В применяемых различными дистрибутивами конфигурациях DHCP-сервера Kea, развиваемого консорциумом ISC в качестве замены классического ISC DHCP, выявлены уязвимости, в некоторых ситуациях позволяющие локальному пользователю выполнить код с правами root или перезаписать любой файл в системе: CVE-2025-32801 — позволяет локальному пользователю получить root-привилегии в системах, в которых Kea запускается под пользователем root, или получить полный контроль над сервером Kea в системах, запускающих Kea под пользователем с урезанными привилегиями. Атака осуществляется через обращение к REST API, предоставляемому сервисом kea-ctrl-agent и по умолчанию принимающему запросы через localhost:8000. В большинстве конфигураций REST API доступен для всех локальных пользователей системы без прохождения аутентификации. Эксплуатация осуществляется … Читать далее Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие повысить привилегии в системе

Компания Google опубликовала релиз web-браузера Chrome 137. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 138 запланирован на 24 июня. Основные изменения в Chrome 137: В сборки для Windows и macOS интегрирован чатбот Gemini, который может пояснять содержимое просматриваемой … Читать далее Выпуск web-браузера Chrome 137

Опубликован выпуск оконного менеджера plwm 0.4, развиваемого на языке Пролог и поддерживающего мозаичную (tiling) компоновку окон. В качестве целей проекта заявлено достижение высокого качества кодовой базы и документации, проста настройки под свои предпочтения и охват типовых потребностей пользователей мозаичных оконных менеджеров. Код проекта распространяется под лицензией MIT. Для запуска может использоваться инструментарий SWI-Prolog. На данном этапе работа возможна только в окружениях с X-сервером, но автор не исключает реализацию поддержки Wayland. Основные возможности: Работа в многомониторных конфигурациях. Использование тегов для группировки окон и динамическое формирование виртуальных рабочих столов. Применение парадигмы логического программирования для расширения функциональности. Оформление файла конфигурации в форме кода … Читать далее Выпуск оконного менеджера plwm 0.4, написанного на языке Пролог

В GitHub MCP Server, реализации протокола MCP (Model Context Protocol) от GitHub, выявлена уязвимость, позволяющая извлечь данные из приватных репозиториев пользователей, использующих AI-ассистены для автоматизации работы с репозиториями. Протокол MCP предназначен для связывания AI-моделей с различными источниками данных. GitHub MCP Server обеспечивает бесшовную интеграцию больших языковых моделей с API GitHub и предоставляет этим моделям дополнительный контекст, извлекая данные из GitHub-репозиториев. Использующие MCP модели могут применяться для автоматизации определённых действий с GitHub, например, для разбора сообщений об ошибках. Суть уязвимости в том, что через взаимодействие с подключённой к GitHub большой языковой моделью можно добиться выдачи конфиденциальных данных о пользователе, привязавшем AI-агента … Читать далее Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев

В утилите sort, поставляемой в составе пакета GNU Coreutils, выявлена уязвимость (CVE-2025-5278), приводящая к обращению к данным вне границы буфера при сортировке с использованием синтаксиса «+POS1[.C1][OPTS]», применяемого для выделения сортируемых ключей в обрабатываемых данных. Проблема вызвана целочисленным переполнением (wraparound) в функции begfield(), позволяющим прочитать содержимое одного байта данных вне буфера. Уязвимость может использоваться для вызова аварийного завершения приложений или организации утечки информации из процесса при передаче атакующим специально оформленных параметров сортировки. Проблема проявляется начиная с версии 7.2 (2009 год) и пока устранена в форме патча. Проблему можно воспроизвести попытавшись отсортировать файл, содержащий строку «aanbb» командой «./sort +0.18446744073709551615R poc_input.txt». Источник: http://www.opennet.ru/opennews/art.shtml?num=63320 Читать далее Уязвимость в GNU sort, приводящая к выходу за границу буфера

Опубликован выпуск KaOS 2025.05, дистрибутива с непрерывной моделью обновления, нацеленного на предоставление рабочего стола на основе свежих выпусков KDE и приложений, использующих Qt. Из специфичных особенностей оформления можно отметить размещение вертикальной панели в правой стороне экрана. Дистрибутив развивается с оглядкой на Arch Linux, но поддерживает собственный независимый репозиторий, насчитывающий более 1500 пакетов, а также предлагает ряд собственных графических утилит. В качестве файловой системы по умолчанию применяется XFS. Сборки публикуются для систем x86_64 (3.8 ГБ). Особенности KaOS: На системах с UEFI для загрузки задействован Systemd-boot. Для записи ISO-файлов на USB-диски предоставляется интерфейс IsoWriter, поддерживающий проверку корректности записанных образов. В качестве офисного … Читать далее Выпуск дистрибутива KaOS 2025.05

Доступен релиз почтового клиента Thunderbird 139.0, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 139 построен на кодовой базе Firefox 139 и отнесён к промежуточным версиям, обновления для которых выпускаются до следующего выпуска. В ESR-ветке с длительным сроком поддержки, обновления для которой выпускаются в течение года, сформирован выпуск Thunderbird 128.11.0. Ключевые изменения в Thunderbird: Добавлена поддержка ручной сортировки папок в панели. В уведомление о новой почте добавлены кнопки для пометки прочитанным и удаления. К конфигураторе предоставлена возможность настройки числа столбцов в режиме Cards View. Для предприятий реализована политика для выборочного управления уведомлениями. В Thunderbird 128.11.0 устранено 11 уязвимостей и … Читать далее Опубликован почтовый клиент Thunderbird 139.0

Опубликован релиз Automake 1.18, утилиты для автоматической генерации make-файлов, соответствующих стандартам кодирования проекта GNU. В новой версии: Добавлена поддержка языка программирования Алгол 68, используя компилятор GNU Algol 68. По умолчанию осуществлён переход на формат tar-архивов ustar, поддерживающий более длинные имена файлов. В скрипте mdate-sh, применяемом при сборке Texinfo, добавлена поддержка получения даты через переменную окружения SOURCE_DATE_EPOCH, вместо использования времени модификации файла. Добавлена опция «dist-bzip3» для формирования tar-архива для дистрибутивов с использованием сжатия bzip3. Для tap-driver.sh добавлена опция «—stderr-prefix», позволяющая добавить произвольный префикс в начало каждой строки вывода в stderr. Улучшена поддержка языка Perl. Источник: http://www.opennet.ru/opennews/art.shtml?num=63317 Читать далее Выпуск GNU Automake 1.18, инструментария для генерации сборочных файлов

Спустя год с момента формирования прошлой значительной ветки компания Oracle представила первый бета-выпуск системы виртуализации VirtualBox 7.2. Релиз ожидается летом. Сборки с бета-версией VirtualBox 7.2 подготовлены для RHEL 8/9/10, Fedora 36/40, openSUSE 15.6, Ubuntu 20.04/22.04/24.04/24.10, Debian 11/12, macOS и Windows. Код проекта написан на языке C++ и распространяется под лицензией GPLv2+. Основные изменения: В графическом интерфейсе глобальные операции перенесены из выпадающего меню в боковую панель, размещённую слева, а инструменты для виртуальных машин перемещены в отдельные вкладки, показываемые над областью с правой панелью. Добавлена поддержка виртуализации на хост системах с Windows, использующих процессоры на базе архитектуры ARM. Добавлена поддержка запуска гостевых … Читать далее Началось бета-тестирование VirtualBox 7.2.0

Представлен релиз дистрибутива AlmaLinux 10.0, синхронизированный c Red Hat Enterprise Linux 10.0 и содержащий все предложенные в данном выпуске изменения. Установочные образы подготовлены для архитектур x86_64_v3, x86_64_v2, ARM64, ppc64le и s390x в форме загрузочного (864 МБ), минимального (1.4 ГБ) и полного образа (7.3 ГБ). Позднее будут сформированы Live-сборки с GNOME, KDE, MATE и Xfce, а также образы для плат Raspberry Pi, контейнеров, WSL (Windows Subsystem for Linux) и облачных платформ. Дистрибутив по возможности бинарно совместим с Red Hat Enterprise Linux и может использоваться в качестве замены RHEL 10 и CentOS 10 Stream. Помимо ребрендинга и удаления специфичных для RHEL пакетов … Читать далее Доступен дистрибутив AlmaLinux 10.0

Состоялся релиз web-браузера Firefox 139 и сформированы обновления прошлых веток с длительным сроком поддержки — 115.24.0 и 128.11.0. На стадию бета-тестирования переведена ветка Firefox 140, релиз которой намечен на 24 июня. Основные новшества в Firefox 139: Добавлена возможность назначения собственного фонового изображения или выбора цвета фона для страницы, показываемой при открытии новой вкладки. Функция пока по умолчанию включена не для всех и постепенно будет активироваться для всё большего процента пользователей. Для принудительного включения можно использовать раздел настроек «Firefox Labs» (about:settings#experimental). В новом выпуске также добавлены новые типовые фоновые изображений и преложена новая категория обоев «Celestial». Добавлена экспериментальная поддержка предпросмотра ссылок … Читать далее Релиз Firefox 139

Компания Google опубликовала результаты прогнозирования возможностей квантового компьютера, необходимого для успешной факторизации параметров 2048-битных RSA-ключей. В ходе исследования был сделан вывод, что теоретически взлом ключа RSA-2024 может быть осуществлён за неделю вычислений на квантовом компьютере, имеющим миллион неидеальных («шумных») кубитов. На текущем этапе развития квантовые компьютеры позволяют использовать от 100 до 1000 кубитов с необходимым для проведения атаки уровнем ошибок (0.1%). Примечательно, что заявленное Google число кубитов в 20 раз меньше, чем прогнозировалось в 2019 году. Число необходимых для атаки кубитов удалось снизить за счёт оптимизации алгоритма прогнозирования возведения в степень по модулю и задействования техники послойной коррекции ошибок. Национальный … Читать далее Google оценил возможности квантового компьютера, необходимые для взлома RSA-2048

Опубликован выпуск Linux-дистрибутива Armbian 25.5, предоставляющего компактное системное окружение для одноплатных компьютеров с процессорами на базе архитектур ARM, RISC-V и x86, поддерживающее различные модели Raspberry Pi, Odroid, Orange Pi, Banana Pi, Helios64, pine64, Nanopi и Cubieboard на базе процессоров Allwinner, Amlogic, Actionsemi, Freescale / NXP, Marvell Armada, Rockchip, Radxa и Samsung Exynos. Для формирования сборок используются пакетные базы Debian и Ubuntu, но все компоненты полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом … Читать далее Выпуск Armbian 25.5 и DietPi 9.13, дистрибутивов для одноплатных компьютеров

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.15. Среди наиболее заметных изменений: механизм аудита в Landlock, режим закрепления маппинга памяти, подсистема fwctl, драйвер Nova для GPU NVIDIA, реализация хост-системы для гипервизора Hyper-V, поддержка зонированных устройств хранения в XFS, оптимизация сетевой подсистемы, scrub-проверка в Bcachefs, возможность контроля над операциями через io_uring. В новую версию принято 15945 исправлений от 2154 разработчиков, размер патча — 59 МБ (изменения затронули 13596 файлов, добавлено 739608 строк кода, удалено 312168 строк). В прошлом выпуске было 12115 исправлений от 1984 разработчиков, размер патча — 39 МБ. Около 41% всех представленных в 6.15 изменений связаны … Читать далее Релиз ядра Linux 6.15

Бэкенд rustc_codegen_gcc достиг возможности полной раскрутки (bootstrapping) компилятора rustc. Под раскруткой компилятора понимается возможность использования в rustc генератора кода на основе GCC для сборки самого компилятора rustc. Бэкенд позволяет использовать библиотеку libgccjit от проекта GCC в качестве генератора кода в компиляторе rustc, что позволяет собирать rust-программы для всех архитектур, доступных в GCC, и использовать специфичные для GCC оптимизации. Дополнительно можно отметить релиз проекта Rust Coreutils 0.1.0 (uutils), развивающего аналог пакета GNU Coreutils, написанный на языке Rust. В состав coreutils входит более ста утилит, включая sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Целью проекта … Читать далее GCC-бэкенд достиг возможности полной раскрутки компилятора rustc. Выпуск Rust Coreutils 0.1.0

В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена уязвимость (CVE-2025-37899), потенциально позволяющая добиться выполнения своего кода на уровне ядра через отправку специально оформленных пакетов. Примечательно, что проблема была выявлена в ходе анализа кода AI-моделью OpenAI o3. Так как полный код модуля ksmbd превышает допустимый для модели размер контекста, проверка выполнялась поэтапно для кода с реализацией отдельных команд SMB, используя типовые запросы. Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в коде обработки SMB-команды «logoff»: структура sess->user использовалась в другом потоке, если в рамках другого соединения приходил запрос установки сеанса, привязываемый к освобождаемому … Читать далее Удалённая уязвимость в модуле ksmbd ядра Linux, выявленная при помощи AI

Для ядра Linux разработан драйвер rotary_dial, позволяющий использовать для ввода цифр дисковый номеронабиратель, применявшийся в телефонных аппаратах с импульсным набором номера. Номеронабиратель можно использовать вместо нумпада в качестве стильного аксессуара по аналогии с тем, как несколько лет назад он был задействован в мобильном телефоне. Номеронабиратель подключается через GPIO и после активации драйвера становится доступен как новое устройство ввода evdev. Источник: http://www.opennet.ru/opennews/art.shtml?num=63299 Читать далее Драйвер для ввода цифр при помощи дискового номеронабирателя от старых телефонов

Разработчики ALT Linux представили новый конфигуратор для GNOME — Tuner, нацеленный на упрощения расширения функциональности и предоставления дополнительных настроек. Предполагается, что Tuner может использоваться дистрибутивами, поставляющими GNOME, для создания конфигураторов, отвечающих за изменение настроек, специфичных для дистрибутива. Например, для ALT Linux реализован плагин TunerPanel, позволяющий переключаться между панельным (в стиле GNOME 2) и стандартным режимами интерфейса GNOME. В программе реализована архитектура на базе плагинов, позволяющая добавлять новые разделы настроек, менять интерфейс и расширять функциональность через поставку отдельных плагинов без изменения кода основного приложения. Для создания плагинов задействован движок libpeas, уже применяемый в GNOME-приложениях Gedit и Totem. Из особенностей Tuner также … Читать далее ALT Linux развивает Tuner, новый конфигуратор для GNOME

Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, опубликовал очередной отчёт о разработке KDE. Наиболее заметные изменения: В готовящемся к выпуску корректирующем обновлении KDE Plasma 6.3.6 по умолчанию для новых установок отключён механизм Adaptive Sync (VRR), адаптивно меняющий частоту обновления монитора для обеспечения плавности и отсутствия разрывов во время игр и показа видео. Режим отключён из-за большого числа проблем, возникающих из-за ошибок в графических драйверах. В обновлении также будет устранено аварийное завершение KWin, возникающие при отсоединении нескольких экранов, подключённых через KVM. В кодовую базу, в которой началось формирование выпуска KDE Plasma 6.5, добавлена поддержка динамических обоев рабочего … Читать далее В KDE появилась привязка обоев ко времени суток и отключён по умолчанию Adaptive Sync

Представлен релиз дистрибутива NixOS 25.05, основанного на пакетном менеджере Nix и предоставляющего собственные разработки для упрощения настройки и сопровождения системы. В NixOS вся настройка системы осуществляется через единый файл системной конфигурации configuration.nix. Предоставляются возможности для быстрого отката системы на предыдущую версию конфигурации и переключения между различными состояниями системы. Поддерживается установка индивидуальных пакетов отдельными пользователями и возможность одновременного использования нескольких версий одной программы. Обеспечены воспроизводимые сборки. Для архитектур x86_64 и ARM64 подготовлен установочный образ с графическим окружением (3.7 ГБ) и сокращённый консольный вариант (1.4 ГБ). При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет … Читать далее Доступен дистрибутив NixOS 25.05, использующий пакетный менеджер Nix

Доступен выпуск дистрибутива Ubuntu Sway Remix 25.04, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 24.10, созданной с оглядкой как на опытных пользователей GNU/Linux, так и на новичков, желающих попробовать окружение с мозаичным оконным менеджером без необходимости его долгой настройки. Для загрузки подготовлены сборки для архитектур amd64 и arm64 (Raspberry Pi). Окружение дистрибутива построено на основе Sway — композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера PCManFM-GTK3 и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола … Читать далее Выпуск дистрибутива Ubuntu Sway Remix 25.04