Исследователи из компании Wiz выявили в СУБД Redis уязвимость (CVE-2025-49844), позволяющую добиться удалённого выполнения кода (RCE) на сервере. Проблеме присвоен наивысший уровень опасности (CVSS score 10 из 10), при этом для эксплуатации уязвимости атакующий должен иметь возможность отправки запросов к СУБД Redis, допускающей выполнение пользовательских Lua-скриптов. Помимо публично доступных экземпляров Redis, предоставляющих доступ без аутентификации, уязвимость позволяет скомпрометировать облачные системы и платформы хостинга, поддерживающие сервисы для работы с Redis. По данным компании Wiz сканирование сети выявило около 330 тысяч принимающих соединения Redis-серверов, из которых около 60 тысяч принимают запросы без аутентификации. Предоставляемый проектом Redis официальный образ Docker-контейнера настроен для доступа … Читать далее Уязвимости в Redis и Valkey, позволяющие выполнить код на сервере при наличии доступа к БД

Опубликован релиз мета-дистрибутива T2 SDE 25.10, предоставляющего окружение для формирования собственных дистрибутивов, кросс-компиляции и поддержания версий пакетов в актуальном состоянии. Из популярных дистрибутивов, построенных на базе системы T2, можно отметить Puppy Linux. Проектом предоставляется 36 загрузочных iso-образов с минимальным графическим окружением в вариантах с библиотеками Musl, uClibc и Glibc. Для актуальных архитектур подготовлены сборки с графическим окружением на базе GNOME и Wayland. Платформа сосредоточена на создании сборок на базе ядра Linux, но отдельно развиваются прототипы, позволяющие собирать пакеты для различных ОС, включая macOS, Haiku и BSD-системы. В планах поддержка создания окружений на основе других ядер, например, на базе L4, Fuchsia … Читать далее Релиз T2 SDE 25.10, платформы для создания дистрибутивов

После года разработки опубликован значительный выпуск языка программирования Python 3.14. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей. Среди новшеств, добавленных в Python 3.14 (1, 2, 3): Реализована официальная поддержка сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock). Сборка без GIL позволяет избавиться от проблемы с распараллеливанием операций на многоядерных системах, вызванной тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. Отключение GIL приводит к дополнительным накладным расходам, вызванным изменениями в сборщике мусора, системе управления памятью и примитивах … Читать далее Выпуск языка программирования Python 3.14

Опубликован выпуск основной ветки nginx 1.29.2, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD. В новом выпуске: Добавлена возможность сборки с криптографической библиотекой AWS-LC, развиваемой компанией Amazon. Решена проблема при работе директивы «ssl_protocols» с виртуальным сервером, отличным от сервера по умолчанию. Проблема проявлялась при использовании OpenSSL 1.1.1 и более новых выпусков. Устранён сбой согласования соединения TLSv1.3 в конфигурациях с OpenSSL и клиентскими сертификатами. … Читать далее Выпуск nginx 1.29.2 и форка FreeNginx 1.29.2

Компания Arduino, занимающаяся проектированием и разработкой открытых плат на базе микроконтроллеров, объявила о продаже бизнеса компании Qualcomm Technologies. Сумма сделки не разглашается. Отмечается, что присоединение к Qualcomm позволит расширить возможности Arduino по продвижению открытых аппаратных устройств по всему миру. После поглащения Arduino останется независимым брендом, поддержка существующих плат сохранится, а миссия и приверженность открытым технологиям не изменится, но проект получит значительные ресурсы для развития. В свою очередь компания Qualcomm намерена использовать технологии Arduino для формирования единого стека периферийных вычислений. Одновременно представлены два новых продукта Arduino: Плата UNO Q, сочетающая в себе процессор Qualcomm Dragonwing QRB2210 и микроконтроллер STM32U585. Процессор QRB2210 … Читать далее Qualcomm поглощает Arduino. Представлены плата Arduino UNO Q и среда разработки Arduino App Lab

Пять бывших сопровождающих проекты RubyGems.org, RubyGems и Bundler, среди которых владелец торговой марки Bundler, объявили о создании альтернативного проекта — Gem Cooperative, который подконтролен сообществу и использует открытую модель управления, созданную с оглядкой на проект Homebrew. На текущем этапе проектом запущен gem-cервер, содержащий все пакеты из каталога RubyGems.org и синхронизированный с ним. Заявлена полная совместимость с системой управления пакетами RubyGems и менеджером зависимостей Bundler. Сервер пока работает в режиме зеркала RubyGems.org, а функциональность для публикации пакетов планируют добавить в ближайшие месяцы. Для переключения на альтернативный сервер достаточно заменить в gemfile значение параметра source с «https://rubygems.org» на «https://gem.coop». Основавшие Gem Cooperative … Читать далее Бывшие мэйнтейнеры RubyGems.org основали альтернативный репозиторий Gem Cooperative

Андреас Клинг (Andreas Kling) сообщил об успешном прохождении браузером Ladybird 90% тестов из набора web-platform-tests, определяющих совместимость с эталонной web-платформой. В соответствии с требованиями Apple достигнутого рубежа достаточно чтобы считаться альтернативным браузерным движком для iOS. Ladybird успешно прошёл 1861180 проверок из 2033861. Для сравнения Chromium 139 прошёл 1996034 проверок, Firefox 143 — 1942510, Safari 26.0 — 1952703, Servo — 1672466. Тесты web-platform-tests формируются в рамках инициативы Interop, продвигаемой совместно компаниями Google, Mozilla, Apple, Microsoft, Bocoup и Igalia, и нацеленной на проверку уровня реализации web-технологий в браузерах и выявление расхождений, влияющих на внешний вид и поведение при обработке сайтов. Браузер Ladybird … Читать далее Браузер Ladybird успешно прошёл 90% тестов на совместимость с Web-платформой

Представлен выпуск графического редактора GIMP 3.0.6. Готовые сборки опубликованы для Linux (AppImage и Flatpak для архитектур x86 и ARM64), macOS и Windows. Основное внимание при подготовке новой версии уделено исправлению ошибок и регрессивных изменений. Новая функциональность развивается в ветке GIMP 3.1, на базе которой будет сформирован стабильный выпуск GIMP 3.2 с поддержкой слоёв-ссылок (Link layer) и векторных слоёв (Vector layer), а также расширением поддержки цветовой модели CMYK и возможностей для управления цветом. Среди изменений в GIMP 3.0.6: Из выпуска GIMP 3.1.2 бэкпортирована поддержка отрисовки эскизов кистей, шрифтов и палитр с использованием цветов фона и переднего плана активной темы оформления. Например, … Читать далее Обновление графического редактора GIMP 3.0.6

Издание Phoronix опубликовало предупреждение о переводе в состояние заброшенных 12 пакетов, оставшихся без сопровождающих после сокращения персонала в компании Intel и прекращения разработки проекта Clear Linux. Ссылки на источники в статье не приводятся, но, судя по всему, информация получена из августовского отчёта разработчиков Debian QA Group без уточнения текущего состояния. В актуальном списке заброшенных пакетов (orphaned), оставшихся без сопровождения, из отмеченных пакетов упомянут лишь один — psst. Остальные помечены как претенденты на перевод в разряд оставшихся без сопровождения и упоминаются в списке пакетов для которых ищутся сопровождающие, так как текущий сопровождающий желает передать пакеты в другие руки. Для 4 пакетов … Читать далее 3 заброшенных Intel пакета намечены для удаления из Debian Testing

Опубликован релиз OpenSSH 10.1, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: Устранена проблема с безопасностью, позволяющая атакующему подставить shell-команды через манипуляции со спецсимволами в имени пользователя или URI, которые могли быть выполнены при запуске команды, указанной через настройку «ProxyCommand» и содержащей подстановку «%u». Проблема затрагивает только системы, допускающие при запуске ssh подстановку имён пользователей или URI, полученных из незаслуживающих доверия источников. Для блокирования подобных атак запрещено использование управляющих символов в именах пользователей, указываемых при запуске в командной строке или подставляемых в настройки через %-последовательности. Также запрещено использование нулевого символа («») в URI … Читать далее Релиз OpenSSH 10.1

Доступен выпуск проекта TinyUSB 0.19, развивающего кросс-платформенный USB-стек для встраиваемых систем. Предоставляются компоненты USB-стека для USB-хостов (USB Host) и для подключаемых устройств (USB Device). Код проекта написан на языке Си и распространяется под лицензией MIT. Для повышения безопасности в TinyUSB не применяются операции динамического выделения памяти. Для использования в многопоточных приложениях все события, связанные с возникновением прерываний не обрабатываются сразу при поступлении ISR (Interrupt Service Request), а помещаются в очередь, которая разбирается и обрабатывается в контексте выполнения приложения, а не обработчика прерываний. Для безопасного доступа к совместно используемым ресурсам, таким как FIFO CDC (Communication Device Class), применяются семафоры и мьютексы. … Читать далее Опубликован открытый USB-стек TinyUSB 0.19

Опубликован релиз Phosh 0.50, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, Droidian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру squeekboard. Наработки проекта распространяются под лицензией GPLv3+. Среди изменений: Упрощён доступ к настройкам верхней панели. Добавлена собственная реализация кода поддержки клавиш управления яркостью экрана. Ранее для управления яркостью использовался gnome-settings-daemon, но в выпуске … Читать далее Выпуск Phosh 0.50.0, GNOME-окружения для смартфонов

10-11 декабря в Лондоне на конференции Black Hat Europe будут впервые проведены соревнования ZeroDay Cloud, нацеленные на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. Призовой фонд соревнований определён в 4.5 млн долларов. Наибольшая премия, размером 300 тысяч долларов, назначена за взлом nginx. Премии, размером 100 тысяч долларов, назначены за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB. Для получения премий участники должны продемонстрировать рабочие эксплоиты, в которых используются ранее неизвестные уязвимости (0-day). В категории «виртуализация» эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений … Читать далее Соревнования по выявлению уязвимостей ZeroDay Cloud с призовым фондом 4.5 млн долларов

Фонд свободного ПО отпраздновал своё сорокалетие. В 1985 году, спустя год после основания проекта GNU, Ричард Столлман учредил организацию Free Software Foundation. Организация была создана с целью защиты от компаний с сомнительной репутацией, уличённых в присвоении кода и пытающихся продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его товарищами. Спустя три года после основания оргаенизации Столлманом была подготовлена первая версия лицензии GPL, определившая юридические рамки модели распространения свободного программного обеспечения. 17 сентября 2019 года Столлман покинул пост президента Фонда СПО и на его место в 2020 году был избран Джеффри Кнаут, которого несколько дней назад сменил Ян Келлинг. … Читать далее Фонд свободного ПО отметил сорокалетие и представил проект LibrePhone

Группа французских энтузиастов представила проект Open Printer, нацеленный на создание цветного струйного принтера с открытой аппаратной и программной начинкой. В устройстве использована модульная аппаратная начинка, построенная на основе типовых заменяемых деталей. Принтер можно собрать принтер как конструктор и при необходимости самостоятельно расширять его возможности или ремонтировать. Наработки проекта, включая файлы со схемами электронных и механических компонентов, прошивка, драйверы, списки компонентов (BOM — Bill of Materials), решено распространять под лицензией Creative Commons BY-NC-SA 4.0, запрещающей использование в коммерческих целях. Прошивка и драйверы доступны в исходном коде. В принтере могут использоваться картриджи HP 63 (US) и HP 302 (Europe), без DRM, привязок … Читать далее Проект Open Printer развивает открытый струйный принтер

Анджей Яник (Andrzej Janik) представил выпуск ZLUDA 5, открытой реализации технологии CUDA. Целью проекта является предоставление возможности запуска немодифицированных приложений CUDA на системах с GPU, отличными от GPU NVIDIA, с производительностью, близкой к производительности приложений, выполняемых без прослоек. Код проекта написан на языке Rust и распространяется под лицензиями MIT и Apache 2.0. ZLUDA 5 стал вторым значительным выпуском проекта, сформированным после чистки кодовой базы от кода, разработанного во время работы Анджея в компании AMD. С 2022 года Анджей работал в AMD над созданием слоя для совместимости GPU AMD с CUDA, но в 2024 году проект был свернут. В соответствии с … Читать далее Выпуск ZLUDA 5, универсальной открытой реализации технологии CUDA

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 10.16. С момента выпуска 10.15 было закрыто 34 отчёта об ошибках и внесено 364 изменения. Наиболее важные изменения: Добавлена полная поддержка драйвера ntsync, позволяющего существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Драйвер входит в состав ядра Linux начиная с выпуска 6.14 и реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Значительный прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя. Реализована поддержка запуска 16-разрядных приложений в режиме WoW64 (64-bit Windows-on-Windows), обеспечивающем выполнение 16/32-разрядных Windows-приложений в 64-разрядных Unix-системах. Добавлена … Читать далее Выпуск Wine 10.16

Разработчики проекта Raspberry Pi представили новую версию дистрибутива Raspberry Pi OS 2025-10-01 (Raspbian), основанного на пакетной базе Debian 13. В репозитории доступно около 35 тысяч пакетов. Среда рабочего стола базируется на композитном сервере labwc, использующем библиотеку wlroots от проекта Sway. Для загрузки подготовлены три сборки: сокращённая (476 МБ) для серверных систем, с базовым рабочим столом (1.2 ГБ) и полная с дополнительным набором приложений (3.4 ГБ). Сборки доступны для 32- и 64-разрядных архитектур. Дополнительно сформировано обновление для старой редакции Raspberry Pi OS (Legacy), построенное на пакетной базе Debian 12. Ключевые изменения: Осуществлён переход на пакетную базу Debian 13 (ранее использовался Debian … Читать далее Выпуск Raspberry Pi OS, переведённый на пакетную базу Debian 13

После негативной реакции сообщества на введение в сертифицированных сборках Android обязательной регистрации разработчиков и приложений, представители Google раскрыли некоторые дополнительные подробности предстоящих изменений. За регистрацию разработчика будет взиматься плата в 25 долларов, но для персонального использования, студентов и энтузиастов будет предоставлен бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности. Предложенный бесплатный вариант может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений и не решает проблем, озвученных проектом F-Droid, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google … Читать далее Google предоставит энтузиастам ограниченную неверифицируемую регистрацию Android-приложений

Объявлено о назначении Яна Келлинга (Ian Kelling) на пост президента Фонда свободного ПО. С 2020 года должность президента Фонда СПО занимал Джеффри Кнаут (Geoffrey Knauth), а до этого президентом являлся Ричард Столлман, который был вынужден уйти с данного поста после обвинений в поведении, недостойном лидера движения СПО, и угроз разрыва отношений с СПО некоторых сообществ и организаций. Ян Келлинг с 2017 года трудоустроен системным администратором Фонда СПО и в 2021 году, после реструктуризации процессов управления организацией, вошёл в совет директоров в качестве участника, представляющего мнение персонала Фонда. До 2017 года Ян помогал Фонду СПО в качестве волонтёра. Кроме работы в … Читать далее Избран новый президент Фонда свободного ПО

В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному пользователю получить права администратора кластера. После успешной атаки злоумышленник получает возможность управления кластером, полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера. Для проведения атаки достаточно любого непривилегированного аутентифицированного доступа к платформе, например, атаку может провести подключённый OpenShift AI к исследователь AI, использующий Jupyter notebook. Проблеме присвоен критический уровень опасности — 9.9 из 10. Уязвимость вызвана некорректным назначением роли «kueue-batch-user-role», которая по ошибке оказалась привязана к группе «system:authenticated», что позволяло любому пользователю сервиса … Читать далее Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к узлам кластера