В настоящее время уже доступен отчёт (PDF, 156 страниц) с результатами первого этапа аудита, охватывающего наиболее важные утилиты из набора uutils. На первом этапе, который был проведён с декабря 2025 по январь 2026 года, было выявлено 73 уязвимости, из которых 7 отмечены как критические, 11 - опасные, 29 - средней опасности и 26 - неопасные.

Второй этап аудита был проведён с февраля по март и охватывал второстепенные утилиты, не проверенные на первом этапе. На втором этапе было найдено 40 уязвимостей, опасность которых пока не детализируется (отчёт планируют опубликовать позднее). Информация о всех выявленных проблемах уже передана разработчикам uutils и большая часть уязвимостей была устранена в выпусках uutils 0.5-0.8 без лишней огласки и пометки связи вносимых исправлений с устранением уязвимостей.

Пакет rust-coreutils был включён по умолчанию в осеннем выпуске Ubuntu 25.10, но с учётом выявленных в ходе аудита проблем в LTS-ветке Ubuntu 26.04 возвращены утилиты cp, mv и rm из набора GNU Coreutils. Отмечается, что по состоянию на 22 апреля в данных утилитах остаётся не исправлено 8 известных состояний гонки. Остальные утилиты задействованы из выпуска rust-coreutils 0.8.0. В Ubuntu 26.10 разработчики намерены полностью перейти на rust-coreutils.

Уязвимости в системных утилитах опасны тем, что они используется в скриптах, запускаемых с правами root. Например, устранённая в выпуске uutils coreutils 0.3.0 уязвимость в утилите rm могла быть эксплуатирована при ежедневном запуске из cron скрипта /etc/cron.daily/apport, который выполняется с правами root и рекурсивно удаляет содержимое каталога /var/crash, доступного на запись всем пользователям в системе.

Среди уязвимостей, помеченных в первом отчёте критическими:

• Уязвимость в утилите chroot, вызванная обработкой опции "--userspec" после вызова chroot(), но до сброса привилегий. На системах с glibc резолвинг имён через функцию getpwnam() приводит к чтению файла /etc/nsswitch.conf, применяемого в NSS (Name Service Switch), и динамической загрузке указанных в нём библиотек с модулями NSS (libnss_*.so.2). Так как до обработки NSS выполяется вызов chroot() файл /etc/nsswitch.conf загружается относительно нового корня, но NSS-библиотеки загружаются до сброса привилегий. Если пользователь имеет доступ на запись к новому корню, то он может подставить свои NSS-библиотеки и добиться выполнения кода с правами root.
• Изменение прав доступа к файлу после сбоя создания именованного канала (FIFO) утилитой mkfifo - если указать в качестве аргумента существующий файл, то mkfifo вернёт ошибку, но при этом аварийно не завершит работу, а выполнит вызов set_permissions() и изменит права доступа к существующему файлу. С учётом umask 022 уязвимость позволяет поменять права доступа к файлу на 644 (rw-r-r-) и получить доступ к файлам, для которых не было разрешено чтение.
• Обход ограничений "--preserve-root" в утилите chmod, запрещающих выполнение рекурсивных операций относительно корня ФС. Уязвимость (CVE-2026-35338) вызвана тем, что в коде проверялось только точное совпадение пути с "/" и не выполнялась канонизация файлового пути. Для обхода проверки достаточно использовать путь вида "/../" или символическую ссылку на корень. Уязвимость опасна тем, что при возможности подставить свой путь в системный скрипт вызывающий команду chmod, можно добиться рекурсивного изменения прав доступа для всех файлов в ФС.
• В утилите rm допускалась обработка любых сокращений опции "--no-preserve-root" ("--n", "--no", "--no-p", "--no-pres" и т.п.) для отключения защиты от выполнение рекурсивной операции с корнем (например, можно указать "rm -rf --n /" и удалить по ошибке все данные. В GNU Coreutils подобные сокращённые опции запрещены.
• Обход ограничений "--preserve-root" в утилите rm, запрещающих выполнение рекурсивных операций относительно корня ФС, через подстановку символической ссылки на "/".
• Отсутствие полноценной защиты от указания каталогов, начинающихся с точки. Например, при выполнении "rm -rf ." утилита выведет ошибку, но при указании "rm -rf ./" или "rm -rf .///" молча удалит текущий каталог.
• Ошибка в коде разбора аргументов утилиты kill позволяет отправить сигнал всем процессам в системе при указании идентификатора процесса "-1" (kill -1).

В остальном большая часть уязвимостей относится к классу TOCTOU (Time-Of-Check-To-Time-Of-Use), подразумевающему наличие состояния гонки, позволяющего изменить данные в момент после проверки корректности информации, но до выполнения операции с ними, например, подменить файл на символическую ссылку в момент между завершением проверки и началом выполнения операции. В контексте использования утилит cp и mv в системных скриптах, запускаемых с правами root, подобные уязвимости позволяют скопировать или перезаписать произвольные файлы.

1. Главная ссылка к новости
2. OpenNews: Выпуск uutils 0.8, варианта GNU Coreutils на языке Rust
3. OpenNews: Расхождение поведения утилиты du в uutils и GNU Coreutils
4. OpenNews: Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu
5. OpenNews: Выпуск набора утилит GNU Coreutils 9.10
6. OpenNews: Из-за ошибки в uutils в Ubuntu 25.10 перестала работать автоматическая проверка наличия обновлений

Ключевые новшества:

• В утилитах cut, nl, unexpan и expand реализована поддержка многобайтовых символов.
• В утилиту cut добавлены опции "-w", "-F" и "-O" для совместимости с другими системами.
• В утилитах cat и yes при работе в Linux задействован ввод/вывод без буферизации (zero-copy), в некоторых тестах наблюдается ускорение работы в 15 раз.
• В "cksum --check" улучшено экранирование имён файлов.
• В утилите date реализован разбор дат в формате "dd.mm.yy".
• Оптимизированы операции "shuf -i", которые стали выполняться до 2 раз быстрее.
• До 2.6 раз ускорена работа "wc -m" при обработке многобайтовых символов.
• На ARM-системах с инструкциями NEON выполнение "wc -l" ускорено до 4.5 раз.

1. Главная ссылка к новости
2. OpenNews: Выпуск uutils 0.8, варианта GNU Coreutils на языке Rust
3. OpenNews: Выпуск набора утилит GNU Coreutils 9.10
4. OpenNews: В Ubuntu 25.10 решено заменить GNU Coreutils на uutils, написанные на Rust
5. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
6. OpenNews: Проблемы безопасности в sort, uniq и join из состава GNU coreutils. Уязвимости в snort, zabbix и CouchDB

Проблему выявили исследователи из компании Deutsche Telekom при помощи AI-модели Claude Opus. Подготовлен рабочий эксплоит, действующий в большинстве дистрибутивов с PackageKit, но его и детальную информацию об уязвимости планируют опубликовать позднее, чтобы дать пользователям время обновить свои системы. Возможность эксплуатации уязвимости продемонстрирована в Ubuntu Desktop 18.04/24.04.4/26.04, Ubuntu Server 22.04 - 24.04, Debian Desktop 13.4, RockyLinux Desktop 10.1 и Fedora 43 Desktop/Server. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.

Уязвимость вызвана состоянием гонки при обработке флагов транзакций в фоновом процессе PackageKit, позволяющем подменить параметры операции в момент между прохождением авторизации и до запуска операции с пакетом. Атакующий может отправить D-Bus-запрос для выполнения операции, допустимой для непривилегированного пользователя, после чего следом отправить повторный D-Bus-запрос. Если повторный запрос придёт до фактического начала выполнения разрешённой операции, можно добиться переопределения флагов уже начатой транзакции и изменения прокэшированного состояния.

Таким образом, уже начатая разрешённая транзакция будет выполнена с не исходными параметрами, а с подменёнными параметрами, переданными во втором запросе. Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет, в том числе локально сохранённый атакующим. Установка пакета выполняется с правами root, поэтому для получения root-доступа в системе атакующий может добавить в пакет собственный scriptlet, автоматически запускаемый перед или после установки.

1. Главная ссылка к новости
2. OpenNews: Началась разработка пакетного менеджера DNF 5 и замены PackageKit
3. OpenNews: Уязвимость в Polkit, позволяющая повысить свои привилегии в системе
4. OpenNews: Уязвимость в SUSE Manager, позволяющая выполнять root-операции без аутентификации
5. OpenNews: Уязвимость в NetworkManager-libreswan и guix-daemon, позволяющие повысить привилегии в системе
6. OpenNews: Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux

Аdblock-rust поддерживает блокировку сетевых запросов, косметические фильтры, подмену ресурсов на страницах, расширенный синтаксис правил uBlock Origin, блокировку по списку хостов в формате /etc/hosts и валидацию CSS для отключения правил косметических фильтров с некорректным синтаксисом CSS. Движок оформлен в виде подключаемой библиотеки, компилируемой в машинный код или представление WebAssembly. Подготовлены обвязки для языков Rust, JavaScript и Python.

В Firefox движок adblock-rust отключён по умолчанию, имеет статус экспериментальной возможности и может быть активирован начиная с выпуска Firefox 149. Интерфейс пользователя и предопределённые списки блокировки пока отсутствуют. После интеграции в Firefox движок начал применяться проектом Waterfox, который реализовал виджет для управления блокировкой и добавил настройки в конфигуратор, подключающие такие фильтры, как EasyList, EasyPrivacy, AdGuard Tracking Protection, EasyList Cookie.

Для включения встроенного блокировщика рекламы в Firefox на странице about:config следует выставить параметр "privacy.trackingprotection.content.protection.enabled = true", после чего добавить требуемые наборы фильтров. Например, для использования фильтров EasyList и EasyPrivacy на странице about:config необходимо добавить параметр:

   privacy.trackingprotection.content.protection.test_list_urls = https://easylist.to/easylist/easylist.txt|https://easylist.to/easylist/easyprivacy.txt

Помимо этого для изменения доступны параметры, включающие отладочный режим пометки без блокирования:

    privacy.trackingprotection.content.annotation.enabled 
    privacy.trackingprotection.content.annotation.test_list_urls

1. Главная ссылка к новости
2. OpenNews: В Firefox включена по умолчанию блокировка скрытых методов идентификации пользователя
3. OpenNews: В Firefox 149 появится встроенный VPN с 50 ГБ бесплатного трафика
4. OpenNews: В Brave выявлена утечка через DNS сведений об открываемых в Tor-режиме onion-сайтах
5. OpenNews: В браузер Brave встроена поддержка распределённой сети IPFS
6. OpenNews: В браузере Brave выявлена подстановка реферального кода при открытии некоторых сайтов

Основные изменения:

• Рабочий стол обновлён до выпуска GNOME 50, в котором удалён код для поддержки X11, реализована новая система сохранения сеансов, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.

  По умолчанию задействованы видеопроигрыватель Showtime (вместо Totem) и GNOME Resources (вместо старого приложения для отслеживания потребления ресурсов). Добавлена возможность использования встроенной в GNOME Shell поисковой системы для запуска поиска в web через браузер и поиска snap-приложений.

• Улучшена интеграция с рабочим столом приложений в формате snap, используя XDG Desktop Portal для управления доступа приложений к ресурсам вне изолированного окружения. Например, из snap-приложения можно инициировать открытие файлов и каталогов из любой части ФС в файловом менеджере и других десктоп-приложениях. Также можно запрашивать доступ к камере, уведомлениям и USB-устройствам. Права доступа snap-приложений к внешним ресурсам контролируются через конфигуратор GNOME.
• В конфигуратор в секцию "Privacy & Security" добавлена панель "Telemetry" для настройки системы накопления и отправки телеметрии Ubuntu Insights, через которую реализован периодический сбор метрик. В панели можно проконтролировать статус отправки телеметрии и просмотреть отправляемые отчёты. Система является опциональной и включается по желанию пользователя в мастере начальной настройки (GNOME Initial Setup). При обновлении версии Ubuntu реализован вывод запроса активации телеметрии.
• Минимальные системные требования в Ubuntu Desktop 26.04 повышены с 4 до 6 ГБ ОЗУ (прошлое изменение было в 2018 году, когда требования к ОЗУ увеличились с 1 до 4 ГБ). Для работы также требуется как минимум двухядерный CPU с частотой 2 GHz и 25 ГБ места на постоянном хранилище. Для Ubuntu Server 26.04 минимальные требования составляют 1.5 ГБ ОЗУ и 4 ГБ на накопителе.
• Повышена стабильность и производительность при использовании Wayland на системах с GPU NVIDIA.
• Расширены возможности по использованию полнодискового шифрования, не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module). Реализованы возможности для восстановления ключей, применяемых при полнодисковом шифровании на базе TPM. Добавлена поддержка добавления и удаления PIN-кодов или паролей после установки. В конфигуратор добавлена опция для перешифровки диска.
• Изменено оформление диалогов, выводимых системой вывода запросов полномочий, требующих у пользователя подтверждения доступа, например, при обращении из snap-пакетов к файлам в домашнем каталоге. Динамическое предоставление доступа организовано с использованием механизма AppArmor.
• Проведена работа по унификации установки и обновления пакетов. App Center рассматривается как единое приложение для управления всеми видами приложений, независимо от формата, в котором они поставляются.
• Предложен дополнительный стек виртуализации virt-hwe (Hardware Enablement), компоненты которого два раза в год будут обновляться до новых версий по мере формирования обновлений Ubuntu 26.04.x по аналогии с тем как в подобных обновлениях предлагаются новые версии ядра Linux. В состав набора virt-hwe включены пакеты qemu-hwe, libvirt-hwe, seabios-hwe и edk2-hwe. Для переключения между двумя вариантами пакетов для вирутализации в состав включена утилита ubuntu_virt_helper.
• В инсталляторе Ubuntu Server реализована автоматическая установка OEM- и HWE-метапакетов с драйверами и приложениями, необходимыми для корректной работы имеющегося оборудования.
• В репозиторий добавлен пакет authd для настройки централизованной аутентификации через облачных провайдеров идентификации, таких как MS Entra ID и Google Cloud Identity.
• Обновлены версии пакетов, включая ядро Linux 7.0, systemd 259.5, glibc 2.43, Chrony 4.8, LibreOffice 26.2.2, VLC 3.0.23, GIMP 3.2.2, GStreamer 1.28, GTK 4.22.2, Qt 6.10.2, OpenSSL 3.5.6, BlueZ 5.85, CUPS 2.4.16, Snapd 2.74.1, Pipewire 1.6.2, Mesa 26.0.3.
• Обновлены пакеты для разработчиков: LLVM 21, GCC 15.2, Python 3.13, OpenJDK 25, PHP 8.5.2, Go 1.25, .NET 10, Rust 1.93.1, strace 6.19, PostgreSQL 18, MariaDB 11.8.6, MySQL 8.4.8, Valkey 9.0.3.
• Обновлены серверные пакеты: Samba 4.23, Exim 4.99.1, Postfix 3.10.6, unbound 1.24.2, multipath-tools 0.12.2, OpenLDAP 2.6.10, containerd 2.2.1, runc 1.4.0, Docker 29, libvirt 12.0.0, QEMU 10.2.1, EDK2 2025.11, Netplan 1.1.2, cloud-init 26.1, OpenStack 2026.1, HAProxy 3.2, Apache httpd 2.4.65, Nginx 1.28.2, OpenSSH 10.2.
• В утилите sudo-rs, поставляемой вместо sudo, включена по умолчанию индикация ввода пароля (появление звёздочек по мере набора). Для возвращения старого поведения в /etc/sudoers следует выставить настройку "Defaults !pwfeedback".
• Для пакетов на языке Rust реализована опциональная поддержка инструментария cargo-auditable, прикрепляющего к исполняемому файлу метаданные об используемых при компиляции версиях зависимостей. При обнаружении уязвимости в зависимости подобная информация позволяет отследить подверженность данной уязвимости используемых исполняемых файлов. Поддержка аудита реализована для пакетов alacritty, bat, du-dust, eza, fd-find, hyperfine, ripgrep, sd и sudo-rs.
• В состав включены компилятор и библиотеки DPC++ (Data Parallel C++) для создания гетерогенных приложений на языке SYCL (надстройка над C++).
• В библиотеке libfprint расширена поддержка датчиков отпечатков пальцев и реализована поддержка протокола SDCP (Secure Device Connection Protocol).
• Для систем с GPU AMD и Intel включена по умолчанию поддержка аппаратного кодирования и декодирования видео через VA-API.
• В ядре cgroupfs по умолчанию теперь монтируется с опциями "nsdelegate, memory_recursiveprot, memory_hugetlb_accounting". В systemd удалена поддержка cgroup v1 и переведены в разряд устаревших скрипты сервисов System V (прослойка для совместимости с подобными скриптами пока сохранена).
• По умолчанию обеспечено монтирование внешних носителей в каталог /run/media вместо /media.
• Удалены сервисы blkmapd и nfs-blkmap, применявшиеся для NFS.
• Прекращена поддержка систем IBM Z z14 (LinuxONE II) и более ранних поколений.
• Для архитектуры ARM64 реализована возможность установки исправлений к ядру Linux на лету (Livepatch) без перезагрузки.
• Обеспечена поставка инструментариев NVIDIA CUDA, NVIDIA DOCA-OFED и AMD ROCm в штатных репозиториях Ubuntu.
• Реализована полная поддержка профиля архитектуры RISC-V RVA23 (RISC-V Application), в который включены расширения для векторных операций и гипервизоров. В настоящее время лишь ограниченное число плат RISC-V поддерживают векторные расширения профиля RVA23, а большинство доступных на рынке устройств соответствуют профилю RVA20.
• На стороне хоста и гостевых систем добавлена поддержка конфиденциальных виртуальных машин, использующих для шифрования памяти расширения AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) и Intel TDX (Trust Domain Extensions).
• В репозиторий добавлены пакеты с СУБД DocumentDB 0.108, открытой компанией Microsoft. В репозитории "main" обеспечена полная поддержка СУБД MariaDB. Прекращена сборка пакетов с PostgreSQL для архитектуры i386.
• В Kerberos добавлена поддержка загрузки файлов конфигурации из каталога "/etc/krb5.conf.d".
• Ubuntu MATE 26.04 и Ubuntu Unity 26.04 решено не присваивать статус LTS. Для Ubuntu MATE 26.04 сборки не сформированы. В конце марта лидер Ubuntu MATE объявил об уходе из проекта.
• В Kubuntu задействованы выпуски KDE Plasma 6.6, KDE Gear 25.12.3, Qt 6.10 и KDE Frameworks 6.24.0. По умолчанию используется сеанс KDE на основе Wayland. В репозитории остаётся пакет "plasma-session-x11" для создания сеанса на базе X-сервера, но он больше не поддерживается командой Kubuntu.
• В Edubuntu полностью переписаны инсталлятор и меню администратора, которые теперь включают два бэкенда (GTK4 и Qt6), выбираемых в зависимости от типа рабочего стола, а также содержат модуль Cockpit для web-интерфейса. В поставку включены программа для чтения электронных книг Foliate, rss-ридер Paperboy, видеопроигрыватель GNOME Showtime (вместо Totem), Arduino IDE, Raspberry Pi Imager, редактор химических структур GChemPaint, система заметок GNOME Notes (вместо Gnote). Удалены завязанные на GTK2 пакеты, такие как chemtool.
• В Ubuntu Budgie задействован выпуск Budgie Desktop 10.10.2, переведённый на использование Wayland и использующий по умолчанию композитный сервер labwc. В качестве мультимедийного проигрывателя по умолчанию задействован VLC, а в качестве панели - Crystal Dock. Изменено оформление верхней панели. В меню приложений интегрирована секций с избранным контентом.
• В Xubuntu продолжает поставляться Xfce 4.20. Из панели по умолчанию удалён плагин с индикаторами, а большинство приложений переведены на KStatusNotifier для отображения пиктограмм в системном лотке.
• В Ubuntu Cinnamon задействована среда рабочего стола Cinnamon 6.4.13. Приложение gnome-font-viewer заменено на font-manager, лучше поддерживающий темы оформления Cinnamon.
• В Lubuntu предложен выпуск среды рабочего стола LXQt 2.3.
• Ubuntu Unity 26.04 продолжает поставляться с оболочкой Unity 7.7.
• В Ubuntu Studio предложены три переключаемые варианта компоновки рабочего стола - классический с верхней панелью, в стиле macOS с глобальным меню и в стиле Windows 10 с нижним меню. Инсталлятор и система настройки звука переписаны на Python с раздельными бэкендами для GTK4 и Qt6. В конфигуратор звука добавлена поддержка FFADO для устройств FireWire и возможности для настройки частоты дискретизации и размера буферов для PipeWire.

  Добавлен звуковой плагин Loopino (LV2/CLAP/VST2) для загрузки, обрезки и зацикливания звуковых файлов. Добавлен апплет для изменения настроек PipeWire из системного лотка. Добавлен драйвер snd-hdspe для звуковых карт AIO, AIO Pro, RME HDSPe MADI, AES и RayDAT. Добавлен пакет DistroAV для передачи звука и видео в OBS Studio, используя технологию NDI. Обновлены версии пакетов OBS Studio 32.1.0, FreeShow 1.5.9, QPrompt 2.0.1, RaySession 0.17.4, Patchance 1.3.2, Geonkick 3.7.0, BChoppr 1.12.8, harpwise 6.34.4 и blender 5.0.1.

  
  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS
  3. OpenNews: Релиз Ubuntu 25.10
  4. OpenNews: Доступен дистрибутив Ubuntu 25.04
  5. OpenNews: Выпуск дистрибутива Ubuntu 24.10

Для формирования идентификатора достаточно на разных сайтах создать через API IndexedDВ одну и ту же последовательность БД, после чего оценить порядок следования этих БД в результате вызова метода indexedDB.databases(). Для разных экземпляров браузера порядок перечисления БД будет отличаться, но для одного - повторяться. Подобный порядок сохраняется до перезапуска браузера и воспроизводится независимо от открываемого сайта.

Например, после создания БД "a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,r" в одном экземпляре Firefox метод indexedDB.databases() всегда будет возвращать "g,c,p,a,l,f,n,r,d,j,b,o,h,e,m,i,k", а в другом экземпляре - "j,b,o,h,e,m,i,k,f,n,r,d,g,c,p,a,l". При создании 16 БД можно получить около 44 бит энтропии для идентификации. На генерацию идентификатора не влияет очистка локальных браузерных хранилищ и обновление цепочки Tor-узлов кнопкой "New Identity" в Tor Browser. Метод также может использоваться для идентификации пользователей в окне приватного просмотра.

Уязвимость вызвана особенностью реализации API IndexedDВ, на порядок следования БД в которой влияет раскладка внутренних структур, специфичная для каждого экземпляра рабочего процесса браузера. Порядок элементов в списке БД, возвращаемом методом indexedDB.databases(), зависит не от имён БД или порядка создания БД, а от размещения в глобальной хэш-таблице внутренних UUID-хешей, ассоциированных с именами файлов, в которых хранятся БД на диске.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 145 с расширенной защитой от скрытой идентификации
3. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации
4. OpenNews: В Firefox появится дополнительная защита от скрытой идентификации пользователей
5. OpenNews: Применение метода атаки Rowhammer для создания уникальных идентификаторов
6. OpenNews: 30% из тысячи крупнейших сайтов используют скрипты для скрытой идентификации

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 11.0.0 внесено более 2500 изменений от 237 разработчиков.

Ключевые улучшения, добавленные в QEMU 11.0:

• Удалена поддержка 32-разрядных хост-систем, которая была объявлена устаревшей в апреле прошлого года в QEMU 10.0. В декабрьском выпуске 10.2 в генераторе кода TCG (Tiny Code Generator) была прекращена поддержка платформ mips32 и ppc32, а в выпуске QEMU 11.0 удалены оставшиеся платформы i386, arm, ppc и riscv32, а также проведена чистка кодовой базы и сборочной системы от компонентов для работы на 32-разрядных хостах.
• Реализован ускоритель виртуализации "nitro" ("-accel nitro") и новый тип эмулируемых систем "nitro", позволяющий запускать в QEMU изолированные анклавы на базе технологии конфиденциальных вычислений AWS Nitro Enclave, например, для локального тестирования в QEMU окружений Nitro Enclave. В AWS EC2 технология Nitro Enclave позволяет запускать в виртуальной машине вложенные изолированные анклавы для работы с конфиденциальными данными, выделяя им часть своих ресурсов.
• Улучшена поддержка ускорителей виртуализации MSHV (Microsoft Hypervisor) и WHPX (Microsoft Windows Hypervisor Platform Extensions).
• При использовании гипервизора KVM ("-accel kvm") предоставлена поддержка виртуализации расширения Intel CET (Control-flow Enforcement Technology) для применения в виртуальных машинах защиты от эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). Также добавлена поддержка перезагрузки конфиденциальных виртуальных машин, использующих для шифрования памяти расширения AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) и Intel TDX (Trust Domain Extensions).
• В устройство VirtIO-GPU, обеспечивающее работу виртуального GPU, добавлена возможность выставления отличающихся разрешений экрана для разных устройств вывода.
• В VirtIO-GPU добавлена поддержка контекстов DRM (Direct Rendering Manager native context), позволяющих повысить производительность работы с виртуальным GPU из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU. Поддержка контекстов DRM включается при использовании нового устройства virtio-gpu-gl с опцией "drm_native_context=on". В отличие от контекстов Virgl и Venus, работающих на уровне API OpenGL и Vulkan, контекст DRM реализован на уровне UAPI ядра Linux.
• Добавлена возможность использования языка C++ для разработки плагинов к генератору кода TCG (Tiny Code Generator).
• В блочный драйвер NFS добавлена поддержка сборки с библиотекой libnfs 6.
• В блочный драйвер curl добавлена опция "force-range" для принудительного использования HTTP-заголовка "Range" при загрузке образов без предварительной проверки его поддержки отдельным запросом с заголовком HEAD.
• В блочном драйвере FUSE отключена обработка операций экспорта в синхронном режиме, приводивших к блокировке запуска виртуальной машины до окончания обработки других FUSE-запросов. Добавлена возможность использования нескольких потоков ввода/вывода (iothread) при выполнении экспорта в FUSE.
• В эмулятор архитектуры x86 добавлена поддержка CPU Intel Diamond Rapids ("Xeon 7").
• В эмулятор архитектуры ARM добавлена процессорных расширений FEAT_ASID2 и FEAT_E2H0. В генераторе кода TCG реализована эмуляция расширений SME (Scalable Matrix Extension).
• В эмулятор архитектуры HPPA добавлена поддержка эмуляции 64-разрядных CPU c 40- и 44-разрядным адресным пространством. При помощи SeaBIOS-hppa 24 обеспечена инициализация PCI-контроллера Astro, позволяющая использовать PCI-видеокарты на 64-рядных системах.
• В эмуляторе архитектуры LoongArch появилась возможность миграции PMU (Performance Monitoring Unit) при использовании гипервизора KVM. В генераторе кода TCG реализована эмуляция расширений LA v1.1, sc.q и llacq/screl, а также инструкций FRECIP и DRECIP для вычисления обратных значений.
• В эмулятор архитектуры PowerPC добавлена поддержка снапшотов.
• В эмуляторе архитектуры RISC-V реализована поддержка CPU MIPS P8700 и расширений набора команд Zilsd, Zclsd, ZALASR и Smpmpmt.
• В эмуляторе архитектуры s390 появилась поддержка загрузки с устройств virtio-blk-pci и реализована эмуляции инструкции "DIVIDE TO INTEGER".
• Принято исправление, в 50-80 раз сокращающее задержки при работе fdmon (file descriptor monitoring) в режиме "aio=io_uring" и нахождении системы в состоянии простоя (idle).
  1. Главная ссылка к новости
  2. OpenNews: Разработчик io_uring выявил в QEMU проблему, в 50-80 раз замедлявшую fdmon в режиме простоя
  3. OpenNews: QEMU на пути удаления поддержки 32-разрядных хост-систем
  4. OpenNews: Выпуск эмулятора QEMU 10.2.0
  5. OpenNews: Выпуск Box64 0.4.0, эмулятора для запуска x86-игр на системах ARM64, RISC-V и Loongarch64
  6. OpenNews: Выпуск PCSX2 2.6.0, эмулятора Sony Playstation 2

В новой версии:

• Внесены изменения для улучшения совместимости с Python 3.12, 3.13 и 3.14, например, добавлена поддержка отложенной обработки аннотаций и нового синтаксиса аннотирования типов для обобщённых классов и функций.
• Добавлена экспериментальная возможность использования компилятора Zig (zig cc) в качестве бэкенда Си-компилятора в Nuitka.
• Добавлена предварительная поддержка LTO-оптимизаций при использовании компилятора Clang.
• Предложен декоратор "@nuitka_ignore" для исключения компиляции функций.
• Реализованы опции: "--project" для сборки с использованием настроек из файла pyproject.toml, "--devel-profile-compilation" для профилирования на этапе сборки, "--debug-self-forking" для отладки форк-бомб, "--include-windows-runtime-dlls" для управление включением C runtime DLL в Windows, "--qt-debug-plugins" для диагностики загрузки Qt-плагинов.
• Добавлена поддержка актуальных версий пакетов oracledb, win32ctypes, dask, dataparser, puremagic, pygments.lexers, tomli, av, sentry_sdk, jedi, parso, line_profiler и pandas.

Дополнительно можно отметить отчёт о прогрессе развития JIT-компилятора в CPython. Разработчики поставили перед собой цель поднять производительность JIT к выпуску CPython 3.15 на 5%, а к выпуску 3.16 повысить производительность на 10% и реализовать возможность использования JIT в режиме Free-threading (без глобальной блокировки). В текущем состоянии использование JIT в альфа-сборках CPython 3.15 уже демонстрирует в среднем ускорение на 11-12% на платформе macOS AArch64 и на 5-6% на платформе x86_64 Linux по сравнению со стандартным интерпретатором. При этом в отдельных тестах при включении JIT изменение производительности варьируется от ускорения на более чем 100%, до замедления на 20%.

1. Главная ссылка к новости
2. OpenNews: В Python добавлен JIT-компилятор
3. OpenNews: Выпуск Nuitka 2.2, компилятора для языка Python
4. OpenNews: CPython может сделать Rust обязательной сборочной зависимостью к версии 3.17
5. OpenNews: Динамика изменения кодовой базы проекта Python
6. OpenNews: Оценка изменения производительности CPython за последние 5 лет

В отличие от WSL2 в WSL9x не применяется виртуализация и ядро Linux выполняется в нулевом кольце защиты параллельно с ядром Windows, что позволяет использовать WSL9x на системах без поддержки аппаратной виртуализации, даже c CPU i486. В системе применяется модифицированное ядро Linux 6.19, собранное для работы в режиме UML (User-mode Linux), предназначенном для запуска ядра как пользовательского процесса. Обращение к POSIX API в UML-слое трансляции заменено на вызов API ядра Windows 9x.

В Windows загружается подготовленный проектом VxD-драйвер, отвечающий за инициализацию подсистемы WSL9x, загрузку и размещение ядра Linux в памяти, диспетчеризацию прерываний, цикличную передачу управления ядру Linux в режиме совместной многозадачности и обработку адресованных Linux-ядру событий из пространства пользователя, таких как выполнение системных вызовов и обращение к невыделенным страницам памяти (page faults). Так как размера таблицы дескрипторов прерываний (IDT, Interrupt Descriptor Table) в ядре Windows 9x недостаточно для установки обработчика прерывания 0x80, для системных вызовов Linux применяется обработчик GPF (General Protection Fault), перехватывающий исключения, возникающие при выполнении инструкции SYSCALL.

Для пользователей предлагается утилита wsl.com, оформленная в виде 16-разрядного DOS-приложения и позволяющая использовать командную строку MS-DOS для запуска Linux-программ. Утилита обеспечивает передачу событий ввода и симулирует функциональность консоли для отображения вывода с поддержкой ANSI escape-кодов.

1. Главная ссылка к новости
2. OpenNews: Выпуск WSL 2.7.0, прослойки для запуска Linux в Windows
3. OpenNews: Проект по адаптации подсистемы WSL2 для запуска FreeBSD в Windows
4. OpenNews: Microsoft открыл код Windows Subsystem for Linux и текстового редактора Edit
5. OpenNews: Первый выпуск Lima, окружения для запуска Linux-приложений в macOS
6. OpenNews: Apple открыл инструментарий для запуска Linux-контейнеров в macOS

Получение статуса "Fedora Verified" даст возможность участвовать в голосовании при выборе управляющих советов и выдвигать свою кандидатуру на руководящие позиции, вовлечённые в принятие решений (Fedora Council, FESCo, Mindshare Committee, EPEL Steering Committee). Кроме того, проверенным участникам может предоставляться доступ к дополнительным ресурсам проекта и образовательным программам, например, проводимым в компании Red Hat обучающим курсам.

Для получения статуса "Fedora Verified" участник должен быть вовлечён в работу над проектом как минимум в течение двух циклов подготовки релизов Fedora Linux (6-12 месяцев), иметь значимый вклад (например, написание кода, сопровождение пакетов, подготовка документации, дизайн, исправление ошибок или оказание поддержки), заслужить положительную репутацию в сообществе и не совершать действий, не соответствующих кодексу поведения Fedora.

До 5 мая проект проводит опрос целесообразности введения особого статуса. В опросе рассматриваются такие темы, как метод подтверждения (рекомендации или специальный комитет), оценка разных видов вклада (одинаково ли оценивать написание кода и сопутствующие активности, такие как дизайн, проведение мероприятий, поддержка и активизм), требования к участнику и необходимость переподтверждения после 12 месяцев неактивности.

1. Главная ссылка к новости
2. OpenNews: Готовность платформы совместной разработки Fedora Forge
3. OpenNews: Бета-тестирование Fedora Linux 44. Инициатива по продвижению инноваций в Fedora
4. OpenNews: Перенос разработки Fedora с Pagure на платформу совместной разработки Forgejo
5. OpenNews: Выпуск дистрибутива Fedora Linux 43
6. OpenNews: В Fedora утверждены правила использования AI-инструментов при разработке

Эндрю не видит особого смысла в исправлении старых драйверов, которыми, вероятно, уже никто не пользуется, и предлагает удалить их из ядра. В представленном для рецензирования наборе патчей удалено 18 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускавшихся до 2002 года. В случае одобрения Линуса Торвальдса удаление может быть произведено в ядре Linux 7.2, намеченном на середину августа.

Предложенные для удаления драйверы:

• 3com 3c509, 3c515, 3c574, 3c589 и 3c59x для серий 3Com EtherLinkIII, EtherLink XL "Corkscrew", "RoadRunner" и "Vortex".
• amd hplance, mvme147, 7990 lance и nmclan для HP300, Motorola MVME147 SBC, AMD PCnet32 (AT1500, NE2100), Allied Telesis AT1500, HP J2405A, Alchemy Semi AU1X00.
• smsc smc9194 и smc91c92, использовались на ноутбуках DELL c док-станциями и в ethernet-картах Megahertz, Motorola, Ositech и Psion Dacom.
• cirrus cs89x0 и mac89x0 для карт с чипами Crystal Semiconductor (Cirrus Logic) CS89[02]0, которые, например, использовались в платах iMX21ADS, компьютерах Macintosh и интегрировались в CPU EP93xx.
• fujitsu fmvj18x для Ethernet-карт с чипами Fujitsu FMV-J18x.
• xircom xirc2ps для выпускавшихся в конце 1990-х 16-разрядных PCMCIA-карт Xircom.
• 8390 AX88190, pcnet, ultra и wd80x3 - для NE2000-совместимых Ethernet-карт на чипах Asix AX88190, NS8390, SMC Ultra, SMC EtherEZ, WD8003 и WD8013, таких как D-Link DE-650, Linksys EthernetCard, Accton EN2212, RPTI EP400, PreMax PE-200, Thomas Conrad и Kingston KNE-PCM.

После публикации патчей к обсуждению подключилось несколько пользователей, которые заявили о наличии в своих инфраструктурах оборудования, использующего предложенные к удалению драйверы. Например, до сих пор используются Motorola MVME147, mac89x0 и 3com 3C905-B. Также упоминается, что удаляемые драйверы могут потребоваться для ретро-систем Alpha, SPARC, PA-RISC и 68000.

1. Главная ссылка к новости
2. OpenNews: Защита от мусорных AI-изменений на GitHub. Оценка влияния вайб-кодинга на экосистему открытого ПО
3. OpenNews: Эксперимент по использованию AI для рецензирования изменений в DRM-подсистеме ядра Linux
4. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI
5. OpenNews: Линус Торвальдс принял план передачи управления репозиторием ядра Linux в непредвиденных ситуациях
6. OpenNews: Интервью с Грегом Кроа-Хартманом о созданных через AI отчётах об ошибках

Некоторые проблемы:

• 11 проблем с безопасностью в Java SE. 7 уязвимостей в Java SE могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Три наиболее опасные проблемы в Java SE имеют уровень опасности 7.5 и затрагивают JavaFX (WebKitGTK), JAXP и сетевые функции. Уязвимости устранены в выпусках Java SE 26.0.1, 25.0.3, 21.0.11, 17.0.19, 11.0.31, 8u491. .
• 27 уязвимостей в сервере MySQL, из которых одна может быть эксплуатированы удалённо без прохождения аутенификации. Данной проблеме (CVE-2025-15467), которая вызвана переполнением буфера в библиотеке OpenSSL, присвоен критический уровень опасности (9.8). Менее опасные уязвимости затрагивают оптимизатор, JSON-парсер, систему репликации, InnoDB, DML, GIS-индексы, механизм партицирования и обработчик схемы БД. Проблемы устранены в выпусках MySQL Community Server 9.7.0, 8.4.9 и 8.0.46.
• 9 уязвимостей в VirtualBox, пять из которых помечены как опасные (7.5 из 10). Одна из уязвимостей может быть эксплуатирована удалённо по сети. Детали о характере уязвимостей не раскрываются. Проблемы устранены в выпуске VirtualBox 7.2.8.
• Одна уязвимость в Solaris, которая затрагивает ядро и позволяет локально повысить свои привилегии (уровень опасности 6.5 из 10). Уязвимость устранена в обновлении Solaris 11.4 SRU92. В новой версии Solaris также обновлены версии пакетов с исправлением уязвимостей: Django 5.2.12, 4.2.29, Firefox 140.8.0, Golang 1.25.8, Pillow 12.1.1, Thunderbird 140.8.0, pypdf 6.9.0, pyasn1 0.6.2 и vim 9.1.2148.
1. Главная ссылка к новости
2. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
3. OpenNews: Oracle опубликовал бесплатную редакцию Solaris 11.4.90 CBE
4. OpenNews: Компания Oracle опубликовала ядро Unbreakable Enterprise Kernel 8.2
5. OpenNews: Выпуск дистрибутива Oracle Linux 10.1
6. OpenNews: Выпуск VirtualBox 7.2.8

• В дополнениях для хост-окружений с Linux добавлена начальная поддержка ядер Linux 6.19 и 7.0, а также реализован аккаунтинг процессорного времени, потраченного на выполнение гостевых систем (при мониторинге нагрузки на систему гостевые системы теперь отслеживаются отдельно, а не как время потраченное на выполнение ядра Linux).
• В дополнениях для гостевых систем с Linux объявлен устаревшим входящий в поставку модуль ядра vboxvideo при использовании ядер Linux 7.0 и новее (для старых ядер он продолжает поддерживаться). Вместо данного модуля на системах с ядром Linux 7.0 следует использовать виртуальный графический адаптер VMSVGA или модуль vboxvideo из основного состава ядра Linux.
• В дополнениях для гостевых систем решены проблемы с доступом к буферу обмена и вставки из буфера обмена при запуске гостевой системы с графическим окружением на базе Wayland на хост-системах с Windows. Также решена проблема с пропаданием последнего символа в тексте, при его копировании в Windows через буфер обмена из Linux c Wayland.
• В дополнениях для хост-окружений и гостевых систем с Linux добавлена поддержка пакетов с ядром UEK9 из Oracle Linux 9, решены проблемы с ядрами из RHEL 10.1 и 10.2. Улучшена работа команд "rcvboxdrv setup" и "rcvboxadd setup", а также ускорен процесс инсталляции.
• Устранено аварийное завершение, возникающее при использовании в ветке FreeBSD 16 нескольких устройств, подключённых к контроллеру LSI Logic SAS.
• В трансляторе адресов решена проблема, приводившая к невозможности доступа к внутреннему DNS-серверу.
• В графической подсистеме решена проблема с заморозкой формы курсора, который переставал изменяться в зависимости от контекста, в гостевых системах с Ubuntu 25.10 и Wayland.
• В дополнениях для гостевых систем c Windows решена проблема с аварийным завершением (BSOD), приводившем к выводу ошибки DRIVER_OVERRAN_STACK_BUFFER.
• В компонентах UEFI исправлены ошибки, связанные с обновлением сертификата для UEFI Secure Boot и загрузкой гостевых систем с Windows 11.

1. Главная ссылка к новости
2. OpenNews: В VirtualBox добавлена предварительная поддержка работы поверх гипервизора KVM
3. OpenNews: Выпуск VirtualBox 7.2.6
4. OpenNews: Релиз системы виртуализации VirtualBox 7.2
5. OpenNews: Релиз Multipass 1.16, инструментария для развёртывания Ubuntu в виртуальных машинах
6. OpenNews: Выпуск гипервизора Xen 4.21

СУБД Cloudberry представляет собой распределённую редакцию открытой СУБД PostgreSQL, оптимизированную для выполнения аналитических запросов над большими массивами данных (Data Warehouse). Для параллельной обработки данных применяется массово-параллельная архитектура (MPP, massively parallel processing), обеспечивающая масштабируемость хранилища до петабайтных размеров за счёт разделения данных на сегменты и задействования для их хранения и обработки кластера из группы серверов.

Среди улучшений в Apache Cloudberry 2.1.0:

• Реализован протокол UDP2 для взаимодействия между узлами, позволивший повысить эффективность распределённого выполнения запросов.
• Добавлена поддержка MCP-сервера (Model Context Protocol) для упрощения интеграции с инструментами на базе больших языковых моделей.
• Добавлена возможность применения алгоритма LZ4 для сжатия столбцов таблиц с целью сокращения ввода/вывода и снижения потребления памяти.
• Улучшена работа оптимизатора ORCA.
• Скрипт greenplum_path.sh, используемый для настройки окружения пользователя СУБД, заменён на cloudberry-env.sh.
• Инструментарий для резервного копирования переименован в cloudberry-backup. В основной репозиторий включён плагин для хранилищ на базе протокола S3.

1. Главная ссылка к новости
2. OpenNews: Выпуск Apache Cloudberry 2.0.0, открытой альтернативы СУБД Greenplum
3. OpenNews: Broadcom перевёл в архив репозиторий СУБД Greenplum. В Arenadata создали форк
4. OpenNews: Проект Cloudberry, развивающий форк СУБД Greenplum, принят в инкубатор Apache
5. OpenNews: Корпорация EMC займется продвижением решений на базе PostgreSQL

Драйвер поддерживает чтение и запись данных в NTFS-разделах и может работать в широком спектре операционных систем, поддерживающих FUSE, в том числе в Linux, Android, macOS, FreeBSD, NetBSD, OpenBSD, Solaris, QNX и Haiku. Предоставляемая драйвером реализация файловой системы NTFS полностью совместима с операционными системами Windows XP, Windows Server 2003, Windows 2000, Windows Vista, Windows Server 2008, Windows 7/8/10/11. Набор утилит ntfsprogs позволяет выполнять такие операции, как создание NTFS-разделов, проверка целостности, клонирование, изменение размера и восстановление удалённых файлов. Общие компоненты для работы c NTFS, используемые в драйвере и утилитах, вынесены в отдельную библиотеку.

В новой версии в основном собраны накопившиеся за последние годы исправления ошибок. В утилите ntfsclone разрешено изменение размера загрузочного сектора NTFS при восстановлении образов. Из числа зависимостей исключена библиотека libdl при сборке без внешних плагинов. В утилите ntfsinfo реализован вывод информации о состоянии лога при сохранении дампа с метаданными.

Устранена уязвимость (CVE-2026-40706), вызванная переполнением буфера в функции ntfs_build_permissions_posix(). Уязвимость проявляется при включённой поддержке POSIX ACL и потенциально может привести к выполнению кода с правами root при обработке специально оформленных разделов или дисковых образов с ФС NTFS. Кроме того, в списке изменений присутствует несколько исправлений, явно не помеченных как уязвимости, но потенциально являющихся проблемами с безопасностью - несколько ошибок, приводящих к обращению к освобождённой области памяти, переполнение буфера при формировании имени резервной копии.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в драйвере NTFS-3G, потенциально позволяющая выполнить код с правами root
3. OpenNews: Уязвимости в драйвере NTFS-3G, позволяющие получить root-доступ в системе
4. OpenNews: Выпуск NTFS-3G 2021.8.22 с устранением уязвимостей
5. OpenNews: Из ядра Linux 6.9 удалён старый драйвер NTFS
6. OpenNews: В состав ядра Linux 7.1 принят новый драйвер для NTFS