форме профилей пользователь может создавать полностью независимые сеансы работы с браузером, со своими настройками, историей, закладками, дополнениями и внутренними БД. Каждый профиль хранится в отдельном подкаталоге «~/.mozilla/firefox/». Профилю можно назначить свою цветовую схему, значок и имя. Переключение между профилями и создание новых профилей осуществляется через новую секцию, показываемую в верхней части основного меню. Новый интерфейс работы с профилями … Читать далее Релиз Firefox 138

Представлен специализированный процессор PyXL, предназначенный для ускорения выполнения кода на языке Python. Байткод Python напрямую выполняться чипом без JIT, интерпретации и виртуальных машин. Файлы на языке Python вначале транслируются в байткод CPython, после чего байткод преобразуется в специализированный набор инструкций PySM, выполняемых чипом. Инструментарий для подготовки кода к выполнению написан на Python и работает в стандартном окружении на базе немодицифированного CPython. Реализация процессора разработана с нуля и оформлена на языке описания и моделирования электронных систем Verilog. Рабочий прототип процессора тестируется на платах с FPGA Zynq-7000. В проведённых тестах, оценивающих скорость обработки событий GPIO, PyXL опережает решение на базе MicroPython и … Читать далее Проект PyXL развивает процессор для выполнения байткода Python

После почти тёх лет разработки опубликован релиз многоплатформенного BitTorrent-клиента Deluge 2.2, написанного на языке Python (используется фреймворк Twisted), базирующегося на libtorrent и поддерживающего несколько видов интерфейса пользователя (GTK, web-интерфейс, консольный вариант). Код проекта распространяется под лицензией GPL. Deluge работает в клиент-серверном режиме, при котором пользовательская оболочка выполняется в виде отдельного процесса, а всеми BitTorrent-операциями управляет отдельный демон, который может быть запущен на удалённом компьютере. Среди особенностей приложения: поддержка DHT (распределённая хэш таблица), UPnP, NAT-PMP, PEX (Peer Exchange), LSD (Local Peer Discovery), возможность шифрования протокола (BitTorrent Protocol Encryption), поддержка работы через прокси, совместимость с WebTorrent, возможность выборочного ограничения скорости для определённых … Читать далее Релиз BitTorrent-клиента Deluge 2.2

Доступен выпуск 4MLinux 48.0, минималистичного пользовательского дистрибутива, не являющегося ответвлением от других проектов и использующего графическое окружение на базе оконного менеджера JWM. 4MLinux может использоваться как в роли Live-окружения для воспроизведения мультимедийных файлов и решения пользовательских задач, так и в качестве системы для восстановления после сбоев и платформы для запуска мини-серверов. Для загрузки подготовлены live-образ (x86_64, 1.6 ГБ) с графическим окружением и урезанная консольная сборка (x86_64, 16.1 МБ). В новой версии: Обновлены версии пакетов: ядро Linux 6.12, BusyBox 1.36.1, Mesa 24.3.3, Perl 5.40.0, Python 2.7.18, Python 3.13.1 и Ruby 3.4.1. Обновлены пользовательские приложения: LibreOffice 25.2, GNOME Office (AbiWord 3.0.5, GIMP … Читать далее Выпуск дистрибутива 4MLinux 48.0

Опубликован выпуск пакета wayland-protocols 1.44, содержащего набор протоколов и расширений, дополняющих базовый протокол Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. В Wayland-Protocols 1.44 предложен новый протокол color-representation-v1 для задания цветового представления Wayland-поверхности. При помощи нового протокола клиенты могут передавать метаданные, необходимые для определения прозрачности, цветовой модели, субдискретизации и диапазона квантования, и применяемые при преобразовании буфера с данными, соответствующими цветовой модели YCbCr, в представление RGB. Все протоколы последовательно проходят фазы разработки, тестирования и стабилизации. После завершения стадии разработки (категория «unstable«) протокол помещается в ветку «staging» и официально включается в состав набора wayland-protocols, а после завершения тестирования … Читать далее Выпуск Wayland-Protocols 1.44 и композитного сервера Weston 14.0.2