В NPM-пакете tar-fs выявлена уязвимость (CVE-2025-48387), позволяющая при распаковке специально оформленного tar-архива записать файлы в любые части ФС, не ограниченные каталогом, в который осуществляется распаковка (насколько позволяют права доступа текущего пользователя). Уязвимость также может использоваться для перезаписи существующих файлов, например, для организации выполнения своего кода в системе могут быть переписаны файлы «.ssh/id_rsa» или «.bashrc» в домашнем каталоге пользователя. Проблеме присвоен критический уровень опасности c учётом того, что пакет tar-fs имеет 23 миллиона загрузок в неделю и используется как зависимость в 1155 проектах. Уязвимость устранена в выпусках 3.0.9, 2.1.3 и 1.16.5, которые были сформированы в мае, но информация об уязвимости раскрыта … Читать далее Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога

Компания Cloudflare опубликовала выпуск фреймворка Pingora 0.6, предназначенного для разработки защищённых высокопроизводительных сетевых сервисов на языке Rust. Построенный при помощи Pingora прокси уже более двух лет используется в сети доставки контента Cloudflare вместо nginx и обрабатывает более 40 млн запросов в секунду. Код написан на языке Rust и опубликован под лицензией Apache 2.0. Основные возможности Pingora: Поддержка HTTP/1 и HTTP/2 (в планах HTTP/3), а также возможность создания сервисов, использующих свои протоколы или UDP/TCP. Поддержка многопоточной обработки запросов в асинхронном режиме. Возможность прикрепления callback-обработчиков и фильтров, позволяющих управлять различными стадиями обработки запроса, а также изменять, перенаправлять, блокировать и журналировать запросы и … Читать далее Выпуск Pingora 0.6, фреймворка для создания сетевых сервисов

Кевин Кофлер (Kevin Kofler) из проекта Fedora, входящий в рабочую группу, занимающуюся сопровождением пакетов с KDE, объявил о формировании для Fedora пакетов с XLibre X Server, форком X.Org Server, нацеленным на активное развитие и проведение большой чистки X-сервера. Для использования с XLibre также подготовлены пакеты с совместимыми драйверами xorg-x11-drv-*. Пакеты опубликованы в репозитории Fedora Copr (Community projects), позволяющем представителям сообщества создавать свои RPM-пакеты, не пересекающиеся с основными репозиториями Fedora (как и в AUR, любой желающий может загрузить свой пакет в Fedora Copr). Пакеты собраны для Fedora 42, находящегося в разработке выпуска Fedora 43 и ветки Rawhide (Fedora 44). К пакетам … Читать далее Для тестирования в Fedora предложены пакеты с альтернативным X-сервером XLibre

Разработчики мультимедиа-пакета FFmpeg, включающего набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами, ввели в строй новую инфраструктуру для совместной работы с кодом, основанную на открытой платформе Forgejo. В качестве рекомендованного метода отправки изменений теперь указана передача pull-запросов в Git-репозиторий в инфраструктуре Forgejo, вместо отправки патчей в форме писем в список рассылки ffmpeg-devel. Ранее для навигации по коду в основном репозитории применялся GitWeb, а на GitHub было развёрнуто зеркало, через которое не поддерживался приём pull-запросов. Платформа Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в … Читать далее Проект FFmpeg переходит на платформу совместной разработки Forgejo

Опубликован релиз видеоредактора Shotcut 25.08, развиваемого автором проекта MLT и использующего данный фреймворк для редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Код написан на C++ с использованием фреймворка Qt и распространяется под лицензией GPLv3. Готовые сборки доступны для Linux (AppImage, flatpak и snap), macOS и … Читать далее Выпуск видеоредактора Shotcut 25.08

Представлен выпуск Live-дистрибутива grml 2025.08, предлагающего подборку программ для выполнения работ, возникающих в практике системных администраторов, таких как восстановление данных после сбоя и разбор инцидентов. Дистрибутив основан на пакетной базе Debian GNU/Linux и в прошлом году отметил своё двадцатилетие. Графическое окружение построено с использованием оконного менеджера Fluxbox. По умолчанию предлагается командная оболочка Zsh. Размер полного iso-образа 990 МБ, сокращённого — 560 МБ. Сборки доступны для архитектур x86_64 и ARM64. В новом выпуске: Осуществлён переход на пакетную базу Debian 13 и ядро Linux 6.12.41. В репозиториях deb.grml.org задействован новый ключ для заверения пакетов цифровой подписью. В состав сборочной системы grml-live, предназначенной … Читать далее Выпуск Grml 2025.08, Live-дистрибутива для системных администраторов

Барри Каулер (Barry Kauler), основатель проекта Puppy Linux, опубликовал дистрибутив EasyOS 7.0, совмещающий технологии Puppy Linux с применением контейнерной изоляции для запуска компонентов системы. Управление дистрибутивом производится через развиваемый проектом набор графических конфигураторов. Размер загрузочного образа 1 ГБ. Особенности дистрибутива: Каждое приложение, а также сам рабочий стол, могут быть запущены в отдельных контейнерах, для изоляции которых используется собственный механизм Easy Containers. По умолчанию работа осуществляется с правами root со сбросом привилегий при запуске каждого приложения, так как EasyOS позиционируется как Live-система одного пользователя. Дистрибутив устанавливается в отдельный подкаталог и может сосуществовать с другими данными на накопителе (система устанавливается в /releases/easy-7.0, … Читать далее Выпуск EasyOS 7.0, дистрибутива от создателя Puppy Linux

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 10.13. С момента выпуска 10.12 было закрыто 32 отчёта об ошибках и внесено 524 изменения. Наиболее важные изменения: В панель управления джойстиком добавлена вкладка с настройками Windows.Gaming.Input. В библиотеку Bcrypt добавлена поддержка алгоритмов ECDSA_P521 и ECDH_P521. Сгенерированы все преобразователи вызовов OpenGL (thunk) для режима Wow64 (64-bit Windows-on-Windows), обеспечивающего выполнение 32-разрядных Windows-приложений в 64-разрядных Unix-системах. В реализации языка описания интерфейса WIDL (Wine Interface Definition Language) расширена поддержка генерации метаданных Windows Runtime (WinRT). Закрыты отчёты об ошибках, связанные с работой приложений: Microsoft Office 365, Microsoft SQL Server Management Studio Express 2005, FL Studio, … Читать далее Выпуск Wine 10.13

После четырёх месяцев разработки представлено августовское сводное обновление приложений KDE Gear 25.08, развиваемых проектом KDE. В составе набора опубликованы выпуски 249 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Новые версии отдельных приложений можно загрузить из каталогов Flathub и SnapCraft. Наиболее заметные изменения: В файловом менеджере Dolphin предоставлено два поисковых движка: File Indexing (использует при поиске индекс, формируемый специальным сервисом индексации) и Simple Search (перебирает файлы и каталоги в момент запроса). Переключение между движками осуществляется через кнопку Filter в интерфейсе, показываемом при нажатии Ctrl+F. Для поиска также можно использовать отдельную утилиту … Читать далее Выпуск KDE Gear 25.08, набора приложений от проекта KDE

Компания Oracle опубликовала релиз системы виртуализации VirtualBox 7.2. Готовые установочные пакеты доступны для RHEL 8/9/10, Fedora 36-42, openSUSE 15.6, Ubuntu 22.04/24.04/24.10, Debian 11/12, macOS и Windows. Основные изменения: В графическом интерфейсе глобальные операции перенесены из выпадающего меню в боковую панель, размещённую слева, а инструменты для виртуальных машин перемещены в отдельные вкладки, показываемые над областью с правой панелью. В графическом интерфейсе улучшены страницы с настройками. Улучшено управление светодиодными индикаторами на клавиатуре. Из настроек ARM VM убран IO-APIC. Для хост-систем на базе Linux добавлена поддержка аппаратного ускорения декодирования видео. Для хост-систем на базе macOS и архитектуры ARM добавлена поддержка 3D-ускорения при помощи … Читать далее Релиз системы виртуализации VirtualBox 7.2

Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений. Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется жать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи. … Читать далее Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Опубликован выпуск основной ветки nginx 1.29.1, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD. В новом выпуске: Устранена уязвимость (CVE-2025-53859) в модуле ngx_mail_smtp_module, приводящая к чтению данных из области памяти вне буфера при обработке специально оформленных значений логина и пароля при использовании метода аутентификации «none». Уязвимость может привести к утечке содержимого памяти рабочего процесса nginx в HTTP-запросе к внешнему серверу аутентификации. Патч. По … Читать далее Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme

Компания NVIDIA опубликовала выпуск проприетарного драйвера NVIDIA 580.76.05 (первый стабильный выпуск новой ветки 580.76). Драйвер доступен для Linux (ARM64, x86_64), FreeBSD (x86_64) и Solaris (x86_64). NVIDIA 580.x стала одиннадцатой стабильной веткой после открытия компанией NVIDIA компонентов, работающих на уровне ядра. Исходные тексты модулей ядра nvidia.ko, nvidia-drm.ko (Direct Rendering Manager), nvidia-modeset.ko и nvidia-uvm.ko (Unified Video Memory) из новой ветки NVIDIA, а также используемые в них общие компоненты, не привязанные к операционной системе, размещены на GitHub. Прошивки и используемые в пространстве пользователя библиотеки, такие как стеки CUDA, OpenGL и Vulkan, остаются проприетарными. Основные изменения: Обновлены компоненты egl-x11 1.0.3 и egl-wayland 1.1.20. В … Читать далее Выпуск проприетарного драйвера NVIDIA 580.76.05

После шести месяцев разработки представлен релиз языка программирования Go 1.25, развиваемого компанией Google при участии сообщества. Язык сочетает высокую производительность, свойственную компилируемым языкам, с такими достоинствами скриптовых языков, как простота написания кода, высокая скорость разработки и защита от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Оберон. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде … Читать далее Выпуск языка программирования Go 1.25

Доступен выпуск дистрибутива Whonix 17.4, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.3 ГБ c Xfce и 1.5 ГБ консольный), которые могут быть сконвертирован для использования с гипервизором KVM. Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента — Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Компоненты представляют собой отдельные системные окружения, поставляемые внутри одного загрузочного образа и запускаемые в разных виртуальных … Читать далее Выпуск Whonix 17.4, дистрибутива для анонимных коммуникаций

Компания CodeWeavers выпустила релиз пакета Crossover 25.1, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 25.1 можно загрузить на данной странице. В новой версии: Решены проблемы с launcher-ами Electronic Arts (EA) и Ubisoft. Решены проблемы с игровыми контроллерами, среди прочего повышена совместимость с контроллерами Xbox и 8BitDo Pro. Обновлена база данных совместимости с играми, предоставляющая необходимые настройки. Решены проблемы с загрузкой игр из Steam при включении … Читать далее Релиз CrossOver 25.1 для Linux и macOS

Файловая система Bcachefs будет удалена из основного дерева ядра Linux. Несмотря на технические достоинства и активное развитие, судьба проекта осложнилась из-за затянувшегося конфликта между его автором Кентом Оверстритом (Kent Overstreet) и ведущими мэйнтейнерами подсистем виртуальной памяти (VM) и файловых систем (FS). Bcachefs — одна из файловых систем Linux, конкурирующая с Btrfs и ZFS, и использующая механизм Copy-on-Write (COW), при котором изменения не приводят к перезаписи данных — новое состояние записывается в новое место, после чего меняется указатель актуального состояния. Исключение Bcachefs из основного дерева ядра усложнит жизнь пользователям, которым придётся полагаться на сторонние сборки или ждать официального возвращения в основную … Читать далее Bcachefs будет исключён из ядра Linux из-за конфликта между разработчиком и мэйнтейнерами

Представлен релиз кроссплатформенного открытого генератора сценариев сборки CMake 4.1.0, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные изменения: В cmake-configure-log обеспечен вывод событий из команд find_package(), find_path(), find_file(), find_library() и find_program() … Читать далее Релиз сборочной системы CMake 4.1.0

Альянс AOUSD (Alliance for OpenUSD) и организация ASWF (Academy Software Foundation) подготовили новые рекомендации по использованию инклюзивной терминологии. Альянс AOUSD (Alliance for OpenUSD) занимается продвижением технологии OpenUSD (Universal Scene Description) и функционирует на базе фонда, курируемого организацией Linux Foundation. Органинизация ASWF учреждена Академией кинематографических искусств (США) и организацией Linux Foundation с целью продвижения использования открытого ПО в процессе создания фильмов. Помимо ранее не рекомендованных к применению терминов, новые рекомендации предлагают избегать использование следующих слов: Sanity Check → validation check, consistency check, logic check, gut check Dummy → placeholder, stub, sample Hung → stalled, unresponsive Native feature/support → core feature/support, built-in … Читать далее Организации AOUSD и ASWF представили новые рекомендации по инклюзивной терминологии

Томас Домке (Thomas Dohmke) объявил о решений уйти с поста руководителя (CEO) компании GitHub. Компания Microsoft намерена на назначать на его место нового руководителя, а поменять модель управления подразделением, которое перестанет быть независимым. Финансовые и инженерные операции в GitHub будет курировать Джулия Лиусон (Julia Liuson), президент Microsoft по разработке. Марио Родригес (Mario Rodriguez), директор по развитию продуктов GitHub (Chief Product Officer) будет переведён в подчинение Аше Шарме (Asha Sharma), вице-президенту Microsoft по платформе AI. После поглощения компанией Microsoft сервис GitHub функционировал как независимое бизнес-подразделение, имеющее собственное руководство, сохранявшее прежнюю философию в отношении построения продуктов и ориентированное на удовлетворение интересов и … Читать далее Microsoft берёт на себя управление GitHub

Опубликован релиз СУБД Redis 8.2, относящейся к классу NoSQL-систем. Redis предоставляет функции для хранения данных в формате ключ/значение, расширенные поддержкой структурированных форматов данных, таких как списки, хэши и множества, а также возможностью выполнения на стороне сервера скриптов-обработчиков на языке Lua. Код проекта написан на язык Си и распространяется под лицензией AGPLv3. СУБД Redis поддерживает транзакции, позволяющие выполнить за один шаг группу команд, гарантируя непротиворечивость и последовательность (команды от других запросов не могут вклиниться) выполнения заданного набора команд, а в случае проблем позволяя откатить изменения. Все данные в полном объёме кэшируются в оперативной памяти. Клиентские библиотеки доступны для большинства популярных языков, … Читать далее Выпуск СУБД Redis 8.2