По данным регистратора APNIC (Asia Pacific Network Information Centre) охват пользователей IPv6 оценён в 43.13%, а число пользователей, предпочитающих IPv6 в системах с двойным стеком - 41.66%. Доля пользователей, способных устанавливать IPv6-соединения, в Азии оценивается в 50% (предпочитают IPv6 в системах с двойным стеком - 47.80%), Америке - 49.68% (49.12%), Океании - 39.09% (36.17%), Европе - 36.02% (35.43%), Африке - 5.59% (5.59%). Данные получены на основе ежедневного сбора статистики о примерно 25 млн пользователях. Информация собирается в сотрудничестве с Google и Comcast путём размещения проверочных объявлений в рекламных сетях.

1. Главная ссылка к новости
2. OpenNews: RIPE выделил последний свободный блок IPv4
3. OpenNews: В Facebook доля трафика IPv6 в США превысила 50%
4. OpenNews: Доля пользователей IPv6 в мире достигла 10%
5. OpenNews: Оценка популярности IPv6 в трафике Cloudflare
6. OpenNews: Охват IPv6 в Азиатско-Тихоокеанском регионе достиг 50%

Адресация в IPv8 близка к IPv4 - адресное пространство IPv4 является подмножеством IPv8, а адрес IPv8 образуется как префикс маршрутизации (номер автономной системы) + адрес IPv4 (<asn>.n.n.n.n). При нулевом префиксе маршрутизации (0.n.n.n.n) образуется обычный адрес IPv4, который можно использовать для взаимодействия с существующими сетями IPv4. По сути каждой автономной системе (ASN) предоставляется свой отдельный диапазон IPv4. В заголовке пакета в поле IP указывается номер версии 8, а для адресов отправителя и получателя выделяется по 64 бита - 32 бита на префикс ASN + 32-бита на адрес хоста в стиле IPv4.

Заявлено, что решение на 100% обратно совместимо, внедрение может осуществляться бесшовно и для использования IPv8 не потребуется модификация существующих устройств, приложений и сетей. Подобное достигается благодаря возможности применения в конечных сетях и на клиентских системах IPv4 с использованием для доступа к глобальной сети IPv8 транслятора адресов XLATE8, преобразующего обращения между IPv4 и IPv8 по аналогии с NAT.

При этом предлагаются и элементы для прямого использования IPv8 на конечных системах и в сетевой инфраструктуре, такие как сетевые сокеты AF_INET8, новый тип записи в DNS - A8, протоколы ARP8, ICMPv8, SNMPv8, BGP8, IBGP8, OSPF8 и IS-IS8.

Базовый стек IPv8 включает протокол DHCP8, систему доменных имён DNS8, протокол синхронизации времени NTP8, протокол сбора телеметрии NetLog8, резолвер WHOIS8 для утверждения маршрутов, систему управления доступом ACL8 и транслятор адресов IPv4/IPv8 XLATE8. Запись в таблицу состояния соединений XLATE8 добавляется после отправляемого при каждом соединении запроса к DNS8 и регистрации активного маршрута через обращение к сервису WHOIS8. Вся функциональность, связанная со сбором телементрии, аутентификацией, разрешением имён, синхронизацией времени и трансляцией адресов реализована в форме унифицированной платформы Zone Server.

Подключаемое к сети IPv8 устройство отправляет один discover-запрос к DHCP8 получает в ответ все параметры, необходимые для работы Zone Server. Управляемые элементы сети авторизируются через токены OAuth2, которые локально кэшируются в Zone Server. Возможна организация локальной аутентификации с использованием своего OAuth2-сервера или кэширование обращений к внешнему OAuth2-провайдеру.

Для глобальной маршрутизации применяется вариант протокола BGP. В глобальной таблице маршрутизации BGP8 допускается только одна запись на каждую ASN, минимальный размер префикса - /16. Для доставки обновлений прошивок и компонентов стека L1-L4 предложен протокол Update8, определяющий возможности для определения появления обновлений, проксирования и кэширования обновлений с их верификацией.

1. Главная ссылка к новости
2. OpenNews: Huawei развивает протокол NEW IP, нацеленный на использование в сетях будущего
3. OpenNews: Представлен SSH3, вариант протокола SSH, использующий HTTP/3
4. OpenNews: Организация IETF опубликовала макет RFC с оценкой безопасности IPv4
5. OpenNews: Представители IETF предложили перевести Tor в категорию стандартов интернет
6. OpenNews: IETF стандартизирует протокол сквозного шифрования MLS

Дополнительно можно отметить разбор подверженности Chrome различным методам скрытой идентификации, позволяющим в пассивном режиме сформировать идентификаторы браузера на основе косвенных признаков, таких как:

• разрешение экрана,
• список поддерживаемых MIME-типов,
• специфичные параметры в заголовках HTTP/2 и HTTP/3,
• анализ установленных шрифтов,
• доступность определённых Web API,
• анализ истории посещений,
• специфичные для видеокарт особенности отрисовки при помощи WebGL, WebGPU и Canvas,
• различия в реализации методов обработки звука в API AudioContex и распознавания речи через API SpeechSynthesis,
• утечки локальных IP через WebRTC,
• анализ состава и порядка перечисления расширений TLS,
• особенности отрисовки Emoji,
• определение раскладок клавиатуры,
• наличие специализированных периферийных устройств и редких датчиков (геймпады, шлемы виртуальной реальности, сенсоры приближения),
• различия в калибровке датчиков через API Generic Sensor,
• определение Bluetooth-, USB- и HID-устройств через метод getDevices(),
• особенности работы математических функций (например, Math.tan(-1e308)),
• оценка цветовых схем и данных об обработке цвета через CSS-правило @supports,
• привязка к производительности системы через API Performance,
• определение установленных дополнений через перебор chrome-extension://[known-id]/[resource],
• манипуляции с CSS,
• анализ особенностей работы с мышью и клавиатурой.

Отмечается, что в Chrome почти нет встроенных механизмов защиты от скрытой идентификации, а ранее действующие инициативы по усилению конфиденциальности, такие как Privacy Sandbox и Privacy Budget, свёрнуты. Помимо общего описания действующих в Chrome методов скрытой идентификации, показано как можно блокировать их на уровне браузерного дополнения, используя скрипты обработки конента, отладочные возможности (chrome.debugger) и анализ сетевых запросов (chrome.webRequest). Также рассмотрены методы хранения идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies", например, кэш Favicon, база автозаполнения форм).

1. Главная ссылка к новости
2. OpenNews: Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения
3. OpenNews: Применение метода атаки Rowhammer для создания уникальных идентификаторов
4. OpenNews: В Firefox появится дополнительная защита от скрытой идентификации пользователей
5. OpenNews: 30% из тысячи крупнейших сайтов используют скрипты для скрытой идентификации
6. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты

Указано, что если проект ONLYOFFICE намерен продолжить использование AGPLv3 в будущих выпусках, он должен явно указать, что кодовая база распространяется под лицензией AGPLv3 и удалить упоминание всех ограничений из документации и исходного кода. Действия ONLYOFFICE, связанные с добавлением дополнительных ограничений в текст лицензии AGPLv3, названы вводящими пользователей в заблуждение и не соответствующими духу свободного ПО.

В текст лицензии AGPLv3, под которой распространяется код ONLYOFFICE, в 2021 году были добавлены дополнительные условия, требующие сохранения в производных продуктах оригинального логотипа ONLYOFFICE. Раздел 7(b) лицензии AGPL допускает добавление дополнительных требований об указании авторства и разработчики ONLYOFFICE считают, что логотип подпадает под данное разрешение. Представители Фонда СПО не согласны с этим и утверждают, что логотип является элементом товарного знака и бренда, напрямую не связанным с упоминанием автора.

Пункт о логотипе воспринят Фондом СПО как введение ограничения, несовместимого со свободами, которые предоставляет лицензия AGPLv3. Раздел 7 лицензии AGPLv3 предоставляет пользователям право удалять ограничения, внесённые помимо условий, определённых в разделах 7(a)-7(f). ONLYOFFICE может создать на основе текста AGPL собственную лицензию с дополнительными условиями, но в этом случае не должен упоминать, что код продолжает поставляться под лицензией AGPLv3.

1. Главная ссылка к новости
2. OpenNews: Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии
3. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.3
4. OpenNews: Решено возобновить разработку LibreOffice Online, серверной версии для Web
5. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Свободно использовать загруженную версию могут только физические лица, в том числе – индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать дистрибутив, но для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме.

Основные изменения:

• Пользовательское окружение обновлено до KDE Plasma 6.5, KDE Gear 25.12 и KDE Frameworks 6.23.
• В экране входа в систему LightDM KDE Greeter по умолчанию задействован протокол Wayland.
• Реализовано автоматическое переключение между светлой и темной темами оформления в зависимости от времени суток.
• В состав включены приложения: RSI Break для организации перерывов в работе и Stapler (stplr) для подключения пользовательских репозиториев и установки сторонних программ.
• На системах с гибридной графикой (встроенный GPU + дискретная видеокарта) в главном меню предоставлена возможность задействования дискретной видеокарты в запускаемых приложениях.
• В поставку включены 32-разрядные библиотеки драйвера NVIDIA для совместимости со старыми приложениями и играми.
• Добавлена возможность выбора сервиса "Яндекс Карты" в качестве вызываемого по умолчанию картографического приложения.
• Из базовой поставки удалена программа управления коллекцией фотографий digiKam.

1. Главная ссылка к новости
2. OpenNews: Мобильная платформа ALT Mobile 11.0, построенная на технологиях GNOME
3. OpenNews: Выпуск дистрибутива Simply Linux 11.1
4. OpenNews: Выпуск дистрибутива Альт Рабочая станция К 11.2
5. OpenNews: Выпуск дистрибутива Альт Виртуализация 11.0
6. OpenNews: Опубликована одиннадцатая платформа ALT

Ключевые изменения:

• По умолчанию отключён режим выполнения утилиты sudo без ввода пароля - любые разрешённые операции через sudo теперь требуют ввода пароля текущего пользователя. После успешного ввода пароля в течение 5 минут sudo не требует повторного подтверждения действий.
• Выполнение привилегированных операций в конфигураторе Control Centre также теперь требуют ввода пароля текущего пользователя для подтверждения.
• В конфигуратор Control Centre в секцию системных настроек и в утииту raspi-config добавлены опции для возвращения старого поведения.
• В конфигуратор Control Centre добавлена вкладка для редактирования основного меню. Поставка отдельного редактора меню alacarte прекращена.
• Для запуска приложений из основного меню задействована утилита gtk-launch.
• Операции завершения работы и ручного запуска программ реализованы в меню через внешние приложения-обработчики, вместо использования встроенной функциональности.
• Для панели реализованы новые плагины со списком задач и лаунчером.
• По умолчанию в пакет с браузером Chromium предустановлены дополнения uBlock Origin Lite и h264ify. В систему добавлен пакет libpam-gnome-keyring для использования системного пароля при разблокировке доступа к встроенному в Chromium менеджеру паролей.
• Вместо автоматического запуска сервиса обнаружения принтеров (cups-browsed), он теперь вручную запускается и останавливается через конфигуратор Control Centre.
• В конфигуратор добавлена опция для показа на рабочем столе домашнего каталога вместо каталога с документами.
• Из поставки по умолчанию исключён звуковой сервер Pulseaudio, поддержка которого также удалена из утилиты raspi-config. В мастер начальной настройки добавлены возможности для управления мультимедийным сервером Pipewire.
• Ядро Linux обновлено до версии 6.12.75.

1. Главная ссылка к новости
2. OpenNews: Обновление Raspberry Pi OS и выпуск Raspberry Pi Imager 2.0
3. OpenNews: Релиз операционной системы FRANK OS 1.0
4. OpenNews: Выпуск Raspberry Pi OS, переведённый на пакетную базу Debian 13
5. OpenNews: Представлен компьютер-клавиатура Raspberry Pi 500+
6. OpenNews: Для плат Raspberry Pi опубликован генератор системных образов rpi-image-gen

Исправленные уязвимости:

• CVE-2026-34001 - обращение к памяти после её освобождения (Use-after-free) в функции miSyncTriggerFence(). Уязвимость проявляется с выпуска xorg-server 1.9.0 (2010 год).
• CVE-2026-33999 - целочисленное переполнение через нижнюю границу (underflow) в функции XkbSetCompatMap(), приводящее к чтению данных из области вне буфера при обработке специально оформленных запросов. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
• CVE-2026-34000 - чтение из области вне буфера в функции XkbAddGeomKeyAlias, вызванная отсутствием проверки соответствия размера переданного названия клавиши с выделенным буфером. Уязвимость проявляется с выпусков xorg-server 21.1.4 и xwayland 22.1.3 (2022 год).
• CVE-2026-34002 - чтение из области вне буфера в функции CheckModifierMap() из-за отсутствия проверки соответствия числа указанных в запросе клавиш с фактическим числом переданных параметров. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
• CVE-2026-34003 - переполнение буфера в XKB-функции CheckKeyTypes(), приводящее к чтению данных из области вне буфера из-за отсутствия проверки соответствия размера буфера переданным в запросе данным. Уязвимость проявляется с выпуска X11R6.6 (2001 год).

1. Главная ссылка к новости
2. OpenNews: Обновление X.Org Server 21.1.20 с устранением 3 уязвимостей
3. OpenNews: Проект XLibre интегрирует драйверы в основную ветку X-сервера
4. OpenNews: Выпуск проекта XLibre XServer 25.1.0, развивающего форк X.Org Server
5. OpenNews: Вышел X.Org Server 1.20
6. OpenNews: Доступен X.Org Server 21.1

Причины удаления поддержки процессоров i486 связаны с необходимостью сопровождать в ядре усложнённый код, эмулирующий некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач). Подобный код время от времени становится источником проблем, разбор которых отнимает у разработчиков время, которое можно было бы потратить c большей пользой. При этом мало кто использует современные ветки ядра Linux на устаревших 32-разрядных CPU - не осталось ни одного значимого дистрибутива, для которого продолжали бы публиковаться пакеты с ядром, собранные с опцией "M486=y".

В прошлом вопрос удаления поддержки CPU i486 поднимался разработчиками ядра Linux как минимум два раза. В октябре 2022 года Линус Торвальдс поднял тему удаления поддержки CPU i486, обсуждая проблему, возникшую из-за ошибки в коде эмуляции инструкции "CX8". Линус отметил, что процессоры i486 становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. В 2025 году после выявления очередной проблемы, проявляющейся при эмуляции инструкции "CX8", обсуждение возобновилось и Линус Торвальдс заявил, что чувствует, что настало время отказаться от поддержки CPU i486 и не видит причин, чтобы продолжать тратить время разработчиков на решение возникающих из-за этих процессоров проблем.

Поддержка процессоров i386 была удалена из ядра в 2012 году. Прекращение поддержки классических i486 не затронет выпускавшиеся до 2019 года встроенные процессоры Intel Quark, а также продолжающие производиться SoC Vortex86DX, так как данные процессоры хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b".

1. Главная ссылка к новости
2. OpenNews: Возобновлены попытки удаления поддержки процессоров i486 из ядра Linux
3. OpenNews: Разработчики ядра Linux на пути к удалению поддержки процессоров i486
4. OpenNews: Линус Торвальдс предложил прекратить поддержку CPU i486 в ядре Linux
5. OpenNews: В ядре Linux прекращена поддержка процессоров 386

Основные новшества:

• Реализован API для использования TLS-расширения ECH (Encrypted ClientHello, RFC 9849), предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. В отличие от расширения ESNI (Encrypted Server Name Indication) в ECH вместо шифрования на уровне отдельных полей, целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key).
• Добавлена поддержка определённых в RFC 8998 алгоритмов, использующих стандартизированный в Китае набор криптоалгоритмов SM2: алгоритма формирования цифровой подписи sm2sig_sm3, группы обмена ключами curveSM2 и постквантовой группы curveSM2MLKEM768.
• Добавлена криптографическая функция хэширования cSHAKE, основанная на алгоритме SHA-3 и позволяющая формировать разные хэши на основе одинаковых входных данных для защиты от атак, манипулирующих повторным использованием данных.
• Добавлен гибридный алгоритм "ML-DSA-MU", сочетающий постквантовый алгоритм формирования цифровой подписи ML-DSA (CRYSTALS-Dilithium) с классической хеш-функцией SHAKE256.
• Добавлена поддержка функций формирования ключей SNMP KDF на основе HMAC-SHA и SRTP KDF на основе AES-CM, используемых в сетевых протоколах SNMPv3 и SRTP.
• В команду "openssl fipsinstall" добавлена опция "-defer_tests", позволяющая отложить запуск тестов при установке FIPS-модулей.
• Для платформы Windows реализована поддержка статического или динамического связывания с Visual C++ Runtime.
• В TLS 1.2 добавлена поддержка согласуемого обмена ключами на основе алгоритма FFDHE (Finite Field Diffie-Hellman Ephemeral), соответствующая RFC 7919.
• Прекращена поддержка SSLv3 и SSLv2 Client Hello.
• Удалена поддержка динамически загружаемых движков, вместо которых для расширения функциональности OpenSSL следует использовать концепцию подключаемых провайдеров.
• В TLS на этапе компиляции отключена поддержка устаревших эллиптических кривых. Для возвращения можно использовать опцию "enable-tls-deprecated-ec".
• Удалена утилита c_rehash, вместо которой следуют использовать команду "openssl rehash".
• Из команды "openssl ca" удалена устаревшая опция "msie-hack".
• Удалена поддержка собственных методов EVP_CIPHER, EVP_MD, EVP_PKEY и EVP_PKEY_ASN1.
• Удалены устаревшие функции SSL/TLS, привязанные к фиксированным версиями протоколов, например, "TLSv1_client_method()".
• Удалены устаревшие функции ERR_get_state(), ERR_remove_state() и ERR_remove_thread_state().
• Прекращена поддержка целевых платформ darwin-i386{,-cc} и darwin-ppc{,64}{,-cc}.

1. Главная ссылка к новости
2. OpenNews: Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера
3. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.5.0
4. OpenNews: Реструктуризация проекта OpenSSL. Переход под крыло OpenSSL библиотек Bouncy Castle и Cryptlib
5. OpenNews: Выпуск криптографической библиотеки Botan 3.1.0
6. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.11.0

Основные изменения:

• В интерфейс StartWine интегрированы авторизация и игровые библиотеки сервисов GOG.COM и Epic Games Store.
• Добавлена подсистема WOW64 для лучшей совместимости с 32-битными приложениями.
• Добавлена виртуальная клавиатура для геймпада.
• Добавлен Wine Proton EM.
• Добавлен деинсталлятор StartWine.
• Добавлена опция NTSYNC для повышения производительности.
• Добавлена опция драйвера Wine Wayland для запуска с использованием чистого Wayland.
• Добавлен алгоритм масштабирования без потерь для генерации кадров.
• Добавлена поддержка HDR. Если игра поддерживает HDR, переключатель в игре будет разблокирован.
• Для скачивания и установки добавлен репозиторий StartWine RU. Реализован автоматический выбор быстрого репозитория. Добавлена функция автоматической загрузки с самого быстрого сервера.
• Добавлены несколько анимаций для интерфейса.
• Добавлен образец цветовой схемы «Темная сторона».
• Добавлена система сборки StartWine из исходного кода.
• Часть кода переписана на Rust.
• В настройках реализована параметр для задания периода обновления резервных копий.
• По категориям сгруппирован список горячих клавиш.
• Некоторые файлы конфигурации перенесены в каталог кэша, чтобы сохранять пользовательские настройки после обновления StartWine.
• В StartWineShell добавлены цветовые схемы для интерфейса, реализована подсветка исполняемых файлов, возможности загружать Wine при запуске игры и запускать игры GOG и Epic, установленные через StartWine. Добавлена переменная окружения SW_EDITOR для установки текстового редактора по умолчанию.
• Обновлён список версий Wine, dxvk и vkd3d.
• Обновлены библиотеки в среде выполнения StartWine, резервная копия префикса по умолчанию, конфигурации префикса, локали, список DLL-файлов winetricks, библиотеки и драйверы в контейнере.

1. Главная ссылка к новости
2. OpenNews: Релиз StartWine-Launcher 412, программы для запуска Windows-приложений и игр в Linux
3. OpenNews: Релиз ProteWine 1.0, инструмента для запуска Windows-приложений в Linux
4. OpenNews: Релиз Wine Launcher 1.5.3, инструмента для запуска Windows-игр
5. OpenNews: Выпуск Lutris 0.5.20 и Bottles 0.62, платформ для упрощения запуска игр в Linux
6. OpenNews: Новая версия пакета PlayOnLinux 4.3

В соответствии с февральским отчётом компании Netcraft под управлением nginx работает около 321 млн сайтов (год назад 245 млн, два года назад - 243 млн, три года назад 289 млн). Nginx используется на 16.08% всех активных сайтов (год назад 17.89%, два года назад 18.15%, три года назад 18.94%), что соответствует второму месту по популярности в данной категории (доля Apache соответствует 13.27% (год назад 16.03%, два года назад 20.09%, три года назад 20.52%), Cloudflare - 20.62% (17.81%, 14.12%, 11.32%), Google - 10.65% (9.89%, 10.41%, 9.89%).

При рассмотрении всех сайтов nginx сохраняет лидерство и занимает 22.65% рынка (год назад 20.48%, два года назад - 22.31%, три года назад - 25.94%), в то время как доля Apache соответствует 12.19% (16.03%, 20.17%, 20.58%), Cloudflare - 15.27% (12.87%, 11.24%, 10.17%), OpenResty (платформа на базе nginx и LuaJIT) - 8.01% (9.36%, 7.93%, 7.94%).

Среди миллиона самых посещаемых сайтов в мире nginx занимает второе место с долей 19.85% (год назад 20.37%, два года назад 20.63%, три года назад 21.37%). Первое место удерживает Cloudflare - 26.84% (22.32%, 22.59%, 21.62%). Доля Apache httpd - 15.84% (17.95%, 20.09%, 21.18%).

По данным W3Techs nginx используется на 32.8% сайтов из миллиона самых посещаемых (в апреле прошлого года этот показатель составлял 33.8%, позапрошлого - 34.3%). Доля Apache за год снизилась с 26.3% до 23.9%, доля Microsoft IIS снизилась с 4% до 3.4%, а доля Caddy с 0.3% до 0.2%. Доля Node.js увеличилась с 4.4% до 6.0%, а доля LiteSpeed с 14.6% до 15.2%.

Наиболее заметные улучшения, добавленные в процессе разработки основной ветки 1.29.x, на базе которой сформирован релиз 1.30.0:

• Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath".
• Добавлена поддержка TLS-расширения ECH (Encrypted ClientHello), продолжающего развитие расширения ESNI (Encrypted Server Name Indication) и используемого для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Использование ECH включается через указание в директиве "ssl_ech_file" файла конфигурации ECHConfig в формате PEM. Поддержка доступна при использовании библиотеки OpenSSL 4.0.
• Добавлена возможность привязки сеансов клиентов к одним и тем же серверам в группе. Доступно три метода: "cookie" - передача данных о выбранном сервере через указанную Cookie; "route" - проксируемый сервер назначает клиенту маршрут при получении первого запроса; "learn" - nginx анализирует ответы от upstream-сервера и запоминает начатые сервером сеансы. Для настройки привязки в блок "upstream" модуля "http" добавлена директива "sticky", а в директиву "server" добавлены параметры "route" и "drain".
• Добавлена директива "early_hints" и реализована поддержка HTTP-кода 103 в ответах от бэкендов proxy и gRPC. Код 103 позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице css и javascript). Получив информацию о подобных ресурсах браузер приступит к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.
• Добавлены директивы add_header_inherit и add_trailer_inherit, позволяющие изменить правила наследования значений, указанных в директивах add_header и add_trailer. Параметр "off" отменяет наследование значений, а параметр "merge" включает добавление значений с предыдущего уровня к значениям на текущем уровне.
• Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
• Добавлена директива max_headers, ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.
• Добавлены переменные $request_port и $is_request_port. Первая переменная содержит номер порта из компонента URI или из заголовка "Host", а вторая содержит ":", если переменная $request_port не пустая.
• Добавлены переменные $ssl_sigalg и $ssl_client_sigalg, содержащие название алгоритма формирования цифровой подписи для TLS-соединения.
• В директиву "geo" добавлен параметр "volatile", отключающий кэширование переменной. Разрешено использовать маски в директиве "include", указанной внутри блока "geo".
• В блоке "upstream" активирована по умолчанию директива "keepalive". В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
• При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection").
• В модуль ngx_http_proxy добавлена поддержка протокола HTTP/2, что позволяет использовать HTTP/2 при обращении к бэкендам.
• Предоставлена возможность загрузки криптографических ключей из аппаратных токенов, используя в качестве провайдера библиотеку OpenSSL.
• В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
• Добавлена возможность сборки с криптографической библиотекой AWS-LC, развиваемой компанией Amazon.
• По умолчанию отключено сжатие сертификатов TLSv1.3.
• Обеспечена совместимость с библиотекой OpenSSL 4.0.

Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.30.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. Среди изменений в ветке FreeNginx 1.30: добавлена поддержка TLS-расширения ECH (Encrypted Client Hello); улучшена обработка директивы limit_rate; добавлены директивы send_min_rate и client_body_min_rate; реализована возможность ограничения числа соединений и интенсивности запросов в почтовом прокси; добавлена поддержка БД GeoIP2 в модуле GeoIP; усилена защита модуля XSLT.

1. Главная ссылка к новости
2. OpenNews: Выпуск Angie 1.11.0, форка Nginx
3. OpenNews: Выпуск nginx 1.28.0 и форка FreeNginx 1.28.0
4. OpenNews: Проект Nginx перевёл разработку на Git и GitHub
5. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5

Проблема проявляется после завершении операции выделения памяти ошибкой, возникающей при нехватке памяти (для успешной эксплуатации уязвимости атакующий должен создать условия исчерпания доступной процессу памяти). Обращение к уже освобождённой памяти возникает в приложениях, повторно использующих экземпляр объекта после возвращения ошибки в процессе распаковки. Приложения при каждом вызове создающие новый экземпляр объекта уязвимости не подвержены.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в zlib, проявляющаяся при сжатии специально оформленных данных
3. OpenNews: Уязвимость Zip Slip, затрагивающая библиотеки для распаковки архивов
4. OpenNews: Уязвимость в Python, проявляющаяся при обработке непроверенных дробных чисел в ctypes
5. OpenNews: Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов
6. OpenNews: Уязвимость в Python-модуле TarFile, допускающая запись в любые части ФС

В июне 2025 года автор проекта прекратил сопровождение и перевёл репозиторий jemalloc в архивный режим, но месяц назад разработку возобновила компания Meta, применяющая jemalloc в своей инфраструктуре. Изначально библиотека была разработана для FreeBSD и используется в данной ОС по умолчанию с 2005 года. Код библиотеки написан на Си и распространяется под лицензией BSD.

Среди изменений:

• Реализована функция pvalloc, которая может оказаться полезной при замене аллокатора памяти libc.
• В отладочных сборках включён режим обнаружения двойного вызова функции free(). Для настройки размера стека, в рамках которого выполняется сканирование, добавлен параметр debug_double_free_max_scan.
• Добавлена сборочная опция "--enable-pageid" для выставления тегов при маппинге памяти, используя prctl с флагом PR_SET_VMA. После включения маппинг можно отслеживать через /proc/<pid>/maps.
• Добавлен параметр "prof_bt_max", позволяющая выставить максимальную глубину стека для профилирования.
• Добавлена сборочная опция "--enable-force-getenv" для использования в коде обычной функции getenv() вместо защищённой secure_getenv().
• Добавлена сборочная опция "--disable-dss" для отключения использования функции sbrk().
• Добавлен параметр "tcache_ncached_max" для ограничения числа элементов в кэше потоков.
• Добавлен параметр "calloc_madvise_threshold" для настройки использования механизма ядра madvise или функции memset для обнуления памяти, выделяемой через функцию calloc.
• Добавлена сборочная опция "--disable-user-config" для отключения загрузки настроек из файла /etc/malloc.conf или переменной окружения MALLOC_CONF.
• Добавлен параметр "process_madvise_max_batch" для ограничения числа блоков памяти для каждой batch-операции madvise.
• Добавлен параметр "disable_large_size_classes" для отключения нового алгоритма расчёта размера выделяемой памяти, снижающего накладные расходы при выделении блоков, размером более 4 страниц памяти.
• В утилиту mallctl добавлены опции: opt.prof_bt_max, arena.<i>.name, thread.tcache.max, thread.tcache.ncached_max.write, thread.tcache.ncached_max.read_sizeclass, arenas.hugepage и approximate_stats.active.

1. Главная ссылка к новости
2. OpenNews: Facebook возобновил разработку библиотеки управления памятью jemalloc
3. OpenNews: Прекращена разработка библиотеки управления памятью jemalloc
4. OpenNews: Google опубликовал новый вариант системы распределения памяти TCMalloc
5. OpenNews: Miсrosoft открыл код системы распределения памяти mimalloc
6. OpenNews: Менеджер распределения памяти jemalloc выпущен в виде отдельной библиотеки

Разработка OpenBGPD ведётся при поддержке регионального интернет-регистратора RIPE NCC, который заинтересован в доведении функциональности OpenBGPD до пригодности к использованию на серверах для маршрутизации в точках межоператорского обмена трафиком (IXP) и в создании полноценной альтернативы пакету BIRD (из открытых альтернатив с реализацией протокола BGP можно отметить проекты FRRouting, GoBGP, ExaBGP и Bio-Routing).

В проекте основное внимание уделяется обеспечению максимального уровня безопасности и надёжности. Для защиты применяется жёсткая проверка корректности всех параметров, средства для контроля соблюдения границ буферов, разделение привилегий и ограничение доступа к системным вызовам. Из достоинств также отмечается удобный синтаксис языка определения конфигурации, высокая производительность и эффективность работы с памятью (например, OpenBGPD может работать с таблицами маршрутизации, включающими сотни тысяч записей).

Ключевые изменения в новой версии:

• Повышена производительность фильтра исходящих маршрутов (outbound filter). Правила фильтрации теперь сохраняются в массиве, а повторяющиеся у разных пиров фильтры дедуплицируются.
• В процессе RDE (Route Decision Engine) повышена производительность обработки таблиц с фильтрами (filter_sets) - для повышения эффективности кэширования фильтры перемещены в линейный массив объектов. На серверах с большим числом маршрутов связанные с фильтрами оптимизации позволили сократить продолжительность начальной синхронизации более чем на 25%.
• Улучшено отражение в логе ошибок разбора атрибутов, приводящих к сбросу сеанса.
• В команду 'show rib memory' добавлены дополнительные метрики для оценки потребления памяти.

1. Главная ссылка к новости
2. OpenNews: Выпуск OpenBGPD 9.0
3. OpenNews: В рамках проекта GoBGP развивается реализация протокола BGP на языке Go
4. OpenNews: BGPsec получил статус предложенного стандарта
5. OpenNews: Ошибка при настройке BGP привела к 27-минутному сбою в работе Cloudflare
6. OpenNews: RIPE NCC поддержал разработку OpenBGPD

Ключевой целью развития Meson является обеспечение высокой скорости сборочного процесса в сочетании с удобством и простотой использования. Вместо утилиты make при сборке по умолчанию применяется инструментарий Ninja, но возможно применение и других бэкендов, таких как Xcode и Visual Studio. В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю (по задумке авторов разработчик должен тратить минимум времени на написание правил).

Поддерживается кросс-компиляция и сборка в Linux, Illumos/Solaris, FreeBSD, NetBSD, DragonFly BSD, Haiku, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов. Возможна сборка проектов на различных языках программирования, включая C, C++, Fortran, Java, D и Rust. Поддерживается инкрементальный режим сборки, при котором пересобираются только компоненты, напрямую связанные с изменениями, внесёнными с момента прошлой сборки. Meson можно использовать для формирования повторяемых сборок, при которых запуск сборки в разных окружениях приводит к генерации полностью идентичных исполняемых файлов.

Основные новшества Meson 1.11:

• При вызове в скриптах Meson метода rust.workspace() реализован разбор корневого файла Cargo.toml внутри проекта, для корректной активации при сборке feature-флагов, определённых в общем для всех рабочих пространств файле Cargo.toml. Кроме того, метод rust.workspace() теперь возвращает объект, через который можно получить список feature-флагов и зависимостей для подпроектов, а также запустить сборку целей, объявленных в файлах Cargo.toml.
• В команду "meson dist" добавлены опция "-j" (--num-processes) и переменная окружения MESON_NUM_PROCESSES для задания числа процессов, параллельно выполняемых при сборке и тестировании пакетов.
• Параметр should_fail, допускающий прохождении теста при возвращении ошибки, объявлен устаревшим и переименован в expected_fail. Добавлен параметр expected_exitcode для выставления кода успешного завершения теста, отличного от 0.
• В модуле external_project на платформе Windows задействована команда cygpath для преобразования специфичных для Windows файловых путей и Unix-подобные пути (например, из C:/path/to/configure в /path/to/configure).
• В команды install_man и install_headers добавлена поддержка аргумента install_tag для выбора устанавливаемых файлов по произвольным тегам, а не только по тегам man и devel.
• Добавлен параметр link_early_args, через который в командную строку при запуске компоновщика можно подставить опции (например, "-u" или "--defsym") до перечисления объектов и библиотек.
• Добавлена константа "~", заменяемая на домашний каталог в файлах описания среды (machine files).
• В команде "meson format" по умолчанию отключена сортировка файлов, указанных в числе аргументов функции files(). Для включения сортировки следует использовать опцию sort_files.
• Анонсировано прекращение поддержки версий Python до выпуска 3.10. Meson 1.11.0 является последним выпуском с поддержкой веток Python 3.7, 3.8 и 3.9.
• Добавлена поддержка новых возможностей C/C++ компилятора MPLAB XC32, появившихся в версии 5.0, таких как автоматическое включение LTO-оптимизаций и поддержка стандартов C2x и CPP23.

1. Главная ссылка к новости
2. OpenNews: Выпуск сборочной системы Meson 1.0
3. OpenNews: Facebook опубликовал систему сборки Buck2
4. OpenNews: Проект Сicada развивает систему автоматизации сборок, похожую на GitHub Actions
5. OpenNews: Компания Apple открыла код сборочной системы Swift Build
6. OpenNews: Релиз сборочной системы CMake 4.0.0