В GNOME Circle теперь не будут приниматься проекты, имеющие признаки использования AI для генерации кода, такие как бессмысленные вставки в коде, разнобой в стиле, надуманное использование API и наличие комментариев с подсказами для AI. В новых правилах также упоминается, что разработчики должны хорошо разбираться в присланном коде, быть способны обосновать используемые методы и ответить на связанные с кодом вопросы. При этом использование AI для обучения и решения сопутствующих разработке задач, таких как автодополнение кода, не запрещается.

Основной причиной запрета генерации кода через AI является попытка ускорить прохождение обязательного рецензирования проектов, предлагаемых для включения в коллекцию GNOME Circle. Очередь на проверку достигла значительного размера и некоторым приложениям приходится ждать годы до принятия решения по их включению в каталог.

Наблюдаемый в последнее время рост публикаций низкокачественных программ, сгенерированных через AI, создаёт дополнительную нагрузку на рецензирующих и ещё больше забивает очередь заявок. Чтобы разобрать накопившиеся завалы приём любых новых заявок на рецензирование временно приостановлен. После отмены приостановки для высвобождения ресурсов новые проекты, созданные через AI, будут отклоняться без проверки (уже отправленные до введения новых правил заявки будут рассмотрены).

Второй причиной запрета применения AI называется ужесточение правил в каталоге Flathub, который используется для размещения пакетов программ, представленных в GNOME Circle. Косвенно правила Flathub распространяются и на проект GNOME Circle, в котором пропадает смысл тратить время на проверку программ, пакеты с которыми не будут приняты во Flathub.

Опрос, проведённый среди сопровождающих GNOME Circle, показал, что 62% участников не используют AI, 34% обращаются к AI-ассистентам по мелким вопросам или для подготовки небольших отрывки кода, и лишь 3% генерируют крупные порции кода через AI. Ни один из сопровождающий для признался, что полностью отказался от собственноручного написания кода в пользу генерации через AI.

1. Главная ссылка к новости
2. OpenNews: Инициатива GNOME Circle для разработчиков программ на базе платформы GNOME
3. OpenNews: В NetBSD введён запрет на использование кода, сгенерированного AI-системами
4. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений
5. OpenNews: Проект GNOME запретил использование AI для генерации дополнений к GNOME Shell
6. OpenNews: Статистика по языкам программирования, используемым в экосистеме GNOME

Проектом MariaDB развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с открытым и прозрачным процессом разработки, не зависящим от отдельных производителей. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL, SUSE, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.

Среди изменений в ветке MariaDB 12.3 по сравнению с прошлым LTS-выпуском MariaDB 11.8:

• Полностью переделана реализация бинарного лога (binlog), основные компоненты для ведения которого перенесены в движок InnoDB. Подобный перенос позволил избавиться от устаревшей логики синхронизации, ускорить репликацию и повысить производительность выполнения операций, связанных с записью данных. При тестировании новой реализации на высоконагруженных системах отмечен прирост производительности при большом числе операций записи до 4 раз. Для включения предложена настройка "binlog_storage_engine=innodb".
• На 30-50% повышена скорость векторного поиска с использованием типа VECTOR, применяемого в системах машинного обучения. Ускорение достигается благодаря оптимизации вычислений при поиске сходства между векторами в многомерных пространствах и реализации новой техники экстраполяции на основе вложенных векторных представлений (matryoshka embedding).
• Добавлены возможности для упрощения миграции с СУБД Oracle. В режиме совместимости с СУБД Oracle реализованы функции TO_NUMBER (преобразование строки в число), TO_DATE (преобразование строки в дату) и TRUNC (усечение даты, например, до часа, дня, месяца, года), а также появилась поддержка ассоциативных массивов (INDEX BY) и синтаксиса "( + )" для определения внешних слияний (outer join).
• Для повышения совместимости с MySQL добавлен плагин аутентификации caching_sha2_password, применяющий для хэширования алгоритм SHA2 вместо SHA1 и совместимый с одноимённым плагином из MySQL 9.
• Добавлен новый тип XMLTYPE для хранения данных в формате XML.
• Реализована возможность использования курсоров с параметризованными запросами (prepared statement).
• Добавлено выражение "SET PATH" для задания порядка поиска компонентов схемы хранения при обращении к ним без указания имени схемы.
• Реализована поддержка операции "IS JSON" для проверки типа выражения JSON, определённой в стандарте SQL:2023.
• В выражении "PARTITION BY KEY" реализована поддержка алгоритмов хэширования MYSQL51, MYSQL55, BASE31, CRC32C, XXH32 и XXH3.
• В движке хранения Aria реализован сегментированный кэш ключей, в котором ключи разбиваются на группы, хранимые в отдельных сегментах кэша. Новый кэш позволил повысить производительность паралеллельного выполнения запросов разными пользователями. Число сегментов задаётся через переменную aria_pagecache_segments, которая может принимать значения от 1 (по умолчанию) до 128.
• Добавлена возможность использования индексов на основе функций (functional index) для повышения производительности операций GROUP/ORDER BY.
• Реализована поддержка выражения "CREATE GLOBAL TEMPORARY TABLE" для создания глобальных временных таблиц. Подобные временные таблицы удаляются после завершения сеанса и видны всем пользователям, но содержат данные, индивидуальные для каждого пользователя.
• Добавлена поддержка SSL-ключей, защищённых паролем. Пароль для разблокирования SSL-сертификатов может быть задан через переменную ssl_passphrase или вручную при запуске сервера.
• Добавлено выражение "SET SESSION AUTHORIZATION" для выполнения действия под другим пользователем при выставлении соответствующих привилегий (выражение можно рассматривать как аналог "sudo" для СУБД).
• В плагин file_key_management.so добавлена поддержка хэшей SHA-2.
• Добавлена поддержка слабых курсорных переменных (weak cursor variable) предопределенного типа SYS_REFCURSOR, позволяющих возвращать курсор из хранимых процедур (в параметре OUT) или из функций (в выражении RETURN). Для ограничения максимального числа одновременно открытых курсоров добавлена системная переменная "max_open_cursors".
• В тип TO_CHAR добавлена поддержка формата FM (Fill Mode) для исключения добавочного заполнения. Например, запрос "SELECT CONCAT('/', TO_CHAR('2020-01-06 10:11:12', 'FMDAY'), '/');" вернёт "/Monday/" вместо "/Monday /".
• В утилиту mariadb-check и выражение CHECK TABLE добавлена поддержка таблиц от движка SEQUENCE.
• В оптимизатор добавлена поддержка опций (hint), влияющих на построения плана оптимизаций: QB_NAME, NO_RANGE_OPTIMIZATION, NO_ICP, MRR, NO_MRR, BKA, NO_BKA, BNL, NO_BNL, SEMIJOIN, SUBQUERY, JOIN_FIXED_ORDER, JOIN_ORDER, JOIN_PREFIX, JOIN_SUFFIX, MAX_EXECUTION_TIME, [NO_]JOIN_INDEX, [NO_]GROUP_INDEX, [NO_]ORDER_INDEX, [NO_]INDEX, [NO_]SPLIT_MATERIALIZED, NO_ROWID_FILTER, INDEX_MERGE/NO_INDEX_MERGE, [NO_]DERIVED_CONDITION_PUSHDOWN и [NO_]MERGE. Опции подставляются в запрос в формате, совместимом с MySQL, например:

  
     SELECT /*+ BKA(t1) NO_BKA(t2) */ * FROM t1 INNER JOIN t2 WHERE ...;
     SELECT /*+ MAX_EXECUTION_TIME(1000) */ * FROM t1 INNER JOIN t2 WHERE ...;
  

• Повышена производительность неупорядоченных выражений "LEFT JOIN" и упорядоченного сканирования при использовании выражения "PARTITION BY RANGE".
• В результатах трассировки оптимизатора обеспечен показ определений таблиц и представлений.
• При выполнении операций слияния таблиц (JOIN) реализована оптимизация, учитывающая уникальность строк в подзапросах с выражением "GROUP BY" для более точного прогнозирования числа результирующих строк (out_rows) и корректного применения индексов.
• Улучшена масштабируемость блокировок MDL (Metadata Lock).
• Добавлена поддержка новых функций GIS (Geographic Information System): ST_Validate, MBRCoveredBy, ST_Simplif, ST_GeoHash, ST_LatFromGeoHash, ST_LongFromGeoHash, ST_PointFromGeoHash, ST_IsValid, ST_Collect.
• Добавлена поддержка триггеров, срабатывающих для нескольких событий. В выражении CREATE TRIGGER теперь можно перечислять подпадающие под него события, используя синтаксис "{ event [ OR ... ] }".
• В плагин для ведения лога аудита добавлена поддержка буферизации операции записи в лог. Размер буфера задаётся через переменную server_audit_file_buffer_size. Реализовано сохранение в логе аудита информации о сетевых портах для входящих соединений (ранее отражался только хост).
• В утилиту mariadb добавлена опция "--script-dir" для задания альтернативного каталога поиска скриптов, запускаемых командой SOURCE.
• Разрешено использование репликации в параллельном режиме при асинхронной репликации данных между двумя кластерами Galera.
• В утилиту mariadb-dump добавлена возможность указания масок (например, "database_*"), используя опцию "-L" (--wildcards).
• Убрано требование по уникальности идентификаторов внешних ключей (foreign key) в контексте всей БД (достаточно уникальности на уровне таблицы).
• Сняты ограничения на уровень вложенности структур в функциях для работы с JSON (убран лимит JSON_DEPTH_LIMIT, который ранее принимал значение 32).
• Добавлена таблица TRIGGERED_UPDATE_COLUMNS в схеме INFORMATION_SCHEMA (INFORMATION_SCHEMA.TRIGGERED_UPDATE_COLUMNS), показывающая столбцы, изменяемые при срабатывании триггера.
• В таблице PARAMETERS в схеме INFORMATION_SCHEMA реализован столбец PARAMETER_DEFAULT, содержащий значения по умолчанию параметров хранимых процедур.
• Удалены переменные big_tables, large_page_size и storage_engine, ранее объявленные устаревшими.

1. Главная ссылка к новости
2. OpenNews: Инициативы по сближению MySQL с сообществом и форсированию разработки
3. OpenNews: Выпуск СУБД MySQL 9.6.0
4. OpenNews: Представлен openHalo, инструментарий для миграции с MySQL на PostgreSQL
5. OpenNews: Релиз СУБД PostgreSQL 18
6. OpenNews: Стабильный выпуск СУБД MariaDB 12.2

В ранее действующих правилах допускалось размещение приложений и изменений, часть которых была сгенерирована через AI и прошла ручное рецензирование. В новых правилах запрещена публикация приложений, содержащих любой код, документацию и прочие компоненты, созданные при участии AI, но предусмотрена возможность предоставления отдельных исключений для зрелых и качественно сопровождаемых проектов. Ограничения распространяются только на новые проекты, размещаемые после изменения правил, и не повлияют на уже опубликованные в каталоге приложения, созданные через AI.

В примечании Барт отметил, что большие языковые модели могут быть полезным инструментом и со временем всё меньше кода будет создаваться без их участия. Но в настоящее время реальность такова, что авторы программ, созданных через AI, зачастую не готовы прилагать усилия для создания и оттачивания полноценного продукта и выступают лишь посредниками, поставившими задачу AI-агенту и опубликовавшими результат. Указано, что Барт устал от обострившихся за последний месяц конфликтов с высокомерными авторами, возникающих после отказа принимать в каталог сырые программы, созданные через AI. По словам Барта, подобные авторы ведут себя так, будто дарят гениальное ПО, а какие-то идиоты отказываются его принимать.

1. Главная ссылка к новости
2. OpenNews: Во Flatpak намерены сделать systemd обязательной зависимостью
3. OpenNews: Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения
4. OpenNews: В GNOME Flatpak Runtime прекращена поддержка 32-разрядных приложений
5. OpenNews: Проекту Fedora пригрозили иском из-за поставки сбойного flatpak-пакета с OBS Studio
6. OpenNews: Каталог приложений Flathub достиг отметки в 2 миллиарда загрузок

Проблема проявляется начиная с версии Exim 4.88 (2017 год) в системах, использующих настройку hosts_proxy и сборки Exim, скомпилированные с опцией SUPPORT_PROXY (по умолчанию в Debian, Ubuntu, RHEL EPEL и Fedora). Уязвимость вызвана отсутствием должной проверки размера кадров при обработке запросов с использованием протокола PROXYv2.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере
3. OpenNews: Обновление почтового сервера Exim 4.99.2 с устранением 4 уязвимостей
4. OpenNews: Опубликован почтовый сервер Postfix 3.11.0
5. OpenNews: SMTP Smuggling - новая техника спуфинга почтовых сообщений
6. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере

Как и в классическом CentOS внесённые в пакеты Rocky Linux главным образом изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. С обзором списка изменений в Rocky Linux 10.2 можно познакомиться в анонсе RHEL 10.2.

Среди специфичных для Rocky Linux изменений можно отметить официальную поддержку архитектуры RISC-V, реализованную для плат StarFive VisionFive 2 (VF2) и SiFive HiFive Premier P550, а также запуска в эмуляторе QEMU. Кроме того, проектом развивается несколько собственных репозиториев с дополнительными пакетами:

• security - внеплановые публикации срочных обновлений пакетов с устранением критических уязвимостей, для которых в RHEL ещё не успели сформировать обновления с исправлениями.
• plus - доступны пакеты 7zip 25.01, iftop 1.0, nmon 16q и Valkey 8.0.7 (форк Redis).
• NFV - пакеты для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization).
• CRB (Code Ready Builder) - дополнительные пакеты для разработчиков.
• RT - пакеты для работы в режиме реального времени.
• HighAvailability - пакеты для создания высоконадёжных систем.
• SAP и SAPHANA - пакеты для SAP и SAP HANA, такие как resource-agents, sap-hana-ha, sap-cluster-connector и vhostmd.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Rocky Linux 9.8
3. OpenNews: Выпуск дистрибутива Rocky Linux 10.1
4. OpenNews: Выпуск дистрибутива Oracle Linux 10.1
5. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
6. OpenNews: Релиз AlmaLinux 9.8 и 10.2

Возможности, реализованные в QStickyNotes:

• Создание заметки через иконку в трее или по кнопке "плюс" на другой заметке.
• Удаление заметки по "крестику" с подтверждением.
• Блокировка-разблокировка ввода по кнопке с изображением замка.
• Поддержка привязки настроек по умолчанию для новых заметок.
• Похожий на indicator-stickynotes внешний вид, возможность перетаскивать за заголовок и менять размер за нижний правый угол.

Среди отличий от indicator-stickynotes: возможность задавать цвет и шрифт каждой заметке индивидуально; хранение заметок не в одном JSON-файле, а в отдельном для каждой заметки файле.

Пока не реализовано: скрытие-показ заметок, экспорт-импорт и коллекции.

1. Главная ссылка к новости
2. OpenNews: Первый выпуск программы для ведения заметок KleverNotes
3. OpenNews: Открыт код платформы для ведения заметок Notesnook, конкурирующей с Evernote
4. OpenNews: Открыты исходные тексты персональной wiki Luminotes

Наиболее важные изменения:

• Встроенный пакет Vkd3d с реализацией Direct3D 12 обновлён до версии 2.0.
• Предложена переработанная поддержка языка XPath, реализованная без использования библиотеки libxml2.
• Улучшена совместимость с VBScript.
• В ntdll добавлены заглушки для API ALPC (Advanced Local Procedure Call): NtAlpcCreatePort(), NtAlpcConnectPort(), NtAlpcAcceptConnectPort(), NtAlpcSendWaitReceivePort(), NtAlpcDisconnectPort() и NtAlpcImpersonateClientOfPort().
• Улучшена поддержка Bluetooth, добавлены методы BluetoothLEDeviceStatics::FromBluetoothAddressAsync, IBluetoothLEDevice::get_DeviceId, IBluetoothLEDevice::get_GattServices, IGattDeviceService::get_Uuid и IGattDeviceService::get_AttributeHandle.
• В реализации d3dx10 и d3dx11 добавлена возможность загрузки DDS-файлов с массивами текстур. В функцию D3DX10LoadTextureFromTexture() добавлена поддержка 3D-текстур, текстур с поддержкой уровней детализации и генерации MIP-уровней (MipMap).
• В DLL win32u реализованы функции NtUserGetMessagePos() и NtUserSetMessageExtraInfo().
• Закрыты отчёты об ошибках, связанные с работой приложений: IrfanView, Kodak EasyShare, Git for Windows, Family Tree Maker 2017, Foxit PhantomPDF Business 10.0, Vocaloid 6, Photolemur 3, TrackChecker.
• Закрыты отчёты об ошибках, связанные с работой игр: Star Wars Racer, Star Wars: Knights of the Old Republic, Age of Empires III: The Asian Dynasties.

Проект Wine также опубликовал выпуск пакета vkd3d 2.0 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. В состав пакета входят библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором моделей шейдеров и libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12, а также набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1.

Библиотека libvkd3d поддерживает большую часть возможностей Direct3D 12, включая средства для графики и вычислений, очереди и списки команд, дескрипторы и дескрипторы кучи, корневые сигнатуры, неупорядоченный доступ, Sampler-ы, сигнатуры команд, корневые константы, непрямую (indirect) отрисовку, методы Clear*() и Copy*(). В libvkd3d-shader реализована трансляция байт-кода моделей шейдеров в промежуточное представление SPIR-V. Поддерживаются вершинные, пиксельные, тесселяционные, вычислительные и простые геометрические шейдеры, сериализация и десериализация корневой сигнатуры. Из шейдерных инструкций реализованы арифметические, атомарные и битовые операции, операторы сравнения и управления потоком передачи данных, инструкции sample, gather и load, операции неупорядоченного доступа (UAV, Unordered Access View).

В новой версии vkd3d:

• В реализацию языка шейдеров HLSL добавлена начальная поддержка циклов для 2-3 моделей шейдеров, появилась возможность записи в структурированную разделяемую память группы потоков, реализованы встроенные функции tex3Dbias(), tex3Dlod() и texCUBElod(), обеспечена поддержка семантик SV_ClipDistance, SV_CullDistance и SV_StencilRef для обработки ввода и вывода от шейдеров.
• В компиляторе шейдеров HLSL реализовано автоматическое удаление дублирующихся вычислений, обеспечено вычисление на этапе компиляции выражений вида x % y с заранее известными значениями, улучшено распределение временных регистров. В соответствии с требованиями спецификации HLSL расширена область видимости переменных в циклах "for" (переменная остаётся доступна после завершения цикла). При парсинге дробных чисел прекращён учёт локали (как разделитель теперь всегда используется точка).
• Улучшена поддержка старого бинарного формата шейдеров Direct3D. Реализованы инструкции m4x4, m3x4, m4x3, m3x3, m3x2, phase, texdepth, texreg2ar, texreg2gb, texreg2rgb. Добавлена поддержка модификаторов "_dz", "_db", "_dw" и "_da", которые можно использовать с инструкциями texcrd и texld. Добавлена поддержка регистров "vFace" и "vPos" для работы с пиксельными шейдерами.
• В DXIL (Direct3D Intermediate Language) в коде, в операциях загрузки, сохранения, атомарного изменения и сравнения реализована возможность использования указателей на данные, объявленные позже.
• В ассемблер шейдеров Direct3D добавлена поддержка 16-разрядных встроенных констант, а также флагов ‘64UAVs’, ‘ROVs’, ‘UAVLoadAdditionalFormats’, ‘UAVsAtEveryStage’, ‘allResourcesBound’, ‘enable11_1ShaderExtensions’, ‘int64Ops’, ‘nativeLowPrecision’, ‘stencilRef’, ‘viewportAndRTArrayIndex’ и ‘waveOps’.
• Реализованы опции компиляции шейдеров: VKD3D_SHADER_COMPILE_OPTION_DENORMAL_MODE_F16, VKD3D_SHADER_COMPILE_OPTION_DENORMAL_MODE_F32, VKD3D_SHADER_COMPILE_OPTION_DENORMAL_MODE_F64 и VKD3D_SHADER_COMPILE_OPTION_CONST_GLOBAL_UNIFORM.

1. Главная ссылка к новости
2. OpenNews: Новые версии Wine 11.9 и Wine-staging 11.9
3. OpenNews: Релиз Proton 10.0-4, пакета для запуска Windows-игр в Linux
4. OpenNews: Бета-версия Proton 11.0
5. OpenNews: Новые версии Wine 11.3, Wine-staging 11.3, Wine Mono 11.0 и Vkd3d 1.19
6. OpenNews: Предварительный выпуск дистрибутива для игровых консолей SteamOS 3.8.0

По сравнению с использованием обычных архивов или формата AppImage в Installer-SH проведена оптимизация алгоритмов сжатия, позволившая снизить объём трафика при передаче по сети и сократить место, занимаемое на локальных дисках. Пакет по умолчанию работает в домашнем каталоге и не требует root-прав для установки и удаления ПО. Однако пользователь может выбрать режим установки "для всех пользователей", который задействует системные каталоги и требует root-прав. По умолчанию Installer-SH выносит файлы конфигурации и кэш в отдельную директорию рядом с программой, чтобы избежать конфликтов файлов конфигурации при установке разных версий одной и той же программы. Тем не менее, пользователь может вернуться к классической схеме работы, когда для хранения конфигурации, кэша и прочих файлов используется основной домашний каталог.

Упаковщик может отключить лишние этапы настройки перед установкой, так как не все приложения используют домашний каталог и не любые программы могут корректно работать при установке в системном режиме с root-правами. Разработчик может обновлять однажды созданный и настроенный пакет, заменяя файлы ПО, обновляя базовую информацию и запуская заново процесс упаковки и очистки от мусора. Большинство рутинных задач автоматизировано и сводится к вызову инсталлятора с нужными аргументами (краткая справка доступна при запуске с аргументами -h, -help или --help).

Благодаря возможностям изоляции формата можно создавать распространяемые пакеты даже для приложений, требующих наличия специфических файлов в домашнем каталоге. В таком случае следует разместить все необходимые для работы файлы в выделенном каталоге "userdata" рядом с программой и отключить соответствующий этап настройки, чтобы пользователь случайно ничего не сломал. Удаление ненужных программ происходит с помощью встроенного в каждую программу деинсталлятора.

Формат Installer-SH действует согласно спецификациям XDG Desktop и PortSoft и не зависит от конкретного рабочего окружения ОС, соответствующего спецификациям XDG Desktop. Спецификации PortSoft изначально разрабатывались для дистрибутива Chimbalix и предназначены для структурированной установки ПО в выделенный каталог, чтобы предотвратить неразбериху среди установленных приложений разных архитектур и версий.

Так как в отличие от XDG Desktop спецификации PortSoft весьма новая разработка, формат Installer-SH самодостаточно несёт в себе всё необходимое для развёртывания спецификаций PortSoft и подготовки выделенного раздела в меню приложений. Выделенный раздел в меню приложений необходим для того, чтобы структурировать установленные приложения и предоставить доступ для запуска и обслуживания каждой программы в отдельности.

Хотя формат ориентирован на desktop-сегмент, возможно производить установку ПО в дистрибутивах, у которых отсутствует графическая оболочка. Но такой сценарий использования не тестировался в реальных условиях.

Пользователь может сделать резервную копию любой правильно собранной программы, и она сохранит работоспособность после копирования на другой компьютер (ярлыки таким образом скопировать не выйдет, потому что они раскладываются согласно спецификациям XDG по трём разным местам в файловой системе). Каждый распространяемый установочный пакет с ПО является полноценным носителем формата Installer-SH. На основе уже существующих установочных пакетов можно восстановить формат и создавать новые установочные пакеты с другими приложениями.

Первый многоплатформенный установочный пакет с игрой "2048" в формате Installer-SH 2.8 поддерживает архитектуры x86, x86_64, amd64 и платформы Linux и FreeBSD. Размер установочного файла составляет 2.1 мегабайта. Данный пакет успешно прошёл тестирование в дистрибутивах Debian 7 (GNOME, x86_64), Fedora 20 (Xfce, x86_64), Gentoo (i686), Manjaro 20 (x86_64), openSUSE 13.1 (KDE, i686), Slackware 15 (x86_64), FuryBSD 12.1 (amd64) и NomadBSD 14.1 (i386). Помимо этого доступно ещё несколько десятков пакетов.

1. Главная ссылка к новости

Методы работы с памятью в Rust нацелены на исключение ошибок при манипулировании указателями и защиту от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлен модуль range с реализацией новых типов, развиваемых для замены устаревших типов Range, RangeInclusive, RangeToInclusive и RangeFrom, и позволяющих хранить диапазоны в Copy-структурах. Тип Range определяет диапазоны, ограниченные минимальным и максимальным допустимым значением (но не входящим в него), тип RangeFrom определяет числа начиная с указанного значения, а тип RangeInclusive - значения указанного диапазона с обеими его границами. В будущих выпусках дополнительно появятся типы RangeFull и RangeTo, старая реализация будет перенесена в core::range::legacy::*, а синтаксис "N..M" и "N..=M" переведут на новый вариант типов.

  Новые типы отличаются тем, что вместо типажа Iterator реализуют типаж IntoIterator, т.е. вместо встроенного итератора определяют то, как преобразовать тип в итератор. Подобный подход позволяет использовать с новыми типами операцию копирования (типаж Copy, показывающий, что значения типа можно дублировать через простое копирование), которая ранее была недоступна из-за несовместимости с типами со встроенными итераторами. Например, новые типы дают возможность сохранить границы среза в структуру, которая полностью копируется без раздельного сохранения начального и конечного значений:

  
     use core::range::Range;
  
     #[derive(Clone, Copy)]
     pub struct Span(Range<usize>);
  
     impl Span {
         pub fn of(self, s: &str) -> &str {
             &s[self.0]
         }
     }
  

• Добавлены макросы "assert_matches!" и "debug_assert_matches!", проверяющие соответствие значения указанному шаблону и аварийно завершающие выполнение при расхождении. От выражений "assert!(matches!(..))" и "debug_assert!(matches!(..))" новые макросы отличаются выводом отладочной информации со значениями, вызвавшими сбой. Для избежания пересечений со сторонними макросами, поставляемыми с аналогичными именами, новые макросы требую явного импорта библиотеки "core::assert_matches".

  
     use core::assert_matches;
  
     fn get_random_number() -> u32 {
         4
     }
  
     fn main() {
         assert_matches!(get_random_number(), 1..=6);
     }
  

• При сборке для целевой платформы WebAssembly прекращена передача компоновщику опции "--allow-undefined", разрешавшей связывание при наличии неопределённых символов, которые преобразовывались в импорт из модуля "env". При сборке для WebAssembly все связанные с компоновкой символы теперь по умолчанию обязательно должны быть определены. Для возвращения старого поведения можно использовать переменную окружения "RUSTFLAGS=-Clink-arg=--allow-undefined" или выражение '#[link(wasm_import_module = "env")]" в коде.
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • assert_matches!
  • debug_assert_matches!
  • From<T> for AssertUnwindSafe<T>
  • From<T> for LazyCell<T, F>
  • From<T> for LazyLock<T, F>
  • core::range::RangeToInclusive
  • core::range::RangeToInclusiveIter
  • core::range::RangeFrom
  • core::range::RangeFromIter
  • core::range::Range
  • core::range::RangeIter
• В пакетном менеджере Cargo устранена уязвимость CVE-2026-5223, которая может использоваться для перезаписи исходного кода другого crate-пакета в локальном кэше пакетов из того же репозитория через манипуляции с символическими ссылками внутри crate-а пакетов. Уязвимость проявляется только при работе со сторонними репозиториями пакетов и не затрагивает пользователей репозитория crates.io, так как в crates.io запрещена загрузка пакетов с символическими ссылками.

Дополнительно можно отметить публикацию (PDF) результатов анализа пригодности языка Rust для разработки прошивок для микроконтроллеров и встраиваемых систем с ограниченными ресурсами. Исследование проведено компанией STMicroelectronics при участии нескольких европейских университетов. Двум изолированным командам разработчиков была поставлена задача по реализации одной и той же прошивки для микроконтроллеров STM32U585AI с ядром Arm Cortex-M33. Первая команда создавала прошивку на Си, а вторая на Rust.

Тестирование выполненной работы не выявило заметных преимуществ в использовании языка Си вместо Rust при разработке прошивок для микроконтроллеров при сравнении потребления памяти и производительности. Более того, задействование написанного на Rust системного runtime от открытого проекта Ariel OS позволило добиться потребления памяти в проекте на Rust ниже, чем в реализации на языке Си, использующей традиционный стек для разработки прошивок на базе библиотеки newlib.

Размер результирующей прошивки составил 84100 байт в проекте на Rust и 76744 байта в проекте на Си (на 10% меньше), но потребление оперативной памяти в прошивке на Rust оказалось значительно ниже - 24640 байтов против 42608 байтов. Что касается производительности, то при тестировании начальных прототипов, разработанных за 6 недель, реализация на Rust в два раза опережала, реализацию на Си, но обе реализации значительно отставали от расчётной максимальной производительности. После 4 недель, выделенных на оптимизацию, обе реализации достигли примерно одинакового результата, близкого к расчётному максимуму.

1. Главная ссылка к новости
2. OpenNews: Выпуск Rust 1.95. Добавление Rust в дисплейный сервер Mir. Анализатор трафика ayaFlow на Rust
3. OpenNews: Google задействовал Rust-библиотеку Hickory в прошивке радиомодуля смартфонов Pixel 10
4. OpenNews: Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust
5. OpenNews: Intel развивает виртуальную прошивку TD-Shim, написанную на Rust
6. OpenNews: Google переписал на языке Rust прошивку pvmfm, используемую в Android

После того как на данное поведение обратили внимание пользователи, автор jqwik добавил в примечание к выпуску 1.10 пояснение, что проект не предназначен для использования AI-агентами. Чтобы препятствовать использованию инструментария jqwik в процессе работы AI-агентов при каждом запуске реализован вывод упомянутой строки. Скрытие в терминале осуществлено, чтобы не мешать работе людей.

1. Главная ссылка к новости
2. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
3. OpenNews: Microsoft по ошибке удалил дополнения к VSCode, насчитывающие 9 млн установок
4. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
5. OpenNews: Проект CoreJS столкнулся с проблемами сопровождения из-за лишения свободы автора
6. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси

Уязвимость затрагивает код, обеспечивающий поддержку механизма cifs.spnego для выполнения аутентификации по протоколу SPNEGO (Simple and Protected GSSAPI Negotiation) при подключении к SMB-серверам. При использовании cifs.spnego для определения ключей из Kerberos/SPNEGO ядро вызывает обработчик cifs.upcall, предоставляемый пакетом cifs-utils и выполняемый в пользовательском пространстве с правами root.

Непривилегированный пользователь может инициировать вызов обработчика через отправку запроса, требующего получения ключа "cifs.spnego", с поддельным описанием "CIFS SPNEGO". В обработчике cifs.upcall не выполняются дополнительные проверки корректности параметров, переданных через ядро, среди прочего он воспринимает заслуживающими доверия значения полей pid, uid, creduid и upcall_target. После активации обработчик cifs.upcall переключается в пространства имён пользовательского процесса, через который был отправлен запрос, и до сброса привилегий выполняет поиск в системной базе NSS (Name Service Switch).

Атакующий может запустить свой процесс в отдельном пространстве имён точек монтирования, что приведёт к выполнению обращения к NSS в его контексте. Для эксплуатации уязвимости достаточно внутри созданного атакующим окружения разместить собственный файл конфигурации /etc/nsswitch.conf и набор подставных библиотек libnss_*.so.2. Выполнение NSS-запроса обработчиком cifs.upcall приведёт к загрузке подставленных атакующим библиотек с правами root.

Для эксплуатации уязвимости в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace) или точек монтирования (mount namespace), а также требуется наличие в системе установленного пакета cifs-utils. Дистрибутивы, в которых возможна эксплуатация уязвимости в конфигурации по умолчанию:

• Linux Mint Cinnamon 21.3/22.3
• CentOS Stream 9 GNOME
• Rocky Linux 9 Workstation
• Kali Linux
• AlmaLinux 9.7 Workstation
• SUSE 15 SP7/SAP 15 SP7/SAP 16

Дистрибутивы, в которых для работы эксплоита требуется установка пакета cifs-utils:

• Ubuntu 18.04/20.04/22.04 Desktop/Server
• Pop!_OS 22.04 Intel/24.04 Generic
• Ubuntu 24.04 Desktop minimal/full and Server
• Debian 11/12/13 netinst standard and GNOME/KDE/standard/XFCE
• CentOS Stream 9 Cinnamon/KDE/MATE/XFCE
• Rocky Linux 9 KDE/Workstation-Lite
• openSUSE Leap 15.6 GNOME/KDE
• openSUSE Tumbleweed GNOME/KDE
• Rocky Linux 8 GenericCloud
• Oracle Linux 8/9 KVM
• Amazon Linux 2023 KVM

Дистрибутивы, в которых в конфигурации по умолчанию применяются настройки, блокирующие эксплуатацию уязвимости через SELinux или Apparmor, даже при наличии пакета cifs-utils:

• Ubuntu 26.04 Desktop/Server
• Fedora 40/41/42/43/44 Workstation/Server
• CentOS Stream 10 GNOME/KDE
• Rocky Linux 10 Workstation
• AlmaLinux 10.1 Workstation
• Oracle Linux 10 KVM
• openSUSE Tumbleweed GNOME/KDE
• openSUSE Leap 16.0 OEM GNOME/KDE/Minimal-VM
• SUSE Linux 16

В качестве обходного пути защиты можно заблокировать автоматическую загрузку модуля ядра cifs:

   sh -c "printf 'install cifs /bin/false\n' > /etc/modprobe.d/cifs.conf; rmmod cifs 2>/dev/null; true"

Также можно запретить использование user namespace ("sysctl -w kernel.unprivileged_userns_clone=0") и удалить или переопределить правило cifs.spnego в настройках cifs-utils:

    cat >/etc/request-key.d/cifs.spnego.conf <'EOF'
    create cifs.spnego * * /usr/sbin/keyctl negate %k 30 %S
    EOF

Тем временем, за 28 мая опубликовано 137 отчётов об уязвимостях в ядре Linux, а за 27 мая - 277 отчётов.

1. Главная ссылка к новости
2. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
3. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
4. OpenNews: DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux
5. OpenNews: PinTheft - шестая уязвимость класса Copy Fail, предоставляющая права root в Linux
6. OpenNews: GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. Реализован репозиторий "security" для внеплановой публикации срочных обновлений пакетов с устранением критических уязвимостей, для которых в RHEL ещё не успели сформировать обновления с исправлениями. В остальном изменения в Rocky Linux 9.8 соответствуют изменениям в RHEL 9.8.

Среди специфичных для Rocky Linux возможностей можно отметить поставку в отдельном репозитории plus пакетов openldap 2.6.8, 7zip 25.01iftop 1.0 и nmon 16q, а в репозитории NFV пакетов для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization). В Rocky Linux также поддерживаются репозитории CRB (Code Ready Builder с дополнительными пакетами для разработчиков, пришёл на смену PowerTools), RT (пакеты для работы в режиме реального времени), HighAvailability, ResilientStorage, SAP и SAPHANA (пакеты для SAP HANA). Отдельно поставляется экспериментальный пакет с ядром Linux - kernel-uki, предоставляющий унифицированный образ UKI (Unified Kernel Image), заверенный отдельным ключом для SecureBoot.

В качестве источника исходных пакетов при формировании Rocky Linux 9.8 задействован репозиторий OpenELA, поддерживаемый совместно с Oracle и SUSE. Изменение процессов разработки обусловлено прекращением размещения компанией Red Hat исходных текстов rpm-пакетов RHEL в публичном репозитории git.centos.org. Исходные пакеты предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL.

Дистрибутив Rocky Linux развивается под покровительством организации Rocky Enterprise Software Foundation (RESF), которая зарегистрирована как общественно-полезная корпорация (Public Benefits Corporation), не нацеленная на получение прибыли. Владельцем организации является Грегори Курцер (Gregory Kurtzer), основатель CentOS, но функции управления в соответствии с принятым уставом делегированы совету директоров, в который сообществом избираются участники, вовлечённые в работу над проектом. Параллельно для развития расширенных продуктов на базе Rocky Linux и поддержки сообщества разработчиков данного дистрибутива создана коммерческая компания Ctrl IQ, которая получила 26 млн долларов инвестиций. К разработке и финансированию проекта присоединились такие компании, как Google, Amazon Web Services, GitLab, MontaVista, 45Drives, OpenDrives и NAVER Cloud.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Rocky Linux 9.7
3. OpenNews: Rocky Linux ввёл в строй репозиторий для оперативного устранения уязвимостей
4. OpenNews: Выпуск дистрибутива Rocky Linux 10.1
5. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
6. OpenNews: Релиз AlmaLinux 9.8 и 10.2

Главное отличие от аналогов - ai-cli не является AI-агентом и никогда не выполняет команды автоматически: утилита печатает команды в терминале, эмулируя ввод с клавиатуры, после чего пользователь может отредактировать их и нажать Enter для запуска. Вся конфигурация, история операций, буфер, настройки провайдеров сохраняется в обычных текстовых YAML-файлах. Действия с ответом AI определяется конфигурацией пользователя, утилита не требует установки какого либо специфического эмулятора терминала.

   echo привет | ai --provider=openai | ai --provider=groq > out.txt

1. Главная ссылка к новости

Атака основана на том, что характер изменения времени доступа к SSD-накопителю во время открытия сайта или запуска web-приложения специфичен для конкретного сайта и приложения. Используя типовые слепки изменения времени доступа для заранее измеренных сайтов и приложений можно выделять свойственную им активность на фоне других операций ввода/вывода. В контексте реализованной атаки для сопоставления задержек при вводе/выводе с сигнатурами сайтов и приложений задействована свёрточная нейронная сеть, способная выявлять закономерности на фоне шума от постороннего ввода/вывода.

Для работы метода в браузере задействован API OPFS (Origin-Private FileSystem), позволяющий создавать файлы в локальной файловой системе (файлы создаются в привязанной к сайту изолированной части ФС). Анализ времени доступа к SSD-накопителю осуществляется путём измерения задержек при одинаковых операциях с данными. Для обхода влияния на операции с файлом страничного кэша в ходе атаки требуется создание файлов очень большого размера, превышающего размер доступной оперативной памяти.

В качестве меры для противодействия атаке производителям браузеров предложено запрашивать у пользователя отдельное подтверждение доступа к API OPFS или ограничить максимальный размер файла значением, не превышающим размер оперативной памяти. В настоящее время Chrome и Safari позволяют через API OPFS создавать файлы, занимающие до 60% имеющегося дискового пространства.

Разработчики Chromium из компании Google не признают подобные атаки по сторонним каналам уязвимостями. Разработчики Safari из Apple не исключают внедрение в будущем методов для противодействия атаке. Компания Mozilla признала наличие проблемы, но пока не реализовала исправление.

1. Главная ссылка к новости
2. OpenNews: SnailLoad - атака по определению открываемых сайтов через анализ задержек доставки пакетов
3. OpenNews: SQUIP - атака на процессоры AMD, приводящая к утечке данных по сторонним каналам
4. OpenNews: Представлена новая техника скрытой идентификации системы и браузера
5. OpenNews: Атака NetSpectre, приводящая к утечке содержимого памяти по сети
6. OpenNews: Эксплуатация уязвимости в DRAM-памяти через локальную сеть

• Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости (CVE-2026-8631) в HPLIP, наборе открытых драйверов для принтеров и МФУ, позволяющие повысить свои привилегии и выполнить код в системе. Проблемы вызваны возможностью подстановки команд и переполнением буфера. Уязвимости устранены в обновлении HPLIP 3.26.4. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости в D-Bus-сервисе, используемом в qSnapper, графическом интерфейсе для управления снапшотами Btrfs. Уязвимости могут привести к повышению своих привилегий в системе (CVE-2026-41046), утечке информации об изменениях между снапшотами (CVE-2026-41047) и обходу аутентификации при доступе к Polkit (CVE-2026-41045). Наиболее опасная уязвимость вызвана отсутствием проверки символов "../" в путях, передаваемых в функцию snapper::Snapper() при обращении через D-Bus, что можно использовать для подмены файла конфигурации для libsnapper в обработчике, выполняемом с повышенными привилегиями. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-48095) в архиваторе 7-Zip, приводящая к переполнению буфера при обработке сжатых данных NTFS. Потенциально уязвимость может привести к выполнению кода атакующего при обращении через 7-Zip к специально оформленному образу файловой системы NTFS. Уязвимость устранена в версии 7-Zip 26.01. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В DNS-сервере Unbound 1.25.1 исправлено 11 уязвмостей. Наиболее опасные уязвимости: CVE-2026-33278 - потенциальное удалённое выполнение кода при валидации DNSSEC, CVE-2026-44608 - обращение к уже освобождённой памяти в коде RPZ и CVE-2026-42944 - переполнение кучи при обработке nsid. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-3593) в DNS-сервере BIND, позволяющая вызвать обращение к памяти после её освобождения и повреждение содержимого памяти через отправку специально оформленного запроса к серверу DNS-over-HTTPS. Проблема устранена в версиях BIND 9.20.23 и 9.21.22. Конфигурации не использующие DNS-over-HTTPS уязвимости не подвержены. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-47243) в Kata Containers, стеке для выполнения контейнеров с использованием изоляции на базе виртуализации, позволяющая при наличии прав root в контейнере создать с правами root символическую ссылку на стороне хост-системы. Через создание символической ссылки в /etc/cron.d можно огранизовать выполнение своего кода с правами root в хост-окружении. Уязвимость вызвана возможностью отправки прямого запроса FUSE_SYMLINK в обработчик virtiofsd, выполняемый на стороне хоста. Проблема проявляется при использовании runtime-rs и устранена в выпуске 3.31.0. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-46529) в просмотрщике документов Atril, приводящая к выполнению кода атакующего при клике на ссылку внутри специально оформленного PDF-файла, совмещающего PDF-документ и библиотеку в формате ELF. Имеется эксплоит. Аналогичная проблема присутствует в PDF-просмотрщиках Evince и Xreader. Проблема вызвана отсутствием экранирования спецсимволов shell quoting в функции ev_spawn(). Уязвимость устранена в Evince 48.2, Atril 1.28.4/ 1.26.3 и Xreader 4.6.4/3.6.7. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE не назначен) в просмотрщике справочных руководств Yelp (GNOME Help), позволяющая в обход sandbox-окружения пакетов Flatpak получить доступ к файлам основной системы через открытие специально оформленного help-файла. Уязвимость походит на прошлогоднюю проблему и отличается использованием для подстановки CSS-стиля, встроенного в SVG-файл. Проблема устранена в выпуске Yelp 49.1.
• Уязвимость (CVE-2026-41054) в haveged, фоновом процессе формирования энтропии для генератора псеведослучайных чисел, позволяющая поднять свои привилегии до пользователя root через отправку специально оформленной команды через управляющий Unix-сокет. Проблема устранена в выпуске haveged 1.9.21. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• 11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также можно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16.
• Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Десять уязвимостей (CVE не назначены) в системе кэширования данных в оперативной памяти Memcached, наиболее опасные из которых приводят к переполнению буфера при отправке специально оформленных запросов и потенциально могут использоваться для организации выполнения кода на сервере. Уязвимости устранены в версии Memcached 1.6.42.