Опубликован проект IDEmacs, нацеленный на создание конфигураций текстового редактора Emacs, по оформлению, клавиатурным комбинациям и стилю работы приближенных к популярным графическим редакторам кода и интегрированным средам разработки. Первым опубликован набор компонентов для эмуляции редактора кода VSCode (Visual Studio Code). Похожее на VSCode окружение воссоздано при помощи настроек, темы оформления и плагинов, таких как боковая панель для навигации по файлам Treemacs и панель вкладок Centaur Tabs, а также около 20 пакетов для изменения поведения и реализации расширенной функциональности в Emacs. Наработки проекта распространяются как общественное достояние.
Предполагается, что IDEmacs может оказаться полезен для программистов, желающих перейти на Emacs из других IDE, или начинающих разработчиков на Common Lisp и Scheme, которым требуется функциональность Emacs. IDEmacs предоставляет графический интерфейс, поддержку манипуляций мышью, типовые для популярных IDE клавиатурные комбинации, возможность настройки через GUI без правки файлов на Elisp.
Опубликован релиз Phosh 0.51, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, Droidian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру. Наработки проекта распространяются под лицензией GPLv3+.
В быстрые настройки добавлена кнопка для включения/отключения определения местоположения.
В быстрых настройках функция "caffeine" расширена возможностью отключения перехода в спящий режим на выбранный промежуток времени.
Улучшено управление яркостью экрана. Автоматически выбираемый уровень яркости теперь рассчитывается по среднему диапазону значений освещённости.
Ползунок яркости переведён с изменения абсолютного значения к выставлению смещения относительно автоматически выбранного уровня яркости. Рядом с ползунком изменения яркости размещён индикатор включения автоматической установки яркости. Реализован визуальный эффект для плавного перехода к новому автоматически выбранному значению яркости. На блок состояния добавлена кнопка для включения/выключения автовыставления яркости.
Добавлена возможность настройки минимального уровня яркости фонарика через hwdb/udev.
Композитный сервер Phoc переведён на использование выпуска wlroots 0.19.2.
В конфигуратор phosh-mobile-settings добавлена поддержка выбора звука будильника. В верхнюю панель добавлена пиктограмма плагинов к блоку быстрых настроек. Расширены настройки громкости.
В xdg-desktop-portal-phosh добавлен сервис для генерации миниатюр (thumbnailer). При навигации по каталогам в интерфейсе выбора файла, отсутствующие миниатюры, информирующие о типах контента в файлах, теперь генерируются на лету.
В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена информация об экране смартфона Fairphone 6.
Ранее проект развивал собственный рабочий стол NX Desktop, реализованный в форме надстройки над KDE Plasma, но теперь дистрибутив перешёл на поставку нового пользовательского окружения, построенного на базе композитного сервера Hyprland, панелей Waybar и Crystal Dock, меню приложений Wofi и меню завершения работы в системе Wlogout. Для запуска игр предложен композитный сервер Gamescope, развиваемый компанией Valve. Для вывода уведомлений задействован Sway Notification Center, а для показа экранных индикаторов - SwayOSD.
Композитный сервер Hyprland использует Wayland и предоставляет возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.
Другие изменения в выпуске Nitrux 5.0:
Для установки дополнительных программ задействованы инструментарий NX AppHub и формат AppBox, которые преподносятся как более предпочтительные, по сравнению с ранее используемым форматом AppImage. В дополнение к AppBox для установки программ поддерживаются
Flatpak и Distrobox.
Корневой раздел в дистрибутиве теперь монтируется в режиме только для чтения, а изменения накладываются при помощи инструментария NX Overlayroot (форк Overlayroot).
Вместо дисплейного менеджера SDDM для запуска сеанса задействован менеджер входа greetd и экран входа QtGreet.
Помимо пакета с ядром Linux 6.17.7, поставляемого с патчами Liquorix, предложен вариант ядра от проекта CachyOS. Добавлена поддержка механизма "sched_ext" (SCX), позволяющего использовать eBPF для создания планировщиков CPU.
Для редактирования настроек GTK3 задействован интерфейс nwg-look, а для конфигурирования вывода - nwg-displays.
Добавлены развиваемые компанией NVIDIA открытые модули ядра для GPU NVIDIA.
Для адаптивного изменения частоты экрана задействован фоновый процесс Hyprscreend.
В поставку включены программа для создания скриншотов Grimshot и архиватор Ark.
Из поставки удалены утилиты cmus, devmem2, ftp, kdotool и irqbalance. Прекращена поставка Waydroid, Kvantum Manager, KDEConnect.
Fcitx, AMD ROCm, dbab, DNScrypt-proxy, 0Install, Touchegg, PPPD, AIDE, Tor, torsocks, xpadneo, а также компонентов для поддержки протокола SPICE и гепервизора Hyper-V.
Обновлены версии пакетов, включая OpenRC 0.63, MauiKit/Maui Apps 4.0.2, NetworkManager 1.52.1, Pipewire 1.4.8, Flatpak 1.16.1, Podman 5.6.1, Docker 26.1.5, AppArmor 4.1.0, Python 3.13.7, Mesa 25.2.3,
XWayland 24.1.8, KDE Frameworks 6.13.0, Qt 6.8.2, Bluez 5.84.
Инсталлятор Calamares обновлён до версии 3.3.14.
Аджит Варма (Ajit Varma), вице-президент Mozilla по продукту Firefox, анонсировал новый режим просмотра - "AI Window", в котором будет предложено отдельное пространство взаимодействия с AI, дополняющее имеющийся стандартный режим навигации в Web и режим приватного просмотра. Функциональность AI Window пока находится в стадии разработки и недоступна для тестирования. Утверждается, что данный режим выйдет за рамки уже предлагаемого в Firefox чатбота, встраиваемого боковую панель, и позволит персонализировано взаимодействовать с AI-ассистентом и получать помощь во время просмотра web-страниц. Режим будет активироваться по желанию пользователя (opt-in, по умолчанию отключён). Похожая инициатива недавно была представлена компанией Google для Chrome.
Опубликован выпуск браузерного движка Servo 0.0.2 и развиваемого вместе с ним демонстрационного браузера ServoShell, написанных на языке Rust. По функциональности выпуск аналогичен ночной сборке от 14 ноября, для которой проведено дополнительное ручное тестирование. Готовые сборки предоставлены для Linux, Android, macOS и Windows.
Движок изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.
В движке отрисовки реализовано синтезированное жирное начертание символов (synthetic bold), при котором символы утолщаются программно без использования отдельного начертания шрифта.
Добавлена поддержка vsync для синхронизации начала отрисовки с кадровым гасящим импульсом.
Началось формирование родных arm64-сборок браузера ServoShell для macOS.
В прототипе браузера ServoShell для Android реализован экспериментальный режим, при котором активируются отключённые по умолчанию экспериментальные возможности, ещё до конца не стабилизированные и находящиеся в разработке. Обеспечена доставка событий касания к сенсорному экрану и вывод экранной клавиатуры при активации форм ввода событиями сенсорного экрана. Добавлена поддержка масштабирования щипком. Разрешена прокрутка экранной клавиатуры при её масштабировании.
Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение требуется в дополнение к имеющейся двухфакторной аутентификации, требующей ввод одноразового кода (TOTP - Time-based One-Time Password) помимо обычных учётных данных. При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется.
В качестве причины добавления новой проверки называется усиление защиты от фишинга. С недавних пор для обхода защиты при помощи двухфакторной аутентификации атакующие перешли к применению прозрачного проксирования трафика с фишинговых сайтов на реальный сайт pypi.org, из-за чего у пользователя создаётся ощущение работы с реальным каталогом PyPI. Страница входа также проксируется и атакующие контролируют не только изначально введённый пароль входа, но и ответ на проверочный запрос второго фактора аутентификации.
Дополнительный запрос подтверждения полномочий с предупреждением о попытке входа с нового устройства предотвратит компрометацию в случае перехвата TOTP-кода и пароля, а также насторожит разработчиков, не менявших оборудование. В ходе проксирования атакующие могут перехватить параметры учётной записи и введённый одноразовый код TOTP, но не могут повлиять на подтверждение по еmail, требующее клика на указанной внутри письма ссылке.
Если пользователь получил проверочное письмо, но не пытался войти в каталог PyPI, то не следует переходить по ссылке. Если попытка входа была, но устройство не менялось, следует проверить не была ли попытка входа через фишинговый сайт и в случае выявления атаки срочно поменять пароль и проверить активность в учётной записи.
В ноябрьском бюллетене безопасности Android опубликована информация об уязвимости CVE-2025-48593 в подсистеме Bluetooth, которая затрагивает версии Android с 13 по 16. Уязвимости присвоен критический уровень опасности (9.8 из 10) так как она может привести к удалённому выполнению кода при обработке специально оформленных Bluetooth-пакетов.
Компания Google пока не раскрывает детального описания уязвимости, но независимые исследователи утверждают, что проблема не затрагивает обычные смартфоны и касается только Bluetooth-устройств, способных выступать в роли громкоговорителя, таких как умные колонки, умные часы и автомобильные информационно-развлекательные системы. Для эксплуатации требуется, чтобы пользователь выполнил сопряжение своего устройства с устройством атакующего, т.е. для блокирования проблемы обходным путём достаточно не принимать сомнительные запросы на сопряжение (в бюллетене Google упомянуто, что для эксплуатации не требуется совершение действий пользователем).
Исправление сводится к добавлению вызова для проверки существования Discovery Database при работе с Bluetooth-профилем Handsfree и остановки поиска пиров с использованием протокола SDP (Service Discovery Protocol), а также сбросу и очистке структуры p_disc_db ("discovery database). Определённые манипуляции по возвращению ошибок и возобновлению соединений в процессе определения Bluetooth-сервиса и согласования взаимодействия сервера с клиентом приводят к обращению к уже освобождённой области памяти (use-after-free).
Исправление уже перенесено в кодовую базу LineageOS. Доступен ранний прототип эксплоита, вызывающий аварийное завершение при запуске Android в специальном эмуляторе. В сети также замечены попытки продажи рабочего эксплоита, но, судя по всему, это попытки распространения вредоносного ПО или продажи пустышки мошенниками.
Кроме этой уязвимости, в ноябрьском обновлении Android присутствует исправление уязвимости CVE-2025-48581, приводящей к повышению привилегий. Проблема затрагивает только Android 16 и помечена как опасная.
Причиной уязвимости является логическая ошибка в функции VerifyNoOverlapInSessions из файла apexd.cpp, позволяющая блокировать установку обновлений с исправлением проблем безопасности. Отмечается, что уязвимость можно использовать для локального повышения привилегий. Для совершения атаки не требуется выполнение действий пользователем.
Сформировано второе корректирующее обновление дистрибутива Debian 13, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 123 обновления с устранением проблем со стабильностью и 55 обновлений с устранением уязвимостей.
Из изменений в Debian 13.2 можно отметить обновление до свежих стабильных версий пакетов 7zip, ansible-core, dkms, epiphany-browser,
evolution, fonts-noto-color-emoji, mailmindr, nextcloud-desktop, openssl, patroni, postfix, qemu,
quicktext, samba, systemd, tbsync, ublock-origin и xnote.
Из дистрибутива удалён пакет "rust-profiling-procmacros", помеченный как неиспользуемый.
Для загрузки и установки "с нуля" в ближайшие часы будут подготовлены установочные сборки c Debian 13.2. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.2, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.
Опубликован очередной еженедельный отчёт о разработке KDE. Наиболее заметные изменения, развиваемые для выпуска KDE Plasma 6.6, запланированного на 12 февраля:
В программу для создания скриншотов Spectacle встроена функция оптического распознавания символов (OCR), позволяющая преобразовывать присутствующие на изображении слова в выделяемый текст. В текущем виде функциональность OCR ограничена Spectacle, но в дальнейшем её планируют выделить в библиотеку и задействовать в других приложениях KDE. Распознавание текста осуществляется при помощи пакета
Tesseract и активируется только при его наличии в системе.
Переработано оформление диалогов подтверждения полномочий и выбора приложения для обработки определённого контента.
Переработан интерфейс настройки виджета с таймером (вместо двух страниц предложен унифицированный блок настроек).
Объединены на одной странице разрозненные настройки системного лотка.
В интерфейсе смены темы оформления предоставлена возможность предпросмотра тёмных вариантов тем оформления GTK.
Обеспечено запоминание отказа регистрации последовательности клавиш, запрашиваемой при запуске приложения (при последующих запусках повторные запросы больше не выводятся).
Обеспечено сохранение позиции пиктограммы на рабочем столе после переименования файла или каталога.
Повышено качество и чёткость отображения информации при использовании нецелого коэффициента масштабирования в сочетании с программным рендерингом.
Цикличное аварийное завершение процесса больше не приводит к исчерпанию памяти и зависанию системы.
В набор пиктограмм Breeze добавлена пиктограмма для файлов с кодом на языке Nim.
Изменения в кодовой базе, на основе которой будет сформирован выпуск KDE Plasma 6.5.3:
Добавлена поддержка перемещения мышью вкладки из окна Chromium/Chrome в отдельное окно с возможностью его быстрого закрепления с выравниванием по краю или углу экрана.
Улучшено применение темы оформления Breeze к приложениям на базе GTK 4, например, теперь корректно обрабатывается скругление углов.
Повышена чёткость отображения информации при использовании нецелого коэффициента масштабирования.
Обеспечена совместимость колонки "избранное" в меню приложений Kicker с различными типами пиктограмм из нестандартных наборов.
Портал xdg для работы с буфером обмена теперь может использоваться в сеансах удалённой работы с рабочим столом и при помещении в основной буфер обмена при помощи средней кнопки мыши.
Устранено аварийное завершение KRunner при поиске в системах на базе Си-библиотеки Musl.
Устранена блокировка работы KWin при интенсивном вводе/выводе.
Устранено аварийное завершение менеджера приложений Discover при возникновении ошибок во время установки приложений в формате Flatpak.
Добавлено обходное решение проблемы в ядре, мешавшей первому переходу в спящий режим.
Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 10.19. С момента выпуска 10.18 было закрыто 34 отчёта об ошибках и внесено 439 изменений.
Добавлена поддержка механизма Reparse Point, при помощи которого можно прикреплять к файлам и каталогам дополнительные данные, идентифицируемые через теги. Добавлены флаги для чтения, создания и удаления объектов Reparse Point. Обеспечена поддержка Reparse Point в функциях NtQueryDirectoryFile(), get_file_info(), fd_get_file_info(), DeleteFile() и RemoveDirectory().
Закрыты отчёты об ошибках, связанные с работой приложений: MS Office 2007, Affinity Photo 2, mIRC 7.81, Pegasus Mail, explorer.exe, foobar2000.
Закрыты отчёты об ошибках, связанные с работой игр:
Puyo Puyo Tetris, HighFleet, Metro 2033, Project CARS, Enemy Territory: Quake Wars SDK 1.5, Airline Tycoon, Horizon Zero Dawn, Total Annihilation, Elasto Mania II, Starcraft: Brood war,
Baldur's Gate 3.
Одновременно сформирован выпуск проекта Wine Staging 10.19, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 256 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 10.19 и обновлён код vkd3d. В основной состав Wine перенесены патчи с реализацией механизма Reparse Points, а также улучшения, связанные с поддержкой символических ссылок в ntdll, реализацией класса FileAttributeTagInformation в ntdll и функции D3DX11CreateTextureFromMemory() в d3dx11.
Компания Red Hat представила релиз дистрибутива Red Hat Enterprise Linux 10.1, а также обновление прошлой ветки - Red Hat Enterprise Linux 9.7. Готовые установочные образы доступны для зарегистрированных пользователей Red Hat Customer Portal (для оценки функциональности можно использовать общедоступные iso-образы CentOS Stream 10, а также бесплатные сборки RHEL для разработчиков). Выпуск сформирован для архитектур x86_64, s390x (IBM System z), ppc64le (POWER9), Aarch64 (ARM64) и RISC-V (preview). В соответствии с 14-летним циклом поддержки дистрибутива RHEL 10 будет сопровождаться до 2035 года + 4 года расширенной платной поддержки. Обновления для RHEL 9 продолжат выпускаться до конца мая 2032 года, а RHEL 8 - 2029 года.
Пакеты RHEL не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, загруженных через клиентский портал, что создаёт юридические риски при использовании этих пакетов для создания производных дистрибутивов. Исходные тексты RHEL остаются доступны в репозитории CentOS Stream, но он не полностью синхронизирован с RHEL и версии пакетов в нём не всегда совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.
Основные изменения в RHEL 10.1 (большинство из отмеченных изменений присутствует и в RHEL 9.7):
Во всех системных криптографических политиках (crypto-policies) по умолчанию включены постквантовые алгоритмы шифрования. Библиотека OpenSSL обновлена до версии 3.5 с поддержкой постквантовых криптоалгоритмов ML-KEM, ML-DSA и SLH-DSA, поддержкой протокола QUIC и добавлением гибридного варианта ML-KEM в группу алгоритмов, применяемых по умолчанию в TLS. В пакет rpm-sequoia добавлена поддержка OpenPGP v6.
Добавлена поддержка eDNS (Encrypted DNS), позволяющая использовать протокол DoT (DNS over TLS) для шифрования DNS-трафика.
Добавлена поддержка цифровых подписей пакетов, реализованных в формате RPM6. Предоставлена экспериментальная поддержка заверения цифровой подписью RPM-пакетов, используя инструментарий Sequoia PGP.
В пакетном менеджере RPM реализовано сохранение контрольных сумм SHA256 и SHA512 каждого устанавливаемого rpm-пакета, для того чтобы в последующем убедиться, что установленный пакет соответствует заданному rpm-файлу.
В systemd реализована поддержка мягкой перезагрузки (команда "systemctl soft-reboot"), приводящей к перезапуску только компонентов пространства пользователя, не трогая ядро Linux. В данном режиме при перезагрузке не применяются стадии инициализации оборудования, вызова загрузчика, запуска и загрузки ядра, инициализации драйверов, загрузки прошивок и обработки initrd, что позволяет заметно ускорить перезапуск и уменьшить время простоя во время обновления окружений, использующих готовые системные образы. В режиме soft-reboot осуществляется завершение работы всех процессов в пространстве пользователя, замена образа корневой ФС на новую версию и запуск процесса инициализации системы, не перезагружая ядро.
Предоставлена возможность установки стеков высокопроизводительных вычислений, таких как CUDA от NVIDIA и ROCm от AMD, из репозиториев, поддерживаемых Red Hat в сотрудничестве с NVIDIA и AMD.
Добавлен новый AppStream-компонент и утилита rhel-drivers для упрощения установки и обновления сторонних драйверов к GPU и AI-ускорителям. Поддерживается установка сложных наборов драйверов из репозиториев RHEL, например, охватывающих модуль ядра NVIDIA и библиотеки CUDA. Для установки необходимых драйверов в большинстве случаев теперь достаточно выполнить "dnf install rhel-drivers; rhel-drivers install --auto-detect".
В ядро Linux добавлена подсистема fwctl (Firmware Control), предоставляющая API для безопасного управления прошивками и выполнения обработчиков на стороне прошивок из пространства пользователя.
Улучшены возможности ядра, связанные с отслеживанием состояния системы и энергопотребления. Добавлена поддержка аппаратных счётчиков производительности CPU Intel Panther Lake. Добавлена возможность отслеживания энергопотребления при помощи событий интерфейса Intel RAPL (Running Average Power Limit) на системах с CPU Intel Arrow Lake U. Добавлена поддержка идентификаторов устройств Intel Trace Hub (NPK) на системах с CPU Intel Panther Lake, а также core- и uncore-событий на системах с CPU Intel Clearwater Forest. Предоставлена поддержка сбора данных об энергопотреблении каждого ядра CPU на системах с CPU AMD Milan. Расширены возможности отладки в отладчике python-drgn.
Подсистема eBPF синхронизирована с ядром 6.14. Инструментарий perf синхронизирован с ядром 6.15.
Расширены возможность инструментария для создания собственных загрузочных образов (Image Builder). Добавлен экспериментальный вариант Image Builder, работающий из командной строки без GUI. Реализована возможность формирования образов для Windows-подсистемы WSL2 (Windows Subsystem for Linux). Реализован новый тип образов vagrant-libvirt и добавлена поддержка libvirt для упрощения запуска виртуальных машин с RHEL при помощи инструментария Vagrant.
Под защиту SELinux переведены systemd-сервисы switcheroo-control
и tuned-ppd. Модули с политиками для SELinux, связанные с пакетами из репозитория EPEL, перемещены в репозиторий CRB в пакеты с окончанием "-extra".
Добавлена поддержка идентификации типов устройств virtio, используемых в гостевых системах, при помощи команды lszdev (ранее все подобные устройства имели тип generic-ccw).
В пакет с realtime-вариантом ядра добавлены модули для гипервизора KVM (ранее для них собиралось отдельное ядро kernel-rt-kvm).
В системное окружение инсталлятора добавлена команда "rpm". В загрузочное меню установочных образов добавлена опция
"fips=1" для включения на этапе инсталляции режима выполнения требований FIPS 140 (Federal Information Processing Standards) при генерации ключей.
В сетевом конфигураторе NetworkManager реализована возможность прикреплять отдельные настройки перенаправления пакетов IPv4 к сетевым интерфейсам, используя опцию "ipv4.forwarding". Добавлена настройка "prefix-delegation", позволяющая использовать свойство "subnet-id" для выбора подсети на нижестоящем сетевом интерфейсе при использовании делегирования префиксов IPv6. В утилиту nmtui добавлена возможность настройки loopback-интерфейса.
Для СУБД PostgreSQL добавлено дополнение PostGIS.
В Glibc перенесены функции sched_setattr и sched_getattr, через которые можно выставить/прочитать параметры планировщика задач. На практике функции позволяют настраивать политики планирования запросов, такие как SCHED_DEADLINE, в которых используются дополнительные параметры, помимо приоритета.
В IdM добавлена полная поддержка HSM (Hardware Security Modules). Объявлена стабильной возможность использования команды ipa-migrate для переноса всех IdM-данных, таких как правила sudo, HBAC, диапазоны DNA, списки хостов и сервисов, с одного IdM-сервера на другой.
В SSSD улучшена аутентификация при помощи смарткарт в окружениях с несколькими одновременно подключёнными токенами PKCS#11. Добавлена опция ldap_read_rootdse для управления тем, как SSSD читает содержимое RootDSE (Root Directory Service Entry).
В контейнерах Toolbx, созданных на базе образов UBI, обеспечена работа из коробки OpenGL и Vulkan без необходимости ручной установки связанных с данными API компонентов Mesa.
Для виртуальных машин, запускаемых на хост-системах с архитектурой ARM64, реализована поддержка live-снапшотов, режимов миграции "Pre-copy", "Post-copy" и "Multi-FD", live-миграции с virtiofs.
Добавлена поддержка прямой загрузки ядра в виртуальных машинах, настроенных для работы в режиме SecureBoot.
Улучшена поддержка воспроизводимой сборки контейнеров. Добавлен новые образы контейнеров rhel10/valkey-8, rhel10/nodejs-24 и rhel10/nodejs-24-minimal с преднастроенными СУБД Valkey и платформой Node.js.
Для систем ARM64 предоставлена экспериментальная поддержка инструментария ReaR (Relax-and-Recover) и архитектуры CCA (Confidential Compute Architecture) в виртуальных машинах.
Добавлен экспериментальный вариант устройства vDPA (virtio Data Path Acceleration), реализованный в пространстве пользователя при помощи фреймворка VDUSE. VDUSE позволяет создавать виртуальные блочные устройства в пространстве пользователя и применять Virtio в качестве транспорта для доступа из гостевых систем.
Реализована экспериментальная возможность использования механизма Virtual Socket (vsock) для бриджинга TCP, позволяющего организовать в виртуальных машинах работу сетевых сервисов, таких как SSH, без настройки сети (осуществляется прямой проброс соединений из хост-окружения в сервис через vsock).
Объявлены устаревшими FTP клиенты и серверы: ftp,
lftp и vsftpd. Переведена в разряд неподдерживаемых и запланированных к удалению утилита ipset.
Добавлены новые драйверы:
intel_vpu для Intel NPU (Neural Processing Unit),
tuner для разных моделей TV-тюнеров,
btmtk для Bluetooth-чипов MediaTek,
tpm_svsm для SNP SVSM vTPM (virtual Trusted Platform Module),
ae4dma для AMD AE4DMA,
ptdma для AMD PassThru DMA,
ch7006 для TV-кодировщика Chrontel ch7006,
cirrus-qemu для эмуляции видеокарт Cirrus Logic,
drm_gpusvm для DRM GPUSVM,
hid-corsair-void для ганитур Corsair Void,
intel-thc для Intel Touch Host Controller,
intel-quicki2c для Intel QuickI2C,
intel-quickspi для Intel QuickSPI,
cx231xx для USB-видеокарты Conexant cx231xx,
cx25840 для аудио/видео декодера Conexant CX25840,
as21xxx для сетевых карт Aeonsemi AS21xxx,
iwlmld для беспроводных устройств Intel MLD,
mxl-86110 для сетевых карт MaxLinear MXL86110,
microchip_rds_ptp для Microchip PHY RDS PTP,
realtek для сетевых карт Realtek,
gs_usb для USB интерфейсов для шины CAN от Geschwister Schneider и candleLight,
amd_3d_vcache - AMD 3D V-Cache Performance Optimizer.
Компания Google подвела итоги использования компонентов на языке Rust в платформе Android. Стратегия по внедрению в Android методов безопасной разработки для нового кода оказалась успешной. В 2025 году впервые доля уязвимостей, вызванных ошибками при работе с памятью, оказалось меньше 20% от общего числа уязвимостей. Для сравнения в 2024 году этот показатель в Android составлял 24%, а в 2019 году - 76%. При этом средний показатель по индустрии продолжает оставаться на уровне 70%.
Использование кода на Rust при разработке системных компонентов Android началось в 2020 году. В 2025 году объём нового кода на Rust в Android превысил объём добавляемого за год кода на C и C++.
Накопленная статистика подтверждает ранее высказанное предположение, что основным источником проблем с безопасностью является новый код, а для старого кода наблюдается экспоненциальная зависимость безопасности от времени - со временем в старом коде ошибки выявляются всё реже и реже. В конечном счёте в Google решили не пытаться переписать старый код на языках безопасно работающих с памятью, а сосредоточиться на использовании подобных языков для нового кода.
Помимо безопасности внедрение Rust положительно повлияло на скорость, продуктивность и качество разработки. Для кода на Rust зафиксировано в 4 раза меньше откатов изменений в результате выявления непредвиденных ошибок, а также снижение времени рецензирования на 25%.
При включении в состав Android изменений сопоставимого размера, изменения на Rust требуют примерно на 20% меньше ревизий, чем их эквиваленты на C++.
Данные показатели объясняются упрощением тестирования и смещением выявления ошибок на ранние стадии разработки, на которых ошибки становятся заметны ещё до того, как разработчик приступает к проверке кода. Кроме того, за счёт исключения накладных расходов на sandbox-изоляцию в коде на Rust удалось добиться повышения производительности.
Из недавних проектов, связанных с использованием Rust в Android, отмечено задействование в ядре Linux 6.12 первого широко применяемого драйвера на языке Rust, а также использование Rust при разработке прошивок и прикладных приложений. Помимо уже применяемого в ядре драйвера на Rust, совместно с компаниями ARM и Collabora на данном языке развивается новый драйвер GPU. Реализован на языке Rust и задействован в Google Play Services протокол Nearby Presence для обнаружения локальных устройств по Bluetooth. Для включения в следующий релиз приложения Google Messages запланировано включение новой реализации протокола MLS, написанной на Rust. В браузерном движке Chromium задействованы написанные на Rust парсеры для web-шрифтов, изображений PNG и формата JSON.
В настоящее время в Android на Rust написано около 5 млн строк кода, в которых выявлена лишь одна потенциальная уязвимость, вызванная проблемами при работе с памятью. Таким образом плотность подобных уязвимостей в коде на Rust составила 0.2 уязвимости на миллион строк кода. Для сравнения в коде на языках C и C++ данный показатель составляет около 1000 уязвимостей на миллион строк кода. Ключевым источником проблем в Rust является код, находящийся в unsafe-блоках. Доля подобного кода оценивается в 4% от всего кода, написанного на Rust.
Отмеченная выше уязвимость CVE-2025-48530 найдена в библиотеке Crabby Avif, включающей парсер и декодировщик для формата Avif. Проблема была выявлена сотрудниками Google до публикации релиза и не затронула пользователей. Уязвимость вызвана ошибкой в unsafe-блоке, приведшей к переполнению буфера. Отмечается, что даже если бы ошибка не была замечена её эксплуатация была бы блокирована поставляемой в Android системой распределения памяти Scudo, по умолчанию задействованной в прошивках для Google Pixel и некоторых других устройств.
В LightDM KDE Greeter, развиваемой проектом KDE реализации экрана входа в систему, построенной на фреймворке LightDM, выявлена уязвимость (CVE-2025-62876), позволяющая поднять привилегии с непривилегированного пользователя lightdm, под которым запускается LightDM, до пользователя root. Уязвимость устранена в версии lightdm-kde-greeter 6.0.4.
Уязвимость выявлена командой проекта SUSE после рецензирования заявки на добавление пакета lightdm-kde-greeter в репозиторий openSUSE Tumbleweed. Проблема присутствует в DBus-сервисе, позволяющем пользователям настраивать собственные темы оформления экрана входа в систему. Сервис реализован в форме обработчика KAuth, запускаемого с правами root. Уязвимость вызвана наличием в коде отдельной логики для обработки настроек, начинающихся со строки "copy_". Для подобных настроек с правами root вызывалась функция, копирующая заданный файл в каталог /var/lib/lightdm, принадлежащий пользователю lightdm. Данная операция применялась для загрузки изображений из каталога пользователя, которые LightDM не мог прочитать напрямую во время отображения экрана входа в систему из-за прав доступа.
Операция копирования выполняется с правами root и после копирования меняется владелец результирующего файла, поэтому данную возможность можно использовать для копирования в публично доступный каталог /var/lib/lightdm файлов, к которым обычные пользователи не имеют доступа, таких как /etc/shadow. Более того, через создание в каталоге /var/lib/lightdm символической ссылки с именем переносимого файла можно организовать перезапись любых файлов в системе.
Если выполнение обработчика смены темы оформления LightDM разрешено в настройках Polkit для непривилегированных пользователей, то рассмотренная уязвимость позволяет поднять привилегии любого пользователя до root. Тем не менее, на практике в Polkit для выполнения данного действия обычно требуется право "auth_admin_keep", подразумевающее необходимость ввода пароля администратора. В этих условиях атака может быть совершена при наличии доступа с правами пользователя lightdm.
Так как для совершения атаки требуются манипуляции с правами пользователя lightdm проблеме присвоен низкий уровень опасности. Предполагается, что уязвимость может применяться в качестве второго звена для повышения привилегий после успешной эксплуатации иной уязвимости в LightDM, позволившей получить доступ к выполнению кода с правами пользователя lightdm.
Компания Valve опубликовала релиз проекта Proton 10.0-3, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Выпуск 10.0-3 отмечен как первый стабильный релиз ветки 10.0 (прошлые обновления в данной ветке имели статус тестовых версий). Наработки проекта распространяются под лицензией BSD.
Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 8/9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы "esync" (Eventfd Synchronization) и "futex/fsync".
После шести месяцев разработки опубликован выпуск инструментария CRIU 4.2 (Checkpoint and Restore In Userspace), предназначенного для сохранения и восстановления процессов в пространстве пользователя. Инструментарий позволяет сохранить состояние одного или группы процессов, а затем возобновить работу с сохранённой позиции, в том числе после перезагрузки системы или на другом сервере без разрыва уже установленных сетевых соединений. Код проекта написан на языке Си и распространяется под лицензией GPLv2. CRIU применяется в таких системах управления контейнерами, как OpenVZ, LXC/LXD и Docker. Необходимые для работы CRIU изменения включены в основной состав ядра Linux.
Из областей применения технологии CRIU отмечается обеспечение перезагрузки ОС без нарушения непрерывности выполнения длительно выполняемых процессов, Live-миграция изолированных контейнеров, ускорение запуска медленных процессов (можно начать работу с состояния, сохранённого после инициализации), проведение обновлений ядра без перезапуска сервисов, периодическое сохранение состояния длительно выполняемых вычислительных задач для возобновления работы в случае аварийного завершения, балансировка нагрузки на узлы в кластерах, дублирование процессов на другую машину (fork на удалённую систему), создание снапшотов пользовательских приложений в процессе работы для их анализа на другой системе или на случай если потребуется отменить дальнейшие действия в программе.
В плагине amdgpu реализована возможность распараллеливания восстановления состояния процессов, использующих GPU.
Добавлена опция "--allow-uprobes", позволяющая работать с процессами, которые используют vma (Virtual Memory Area) при трассировке процессов через механизм uprobe.
В библиотеке libcriu добавлена возможность задания файла конфигурации RPC для runtime контейнеров, использующих данную библиотеку, таких как crun. Например, реализованная возможность может быть полезной для установки опций, таких как "--tcp-established", через файл /etc/criu/runc.conf для Kubernetes.
Решены проблемы с компиляцией на ARM64-системах с Си-библиотекой musl.
Устранено целочисленное переполнение в функции pagemap_len().
Решены проблемы с использованием getsockopt-опций SO_PASSCRED и SO_PASSSEC на системах с ядром Linux 6.16.
