Опубликованы сведения о 21 уязвимости в загрузчике GRUB2, большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Проблемы пока устранены только в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку. Выявленные уязвимости: CVE-2024-45774: запись за границу буфера при разборе специально оформленных JPEG-изображений. CVE-2024-45776, CVE-2024-45777: целочисленные переполнения при чтении специально оформленных mo-файлов, приводящие к записи за пределы … Читать далее В загрузчике GRUB2 выявлена 21 уязвимость

Доступен корректирующий выпуск почтового сервера Exim 4.98.1, в котором устранена уязвимость (CVE-2025-26794), позволяющая осуществить подстановку SQL-кода во внутреннюю БД (Hints DB), используемую для хранения информации о состоянии доставки сообщений. Уязвимость проявляется только в выпуске Exim 4.98 при сборке с опцией «_USE_SQLITE_», включающей использование СУБД SQLite для хранения Hints DB (включено, если при запуске «exim -bV» выводится «Hints DB: Using sqlite3»). Для эксплуатации уязвимости также требуется включение в файле конфигурации SMTP-команды ETRN («acl_smtp_etrn» должно быть выставлено в «accept») и включение использования сериализации ETRN («smtp_etrn_serialize» должно быть выставлено в «true»). Источник: http://www.opennet.ru/opennews/art.shtml?num=62770 Читать далее Обновление почтового сервера Exim 4.98.1 с устранением уязвимости

Опубликован релиз языка программирования общего назначения Rust 1.85, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Кроме штатного номера версии 1.85 выпуск обозначен как Rust 2024, что знаменует стабилизацию изменений, предложенных за последние три года. Редакция языка «Rust 2024» станет основой для наращивания функциональности в последующие три года, по аналогии с тем, как выпуск Rust 2021 стал базисом для развития языка в прошедшие три года. Для сохранения совместимости разработчики могут использовать в своих программах метки «2015», «2018», «2021» и «2024», позволяющие привязать программы к срезам состояния языка, соответствующим выбранным редакциям Rust. Редакции были введены для … Читать далее Релиз языка программирования Rust 2024 (1.85)

После года разработки опубликован релиз свободной системы автоматизированного проектирования печатных плат KiCad 9.0.0. Это третий значительный выпуск, сформированный после перехода проекта под крыло организации Linux Foundation. Сборки подготовлены для различных дистрибутивов Linux, Windows и macOS. Код написан на C++ с использованием библиотеки wxWidgets и распространяется под лицензией GPLv3. KiCad предоставляет средства для редактирования электрических схем и печатных плат, 3D-визуализации платы, работы с библиотекой элементов электрических цепей, манипуляций с шаблонами в формате Gerber, симуляции работы электронных схем, редактирования печатных плат и управления проектами. Проектом также предоставляются библиотеки электронных компонентов, посадочных мест и 3D-моделей. По сведению некоторых производителей печатных плат, около 15% … Читать далее Выпуск САПР KiCad 9.0

Представлен второй выпуск среды рабочего стола Orbitiny Desktop, написанной с нуля с использованием фреймворка Qt. Проект пытается совместить некоторые инновационные идеи, которые раньше не встречались в пользовательских окружениях, с традиционными элементами, такими как панель, меню и размещение пиктограмм на рабочем столе. Код написан на языке C++ и распространяется под лицензией GPL. С особенностями Orbitiny можно ознакомиться в тексте прошлого анонса. В новой версии предложен новый конфигуратор (Control Panel), в котором полностью переделано оформление, добавлена боковая панель и встроены функции поиска. Началось формирование бинарных сборок. Источник: http://www.opennet.ru/opennews/art.shtml?num=62767 Читать далее Выпуск среды рабочего стола Orbitiny 2

Обновлён инструмент Shotstars 2.1, решающий проблему с отслеживанием исчезновения «звёзд» у проектов на GitHub. Штатные возможности GitHub не предоставляют пользователям информацию по убывающим «звёздам» в проекте и позволяют получить сведения только по их прибавлению. Проект написан на языке Python и распространяется под лицензией GPLv3+ Изменения: Добавлена поддержка Python 3.14. Ослаблены зависимости от версий Python-библиотек. Изменён формат таблицы «история сканирований»: добавлен столбец «звезды», создан бэкап ранее сканируемых проектов, таблица очищена, добавлено оповещение пользователю о новом формате и о том, где искать бэкап. На Android/Termux в Shotstars из-за небольшого размера терминала реализован компактный режим отображения таблицы «история сканирований». В CLI- и HTML-отчёты … Читать далее Обновление Shotstars 2.1, инструмента для отслеживания убывающих звёзд на GitHub

Разработчики проекта Gentoo объявили о формировании официальных загрузочных образов в формате QCOW2, позволяющих получить полностью работающее системное окружение, готовое к запуску в виртуальных машинах. Образы обновляются раз в неделю, что позволяет использовать их для оценки текущего состояния дистрибутива. Ранее проектом распространялись только установочные образы и Live-сборка для загрузки с USB-устройств. Предложено два варианта: образ без сетевых сервисов с пустым паролем root и образ сетевыми сервисами, заблокироанными учётными записями и поддержкой настройки через «cloud-init». Первый вариант предназначен для быстрого ознакомления и тестирования дистрибутива на локальной системе, а второй вариант для развёртывания в облачных окружениях. В качестве файловой системы используется XFS. Образы … Читать далее Gentoo представил официальные загрузочные образы в формате QCOW2

К обсуждению сопротивления мэйнтейнеров внедрению Rust в ядро подключился Линус Торвальдс, который пояснил, что никто не заставляет мэйнтейнеров изучать язык Rust, использовать код на Rust или принимать во внимание наличие в ядре кода на Rust. Мэйнтейнеры могут спокойно продолжать работать только с кодом на Си и никак не пересекаться с Rust. Но подобные сопровождающие не могут и влиять на то, как развивается Rust в ядре, например, не могут вмешиваться в организацию внешнего взаимодействия Rust-кода с кодом их подистемы. Мэйнтейнеры, которые заинтересованы в продвижении Rust, могут быть вовлечены в разработку и тогда они получают возможность влиять на построение обвязок на Rust … Читать далее Линус Торвальдс пояснил свою позицию в отношении приёма изменений на Rust

Сформировано обновление дистрибутива Ubuntu 24.04.2 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 24.04.2 LTS, Ubuntu Budgie 24.04.2 LTS, Ubuntu MATE 24.04.2 LTS, Lubuntu 24.04.2 LTS, Ubuntu Kylin 24.04.2 LTS, Ubuntu Studio 24.04.2 LTS, Xubuntu 24.04.2 LTS, Edubuntu 24.04.2 LTS, Ubuntu Cinnamon 24.04.2 LTS и Ubuntu Unity 24.04.2 LTS. В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 24.10: Предложены пакеты … Читать далее Выпуск Ubuntu 24.04.2 LTS c обновлением графического стека и ядра Linux

Опубликован релиз Netflow/IPFIX/sFlow коллектора Xenoeye 25.02. Коллектор позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v5, v9, IPFIX и sFlow, обрабатывать данные, генерировать отчёты и строить графики. Ядро проекта написано на языке С, код распространяется под лицензией ISC. Коллектор агрегирует сетевой трафик по выбранным полям и экспортирует данные в PostgreSQL. По этим данным можно строить отчеты, графики (используя gnuplot, скриптами на Python + Matplotlib) или дашборды в Grafana. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов или при падении трафика ниже порогов. Для подсчёта текущей скорости трафика используются скользящие средние. Механизм, … Читать далее Выпуск Netflow/IPFIX/sFlow коллектора Xenoeye 25.02

Марк Сурман (Mark Surman), президент организации Mozilla Foundation, объявил о реорганизации управления проектом Mozilla и диверсификации путей получения доходов. Изменения объясняются желанием преодолеть препятствия, связанные с финансовым ростом и продвижением миссии проекта. Отмечается, что дальнейшее выживание Mozilla зависит одновременно от того, как проект укрепит Firefox, привлечёт новые источники дохода и расширит способы продвижения свой миссии. В дополнение к браузеру Firefox, который останется основным направлением деятельности Mozilla, компания анонсировала три новых направления: Инвестирование в продвижение собственной платформы показа рекламы, заботящейся о конфиденциальности пользователей. Предполагается, что запуск рекламной платформы даст возможность увеличить доходы в ближайшее время. Развитие открытых технологий в области искусственного … Читать далее Mozilla диверсифицирует бизнес и будет продвигать AI и платформу online-рекламы

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, высказался в поддержку разработки новых компонентов ядра на языке Rust. Как человек, через которого последние 15 лет проходит вся информация об ошибках и уязвимостях в ядре Linux, он утверждает, что большинство ошибок в ядре вызваны специфичными для языка Си мелкими краевыми случаями, которые полностью исключены в коде на языке Rust. При использовании Rust можно будет оставить в прошлом такие проблемы, как обращение к памяти после её освобождения, выход на границу буфера (частично), некорректное освобождение ресурсов при обработке ошибок и забытые проверки возвращаемых кодов ошибок, что позволит мэйнтейнерам сосредоточиться на … Читать далее Мнение Грега Кроа-Хартмана и Кейса Кука о продвижении Rust в ядро Linux

В результате встречи представителя OBS Studio с лидером Fedora и ответственными за поддержку Flatpak-пакетов в дистрибутиве, удалось наладить сотрудничество и найти пути решения проблем, устраивающие оба проекта. Требование о прекращении использования имени OBS Studio в сопровождаемом проектом Fedora flatpak-пакете отозвано. Fedora продолжит предлагать пользователям по умолчанию свой вариант flatpak-пакета с OBS Studio. Проблема с поставкой версии Qt, приводящей к сбоям, будет решена переводом Flatpak-пакета Fedora на новый Flatpak runtime, использующий выпуск Qt 6.8.2, в котором регрессия устранена. Проблема с информированием пользователей об области ответственности и путях направления отчётов об ошибках в пакете также улажена. Дополнительно выделены ещё четыре проблемы в … Читать далее OBS Studio и Fedora урегулировали конфликт

После трёх месяцев разработки опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 25.0.0. Первый выпуск ветки Mesa 25.0.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 25.0.1. В Mesa 25.0 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, Asahi для GPU Apple, Turnip для GPU Qualcomm и в программном растеризаторе lavapipe (lvp). В режиме эмулятора (vn) поддерживается API Vulkan 1.3, в драйвере PanVK для GPU ARM Mali — Vulkan 1.1, а в драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) … Читать далее Релиз Mesa 25.0, свободной реализации OpenGL и Vulkan

Компания Mozilla продлила сопровождение прошлой ESR-ветки Firefox 115 до сентября 2025 года (срок сопровождения истекал в марте). Firefox 115 является последней веткой, способной работать в операционных системах Windows 7, 8 и 8.1, и macOS 10.12, 10.13 и 10.14. Вероятно время жизни ветки Firefox 115 не ограничится сентябрём, так как в примечании к изменению упоминается, что в августе будет рассмотрен вопрос дополнительного продления сопровождения. В соответствии c февральской статистикой Mozilla 7.8% пользователей Firefox продолжают использование Windows 7, несмотря на прекращение компанией Microsoft сопровождения данных операционных систем с января 2020 года. Полгода назад данный показатель составлял 10.5%, полтора года назад — 13.7%, … Читать далее Поддержка Firefox 115 ESR продлена до сентября 2025 года. Обновление Firefox 135.0.1

Кристоф Хелвиг (Christoph Hellwig), мэйнтейнер подсистем DMA, KVM, Slab Allocator и архитектуры PowerPC в ядре Linux, принципиально отказавшийся принимать в ядро Rust-обвязки для подсистемы DMA, подключился к обсуждению правил сопровождения Rust в составе ядра, опубликованных проектом Rust for Linux. По мнению Кристофа подобные правила бесполезны, пока они не согласованы с сообществом и не включены в документацию к ядру. Кристоф также обратил внимание, что в правилах указана некорректная информация относительно того, что мэйнтейнеры могут самостоятельно принимать решения о включении в их подсистемы кода, связанного с Rust. По словам Кристофа, в личной беседе Линус Торвальд заявил, что он твёрдо намерен принять в … Читать далее Линус Торвальдс намерен включать связанные с Rust изменения в обход мэйнтейнеров

Разработчики открытого игрового движка NauEngine, основанного компанией VK, объявили о передаче проекта сообществу. Техническое сопровождение движка вместо VK теперь будет осуществлять Школа разработки видеоигр ИТМО, а экспертную поддержку обеспечит ассоциация АПРИОРИ. В анонсе передача проекта в руки сообщества преподносится как новый этап развития, связанный с переходом от коммерческой модели разработки к модели на основе привлечения независимого сообщества. Репозиторий проекта не обновлялся с момента публикации бета-версии в ноябре. Судя по комментариям представителей проекта, данным изданию Коммерсант, дальнейшее развитие продукта будет зависить от сообщества, а интеграция с университетом ИТМО позволит развивать движок и обучать студентов разработке, а также использовать его как основу … Читать далее Компания VK передаёт игровой движок Nau Engine на попечение сообщества

Компания Valve опубликовала обновлённый инструментарий «Source SDK 2013«, предназначенный для создания модов к играм на базе движка Source. Публикация примечательна тем, что в состав пакета включён исходный код игры Team Fortress 2 (как клиентские, так и серверные части). Отмечается, что доступность кода позволит создателям модов не только вносить незначительные изменения и дополнение в существующую игру, но и создавать полностью переработанные варианты Team Fortress 2. Поддерживается сборка в Linux и Windows. Созданные на основе предложенного кода модификации разрешено публиковать в Steam в форме новых игр. Код распространяется под лицензией SOURCE 1 SDK, допускающей использование, копирование и модификацию, при условии, что результат … Читать далее Компания Valve опубликовала код игры Team Fortress 2

Разработчики дистрибутива openSUSE сообщили об успехах проекта по обеспечению поддержки повторяемых сборок. В рамках проекта подготовлен концептуальный форк дистрибутива Reproducible-openSUSE (RBOS), для которого достигнута возможность сборки 100% идентичных бинарных пакетов на основе предлагаемого репозитория с исходными текстами, насчитывающего 3300 пакетов. В процессе работы над проектом подготовлено около 40 патчей (1, 2, 3), решающих проблемы с повторяемой пересборкой пакетов. Примерно половина из данных патчей уже передана в upstream-проекты. Сборки Reproducible-openSUSE пока рассчитаны только на тестирование и не рекомендованы для использования в рабочих системах, так как для них не формируются обновления с устранением уязвимостей. Проект позволяют пользователю сформировать собственные сборки, побитово совпадающие … Читать далее openSUSE тестирует поддержку повторяемых сборок

Доступен корректирующий выпуск OpenSSH 9.9p2, в котором устранены две уязвимости, выявленные компанией Qualys. Продемонстрирован пример использования данных уязвимостей для совершения MITM-атаки, позволяющей при попытке подключения клиента к SSH-серверу, перенаправить трафик на собственный фиктивный сервер, обойти проверку хостовых ключей и создать у клиента видимость подключения к желаемому серверу (ssh-клиент примет хостовый ключ фиктивного сервера вместо ключа легитимного сервера). Первая уязвимость (CVE-2025-26465) вызвана логической ошибкой в утилите ssh, позволяющей обойти проверку идентификации сервера и совершить MITM-атаку. Проблема проявляется начиная с выпуска OpenSSH 6.8p1 (декабрь 2014 г.) в конфигурациях с включённой настройкой VerifyHostKeyDNS. В базовой поставке OpenSSH данная опция по умолчанию отключена, но … Читать далее Обновление OpenSSH 9.9p2 с устранением возможности совершения MITM-атаки

После почти года разработки опубликован релиз новой стабильной ветки почтового сервера Postfix — 3.10.0. В то же время объявлено о прекращении поддержки ветки Postfix 3.6, выпущенной в начале 2021 года. Код проекта написан на языке Си и распространяется под лицензиями EPL 2.0 (Eclipse Public license) и IPL 1.0 (IBM Public License). Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря многопроцессой архитектуре, изолирующей отдельные обработчики, а также жёсткой политике оформления кода и аудита патчей. Для защиты от ошибок при работе с памятью в проекте используются защищённые варианты функции для выделения и освобождения … Читать далее Опубликован почтовый сервер Postfix 3.10.0