Исследователи из Швейцарской высшей технической школы Цюриха разработали метод атаки VMScape, позволяющий обойти существующую защиту от атак Spectre-BTI (Branch Target Injection) для нарушения изоляции между виртуальной машиной и компонентами гипевизора, работающими в пространстве пользователя (например, QEMU-KVM). Атака может быть использована для определения содержимого памяти подобных компонентов через проведение манипуляций из процесса на стороне гостевой системы. В памяти компонентов гипервизоров, работающих в пространстве пользователя, могут содержаться такие конфиденциальные данные, как ключи доступа к зашифрованным дисковым разделам. Злоумышленники также потенциально могут использовать подобные компоненты как источник утечки конфиденциальных данных, оставшихся в памяти в результата активности других гостевых систем. Исследователями подготовлен пример эксплоита, … Читать далее VMScape — атака на CPU AMD и Intel, обходящая изоляцию между гипервизором и гостевой системой

Некоммерческая организация Apache Software Foundation, предоставляющая нейтральную и не зависящую от отдельных производителей площадку для разработки около 400 открытых продуктов, представила новый логотип, сменила дизайн сайта apache.org и объявила о переходе к использованию бренда ASF вместо полного наименования «Apache Software Foundation». На новом логотипе вместо пера, используемого как символ проектов Apache с 1997 года, изображён дубовый лист. Название юридического лица Apache Software Foundation не изменилось и по-прежнему используется там, где это требуется по закону, например, в официальных документах, в футере сайта и при упоминании авторских прав. В остальных случаях, включая документацию и ссылки, для визуальной идентичности теперь будет использоваться акроним … Читать далее Фонд Apache сменил логотип и начал использование акронима ASF

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.2, в котором предложено 21 изменение: В дополнениях для хост-окружений с Linux на системах с ядром Linux 6.16 и новее для получения доступа к процессорным расширениям VT-x задействован API KVM. В состав открытого варианта базового пакета добавлен драйвер для виртуальной web-камеры с интерфейсом USB. Добавлен новый экспериментальный виртуальный сетевой адаптер e1000 (82583V). На системах с Linux при наличии DBus-сервиса org.freedesktop.portal.Desktop в GUI реализовано принудительное включение темы оформления, предоставляемой xdgdesktopportal. В дополнениях для гостевых систем с Linux решены проблемы с невозможностью загрузки разделяемых библиотек при запуске VBoxClient. В менеджере виртуальных машин решена проблема, … Читать далее Обновление VirtualBox 7.2.2

Из кодовой базы Mesa, свободной реализации API OpenGL и Vulkan, удалена поддержка программного интерфейса VDPAU (Video Decode and Presentation API for Unix) созданного компанией NVIDIA. Для аппаратного ускорения кодирования и декодирования видео в различных форматах в Mesa оставлена поддержка API VA-API (Video Acceleration API), изначально предложенного компанией Intel и получившего большее распространение в Linux-системах. В качестве причин удаления упоминается возможность использования VDPAU только на системах c X11 и OpenGL, из-за отсутствия поддержки Wayland и Vulkan. Кроме того, API VDPAU свойственны ограничения, не позволяющие корректно декодировать некоторые видеопотоки. VA-API может применяться с Wayland и Vulkan и лучше поддерживается в приложениях. Источник: … Читать далее Из Mesa удалена поддержка API видеоускорения VDPAU в пользу VA-API

Представлен релиз платформы Electron 38.0.0, предоставляющей самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Среди изменений в новом выпуске: Обновлены версии браузерного движка Chromium 140, платформы Node.js 22.18.0 и JavaScript-движка V8 14.0 (в прошлой ветке использовались Chromium 138, Node.js 22.16.0 и V8 13.8). Предоставлена возможность изменения акцентных цветов, применяемых для выделения активных элементов, а также цвета границы активного окна. Добавлены вызовы tray.{get|set}AutosaveName для сохранения позиций пиктограмм в системном лотке после перезапуска (для macOS). Добавлен метод webFrameMain.fromFrameToken(processId, frameToken) для получения экземпляра WebFrameMain, указав связанный токен. Для платформ Windows и macOS добавлена поддержка метода … Читать далее Выпуск Electron 38, платформы создания приложений на базе движка Chromium

В конце 2024 года у части пользователей попытки поиска в Google при отключённом JavaScript стали приводить к перенаправлению на страницу с требованием включить в браузере JavaScript. В январе 2025 года выборочное тестирование запрета обращения без JavaScript закончилось и ограничение распространили на всех пользователей, оставив при этом несколько лазеек. Например, возможность обращения к поисковой системе из браузеров без JavaScript сохранялась при смене User-Agent на «Lynx» или старую версию Firefox (не больше 23). Теперь данные лазейки перестали работать и страницы с требованием включения JavaScript или обновления устаревшей версии браузера выводятся при любых значениях User-Agent. Источник: http://www.opennet.ru/opennews/art.shtml?num=63859 Читать далее Google ограничил доступ к поиску для браузеров без JavaScript

Доступен композитный сервер Hyprland 0.51, использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Код написан на языке С++ и распространяется под лицензией BSD. Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки … Читать далее Выпуск композитного сервера Hyprland 0.51

Компания Selectel, развивающая Linux-дистрибутив Selectel OS на пакетной базе Debian, представила инициативу OpenFix, в рамках которой начнёт выплачивать энтузиастам денежные вознаграждения за участие в работе над задачами, связанными с развитием и исправлением ошибок в открытом ПО. Код выполненных проектов будет публиковаться под пермиссивной лицензией с сохранением авторства участников. Предложено три направления деятельности, выполнение задач в которых Selectel готов оплачивать: Переписывание известных открытых проектов на язык Rust. В настоящее время доступны три задачи, связанные с переписыванием с языка Си на Rust кода проектов xz, c-ares и libxml2 c сохранением поведения оригинала. Вознаграждение за переписывание библиотек libxml2 и c-ares и определено в … Читать далее OpenFix от Selectel: вознаграждения за переписывание на Rust, создание deb-пакетов и исправление ошибок в СПО

Разработчики openSUSE объявили об отключении файловой системы BCacheFS в пакетах с ядром Linux. В качестве причины называется присвоение данной ФС в основном ядре статуса внешнего сопровождения, подразумевающего прекращение приёма изменений для Bcachefs в основной состав ядра при сохранении данной ФС в кодовой базе ядра. Своими силами разработчики openSUSE не намерены бэкпортировать в дистрибутивный пакет с ядром патчи из ветки ядра от проекта BCacheFS. Отключение будет произведено в пакетах с ядром начиная с версии 6.17, в которой изменён статус BCacheFS. В пакетах с ядром 6.16 поддержка будет сохранена. Для тех кому необходима BCacheFS рекомендуется использовать инструкцию по пересборке варианта ядра с … Читать далее В пакетах с ядром для openSUSE отключена поддержка BCacheFS

В выпуске Ubuntu 25.10, релиз которого намечен на 9 октября, для формирования образов начального RAM-диска (initrd) утверждено использование по умолчанию инструментария Dracut вместо пакета initramfs-tools, развитие которого в последние годы приостановилось и ограничивается работой по сопровождению. Так как разработка выпуска 25.10 c середины августа находится на стадии заморозки, не допускающей добавления новой функциональности, для перехода на Dracut командой, отвечающей за выпуск релизов, предоставлено исключение. В настоящее время пакет initramfs-tools уже заменён на dracut в мета-пакетах. Переход на Dracut позволит решить такие проблемы, как невозможность использования systemd в initrd, отсутствие поддержки NVMe over Fabric (NVM-oF), обилие кода на shell в initrd, … Читать далее В Ubuntu 25.10 по умолчанию будет задействован Dracut

Компания Stamus Networks опубликовала выпуск специализированного дистрибутива Clear NDR 1.0, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Размер загрузочного образа 3.9 ГБ. Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные сохраняются в хранилище OpenSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх … Читать далее Опубликован Clear NDR 1.0, дистрибутив для создания систем обнаружения вторжений

Опубликован первый бета-выпуск утилиты Term.Everything, позволяющей выполнять и отображать любые графические приложения внутри окна с эмулятором терминала. Среди прочего программа позволяет запускать графические приложения при доступе к удалённой системе по SSH. Код проекта распространяется под лицензией AGPL 3.0, написан на языке Typescript и выполняется с использованием платформы Bun. Готовые сборки сформированы в формате AppImage. Технически Term.Everything представляет собой композитный север на базе протокола Wayland, организующий вывод не на экран, а в окно терминала. Для преобразования изображений в Unicode-символы escape-последовательностями ANSI, симулирующими графику в терминале, применяется библиотека chafa. В свою очередь нажатия клавиш и события движения мыши в терминале транслируются в … Читать далее Первый выпуск Term.Everything для запуска графических приложений в терминале

Представлен проект DOOMQL, развивающий вариант игры DOOM, написанный на SQL и способный выполняться внутри СУБД CedarDB, частично совместимой с PostgreSQL. Игра поддерживает многопользовательский режим и выполняет отрисовку при помощи ASCII-графики. Код проекта распространяется под лицензий MIT. Все компоненты игры, включая код рендеринга, синхронизации состояния игроков при многопользовательской игре и игрового цикла, написаны на SQL. Игровая логика реализована при помощи таблиц, представлений (VIEW) и хранимых процедур, что отличает DOOMQL от похожих проектов DuckDB-DOOM (использует хранимые процедуры на WebAssembly) и pg_doom (реализован как расширение к PostgreSQL на языке Си). При разработке DOOMQL использована концепция «всё является данными», при которой для хранения состояния … Читать далее Реализована монгопользовательская DOOM-подобная игра, написанная на SQL

История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз. Пакеты, скомпрометированные во второй фишинговой атаке: Пакет Пиковое число загрузок в неделю Число зависимостей Версия с вредоносным кодом duckdb … Читать далее Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски

Сотрудники бэк-офиса Red Hat из общих и административных отделов, такие как юристы, кадровики, финансисты и бухгалтеры, будут переведены в 2026 году в компанию IBM. Миграция коснётся рядовых сотрудников и технических специалистов, обеспечивающих их поддержку, но руководство переведённых команд останется в составе Red Hat. В Red Hat также останутся инженеры и сотрудники, отвечающие за выпуск продуктов, продажи и маркетинг, из которых будет сформирована группа «Strategy & Operations». В настоящее время в Red Hat трудоустроено около 19 тысяч сотрудников и пока не ясно сколько из них попадёт под сокращение в рамках оптимизации процессов, проводимой в IBM для консолидации функций бэк-офиса и упразднения … Читать далее Сотрудников юридической, финансовой, кадровой и бухгалтерской служб Red Hat переведут в IBM

Разработчики дистрибутива AlmaLinux объявили о решении активировать по умолчанию репозиторий пакетов CRB (CodeReady Builder) через публикацию завтра обновления к выпуску AlmaLinux OS 10.0. В AlmaLinux OS Kitten 10, редакции на базе CentOS Stream 10, данный репозиторий уже включён с конца августа. Для тех, кто не хочет включать CRB, можно использовать команду «dnf config-manager —disable crb». В репозитории CRB поставляется подборка пакетов, по умолчанию не предлагаемых в Red Hat Enterprise Linux, таких как приложения для разработчиков, дополнительные библиотеки и обвязки, а также пакеты с отладочными данными, документацией, заголовочными файлами, статическими сборками и примерами кода (пакеты «-devel», «-example», «-doc» и «-static»). Среди … Читать далее В AlmaLinux решено по умолчанию включить репозиторий CRB с дополнительными пакетами

Опубликован четвёртый выпуск среды рабочего стола Orbitiny Desktop, написанной с нуля с использованием фреймворка Qt. Проект пытается совместить некоторые инновационные идеи, которые раньше не встречались в пользовательских окружениях, с традиционными элементами, такими как панель, меню и размещение пиктограмм на рабочем столе. Работа пока сосредоточена на запуск в окружениях на базе X-сервера, но в будущем не исключается добавление поддержки Wayland. Код написан на языке C++ и распространяется под лицензией GPL. В новой версии Добавлена начальная поддержка обращения к мобильным устройствам и навигации по размещённым на них файлам при помощи протокола MTP. В меню точек монтирования добавлена форма поиска. Для домашних каталогов … Читать далее Пятый экспериментальный выпуск среды рабочего стола Orbitiny

Представлен релиз анонимной сети I2P 2.10.0 и C++-клиента i2pd 2.58.0. I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. Сеть строится в режиме P2P и образуется благодаря ресурсам (пропускной способности), предоставляемым пользователями сети, что позволяет обойтись без применения централизованно управляемых серверов (коммуникации внутри сети основаны на применении шифрованных однонаправленных туннелей между участником и peer-ами). В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Для построения и использования анонимных сетей для клиент-серверных (сайты, чаты) и P2P (обмен файлами, криптовалюты) … Читать далее Выпуск реализации анонимной сети I2P 2.10.0 и C++-клиента i2pd 2.58

Опубликован релиз классической системы инициализации SysVinit 3.15, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart, а теперь продолжает использоваться в таких дистрибутивах, как Devuan, Slackware, Debian GNU/Hurd и antiX. Код написан на языке Си и распространяется под лицензией GPLv2. Версии применяемых в связке с sysvinit утилит insserv и startpar не изменились. Утилита insserv предназначена для организации процесса загрузки с учётом зависимостей между init-скриптами, а startpar применяется для обеспечения параллельного запуска нескольких скриптов в процессе загрузки системы. В новой версии SysVinit произведено только изменение man-руководств и добавлена оптимизация, ускоряющая проверку длины строк в циклах. Дополнительно отмечен перевод … Читать далее Выпуск системы инициализации SysVinit 3.15. Переход проекта с GitHub на CodeBerg

В результате фишинга атакующим удалось перехватить учётные данные сопровождающих 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный код. Это самая крупная атака на репозиторий NPM, которая затрагивает не только напрямую атакованные проекты, но сотни тысяч пакетов, зависимых от них. Среди прочего, вредоносные обновления были выпущены для пакетов debug, chalk, ansi-styles, color-convert, wrap-ansi, supports-color и ansi-regex, имеющих более 200 млн загрузок за последнюю неделю. Отдельно выделяются пакеты chalk и debug, у которых имеется 129286 и 55289 зависимостей. В ходе фишинга мэйнтейнерам от имени проекта NPM было отправлено … Читать далее Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю

Подготовлен первый альфа-выпуск FreeBSD 15.0. Установочные сборки сформированы для архитектур amd64, powerpc64le, aarch64 и riscv64. Релиз запланирован на 2 декабря. Обновление до ветки 15.0-ALPHA1 с прошлых выпусков при помощи утилиты freebsd-update пока не реализовано. Начиная с ветки FreeBSD 15 время сопровождения значительных веток после формирования первого релиза (15.0) сокращено с 5 до 4 лет, а новые значительные ветки будут формироваться раз в два года. Промежуточные выпуски (15.1, 15.2, 15.3) будут разрабатываться в рамках фиксированного цикла разработки, подразумевающего публикацию новых версий в одной ветке примерно через каждые 6 месяцев, а не раз в год как было до сих пор. C учётом … Читать далее Началось альфа-тестирование FreeBSD 15