Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.4, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• Разработчики ONLYOFFICE прислушалась к пожеланиям Фонда СПО и организации Software Freedom Conservancy и удалили спорные условия, добавленные поверх лицензии AGPL и требующие сохранения в производных продуктах оригинального логотипа ONLYOFFICE. Дополнительные условия в обновлённой лицензии теперь сводятся к типовым пунктам о необходимости сохранять примечания об авторских правах, лицензии и авторах. При модификации предписано упоминать, что продукт основан на ONLYOFFICE, и показывать соответствующее уведомление в графическом интерфейсе. В лицензии также указано, что она не предоставляет прав на использование товарного знака ONLYOFFICE, который распространяется под отдельными условиями.
• В Community-версии ONLYOFFICE Docs убрано ограничение в 20 одновременных подключений и прекращено выполнение минификации публикуемого кода. Упрощена архитектура (все компоненты объединены в один процесс), а также убраны лишние зависимости и привязки к RabbitMQ и СУБД, что позволяет использовать ONLYOFFICE Docs на более слабом оборудовании.
• В редакторе электронных таблиц при выборе тёмной темы оформления реализована возможность переключения на тёмный фон рабочей области электронной таблицы.
• Добавлена возможность вставки горизонтальных линий для наглядного разделения секций в документе и упрощения читаемости.
• Переработаны инструменты для заполнения форм. Добавлена поддержка привязки к форме определённых получателей и наглядного отслеживания состояния заполнения формы прямо в редакторе.
• Добавлена возможность сохранения изображения подписи для его быстрого прикрепления к нескольким документам без необходимости повторной загрузки для каждого документа (при заполнении полей с подписью теперь по умолчанию автоматически предлагается последнее выбранное изображение).
• В редакторе презентаций предложено 25 новых шаблонов оформления презентаций.
• В редакторе презентаций предложено 20 новых визуальных эффектов перехода между слайдами.
• Для всех редакторов доступна новая вкладка "Chart Design", сводящая воедино все настройки, связанные с диаграммами.
• Расширены возможности для вставки внешнего содержимого в документы, PDF-файлы и презентации, без нарушения исходного форматирования таблиц и текста с разметкой.
• В мобильное приложение добавлена отдельная кнопка для сохранения документа, позволяющая отключить автозапись и вручную контролировать сохранение на системах с неустойчивым сетевым соединением.

1. Главная ссылка к новости
2. OpenNews: Фонд СПО и SFC призвали ONLYOFFICE удалить ограничения, добавленные поверх лицензии AGPL
3. OpenNews: Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии
4. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.3
5. OpenNews: Выпуск офисного пакета LibreOffice 26.2
6. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Причиной удаления стало отсутствие активности в группе сопровождающих deepinde-sig и заброшенный характер пакетов, остающихся длительное время без исправления серьёзных ошибок и предположительно имеющих неустранённые уязвимости. Некоторые из неисправленных ошибок приводили к проблемам со сборкой из исходного кода (FTBFS) или сбоям при установке (FTI).

Месяц назад участники FESCo приняли решение отсрочить удаление пакетов и попытались связаться с сопровождающими пакеты Deepin для уточнения состояния проекта. Разработчикам удалось связаться с главным сопровождающим, который пояснил, что не против удаления пакетов из репозитория, так как все участники группы deepinde-sig слишком загружены основной работой и у них нет времени на продолжение сопровождения пакетов с Deepin для Fedora, а попытки привлечь новых сопровождающих не увенчались успехом.

Год назад пакеты с Deepin были удалены из репозиториев openSUSE из-за того, что сопровождающий Deepin попытался обойти принятые в openSUSE правила рецензирования пакетов и не уведомив команду, отвечающую за безопасность, разместил в репозитории пакет "deepin-feature-enable", который устанавливал дополнительные компоненты, не прошедшие проверку и содержащие неустранённые проблемы с безопасностью. Если пользователь подтверждал операцию, в обход штатных механизмов установки системных компонентов осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D-Bus и политик Polkit из tar-архивов, включённых в состав пакетов deepin-daemon-dbus и deepin-daemon-polkit. В пакетах для Fedora подобные манипуляции не производились, но и не было требований по обязательному рецензированию безопасности сервисов D-Bus и политик Polkit (некоторые компоненты Deepin не прошли рецензирование в SUSE Security Team и сопровождающий пакеты в openSUSE организовал их установку обходным путём).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Deepin 25.1, развивающего собственное графическое окружение
3. OpenNews: openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM
4. OpenNews: Выпуск дистрибутива UbuntuDDE 23.04 с рабочим столом Deepin

Для загрузки доступны две версии: полная (121 ГБ zip), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM.

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby). Для тестирования также доступны:

• Scheme A - первая ОС, выпущенная в 1951 году.
• IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.
• B5000 MCP - первая ОС на высокоуровневом языке.
• CTSS - первая многопользовательская ОС (1961-72).
• Multics - первая ОС с иерархической файловой системой (1964), предок Unix.
• Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).
• ОС для мэйнфреймов.
• Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.
• Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.
• Visi On (1983) - первый GUI для ПК.
• Разные редакции CP/M и DOS.
• Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.
• Пререлизы старых ОС Windows.
• EPOC, Palm OS - ОС для первых карманных ПК.
• Linux-дистрибутивы 1990-х и 2000-х годов.
• Ранние версии Android (2007-11).
• Операционные системы, развиваемые энтузиастами.

1. Главная ссылка к новости
2. OpenNews: NsCDE, ретро-окружение в стиле CDE, поддерживающее современные технологии
3. OpenNews: cool-retro-term - эмулятор терминала, симулирующий вывод на ретро дисплеях
4. OpenNews: В рамках проекта OpenPacket.org создан "музей" сетевого трафика
5. OpenNews: Исходные тексты Lisa OS будут открыты и переданы в музей компьютерной истории

Основные новшества в Firefox 151 (1, 2, 3, 4):

• Обновлено оформление страницы, показываемой при открытии новой вкладки (логотип перемещён в центр, смещена вниз строка поиска, включено фоновое изображение, которое можно сменить в настройках). Новый дизайн оптимизирован для интеграции на страницу новых возможностей (например, виджеты и улучшение работы с ярлыками), включение которых ожидается в следующем релизе.
• В режиме приватного просмотра реализована новая кнопка "End Private Session" (пиктограмма с изображением огня справа от адресной строки), через которую можно мгновенно очистить все данные текущего приватного сеанса, не закрывая при этом окно браузера (сайты, до этого открытые в режиме приватного просмотра, закрываются и остаётся пустой сеанс).
• Во встроенном просморщике PDF реализована функция объединения нескольких страниц в документе.
• Встроенный интерфейс перевода с одного языка на другой теперь доступен для вызова через секцию "More Tools" в основном меню.
• Строка поиска в конфигураторе (about:preferences) расширена и теперь занимает всю доступную ширину.
• В сборках для Linux реализована поддержка резервного копирования профилей, позволяющая сохранить выбранный профиль в файл, после чего использовать этот файл для восстановления настроек на другой системе. Ранее данная функция была доступна только в Windows.
• При переносе каталога с профилем Firefox в другие части ФС или на системы с другими операционными системами обеспечено восстановление установленных дополнений и тем оформления.
• Усилена защита от скрытой идентификации пользователя (Fingerprinting Protection), применяемая при включении стандартной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Standard). Отмечается, что внесённые изменения позволили в среднем на 14% (49% для macOS) снизить долю пользователей, идентифицируемых с помощью типовых методов скрытой идентификации по сравнению с ранее имевшейся защитой.
• В интегрированный бесплатный VPN-сервис Firefox VPN добавлена возможность выбора страны используемого VPN-сервера. Сервис позволяет обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.
• При запросе web-приложением доступа к данным о местоположении на платформе Windows теперь учитываются системные настройки предоставления подобного доступа.
• Добавлена возможность использования API Web Serial для управления микроконтроллерами, подключаемыми через последовательный порт. Например, после подтверждения полномочий можно из web-приложения программировать ESP чипы, платы Raspberry Pi Picos, 3D-принтеры и оборудование с ЧПУ. API Web Serial также можно использовать в браузерных дополнениях, но не из контекста moz-extension.
• Для всех пользователей включено применение спецификации LNA (Local Network Access) для ограничения обращений к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. Для обращения к внутренним ресурсам пользователь должен предоставить web-приложению специальные полномочия, так как подобная активность используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети. Ранее подобная защита действовала только при включении режима усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict).
• Реализован API Fullscreen Keyboard Lock, добавляющий в метод requestFullscreen аргумент keyboardLock, позволяющий полноэкранным web-приложениям перехватывать обработку некоторых клавиш и клавиатурных комбинаций, например, можно перехватить обработку нажатия на клавишу Esc (в этом случае для выхода из полноэкранного режима потребуется не нажатие, а удержание Esc).
• Улучшена отрисовка элементов с абсолютным позиционированием внутри многоколоночных блоков или при выводе на печать.
• В правилах "@container" разрешено одновременное перечисление нескольких условий по аналогии с медиа-запросами.
• Внутри правил @container разрешено использование функции style() для проверки вычисленных значений CSS-свойств контейнера.
• Добавлено свойство CSSContainerRule.conditions, содержащие список всех условий контейнерного запроса. Старые свойства CSSContainerRule.containerName и CSSContainerRule.containerQuery объявлены устаревшими.
• Изменено поведение якорного позиционирования в CSS (CSS Anchor Positioning). Свойство position-anchor теперь по умолчанию принимает значением "normal", а при использовании свойства position-area неявные якоря применяются автоматически. Всплывающие окна (popovers), использующие anchor() или anchor-center, теперь требуют явного указания свойства "position-anchor: auto".
• Добавлена поддержка API Document Picture-in-Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через новый API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
• В API Permissions обеспечена корректная обработка временных полномочий, предоставленных сайту.
• Предоставлена возможность использования декларативного синтаксиса для определения того, как элементы распределяются в слоты внутри Shadow DOM.
• В Firefox для Android добавлена поддержка быстрого переключения между вкладками, используя вертикальный скользящий жест в области панели. В конфигуратор по аналогии с десктоп-версией добавлен переключатель для отключения всех функций, использующих AI, а также реализованы настройки для выборочного включения отдельных AI-функций.

Кроме новшеств и исправления ошибок в Firefox 151 устранено 154 уязвимости (65 собрано под CVE-2026-8973, 54 под CVE-2026-8974 и 7 под CVE-2026-8975). 146 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В ночных сборках Firefox началось тестирование переделанного интерфейса конфигуратора, в котором расширены средства для поиска настроек, улучшена навигация, обновлены метки и описание настроек.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 150 с устранением 359 уязвимостей
3. OpenNews: Макеты обновлённого интерфейса Firefox, развиваемого под кодовым именем Nova
4. OpenNews: До 10% аварийных завершений Firefox вызваны аппаратными проблемами с памятью
5. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave
6. OpenNews: За апрель в Firefox устранено 423 уязвимости

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI - системы сотрудников данной компании также были поражены вредоносным ПО в апреле после установки вредоносного релиза NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

1. Главная ссылка к новости
2. OpenNews: Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода
3. OpenNews: В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
4. OpenNews: Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла
5. OpenNews: Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios
6. OpenNews: В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snap даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Задействована новая система сборки на базе инструментария Chisel, позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.
• Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.
• Обеспечено выполнение требований европейского закона CRA (Cyber Resilience Act), который вводит юридическую ответственность за несоблюдение требований безопасности.
• Добавлена возможность применения технологии Livepatch для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.
• Обеспечена интеграция с инструментарием COS (Canonical Observability Stack), основанным на движке оркестровки Juju и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.
• Добавлена поддержка компонентов, позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.
• В Snapd REST API обеспечена совместимость со спецификацией OpenAPI.
• В дисплейный сервер Ubuntu Frame, позволяющий создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.
• Добавлена системная настройка interface.allow-auto-connection для определения правил автоматического подключения интерфейсов.
• Добавлена поддержка механизма Confdb для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.
• Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Ubuntu 26.04
3. OpenNews: Компания Canonical опубликовала MicroCloud 3, инструментарий для развёртывания кластеров
4. OpenNews: Canonical готовит вариант Ubuntu Desktop, содержащий только пакеты Snap
5. OpenNews: Компания Canonical представила оболочку Ubuntu Frame
6. OpenNews: Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 24

Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать ветку Azure Linux 3. Готовые сборки пока не предоставляются, но имеется инструкция по сборке. Специфичные для дистрибутива изменения поставляются под лицензией MIT.

При формировании дистрибутива вместо создания форка Fedora в Azure Linux 4 применён декларативный подход, позволяющий пересобирать RPM-пакеты с необходимыми изменениями и настройками из штатных репозиториев Fedora, используя конфигурационные файлы в формате TOML. Дополнительная функциональность определяется в форме оверлеев, позволяющих генерировать специфичные для Azure Linux spec-файлы пакетов на основе штатных SRPM-пакетов из Fedora Linux. Оверлеи определяют изменения, вносимые поверх пакетов Fedora, такие как дополнительные конструкции в spec-файлах, патчи и параметры сборки.

Пакетной единицей в Azure Linux 4 являются "компоненты" (исходный пакет), которые по большей части импортируются из Fedora через dist-git и могут формировать один или несколько RPM-пакетов. Все компоненты собираются из исходного кода, бинарные пакеты из Fedora не переносятся. Для генерации результирующих RPM-пакетов на основе оверлеев применяется инструментарий azldev, написанный на языке Go и поставляемый под лицензией MIT.

Из особенностей Azure Linux 4 отмечается поставка ядра Linux с дополнительными оптимизациями, защита от атак через зависимости (supply chain), предсказуемый цикл поддержки и выпуска обновлений, встроенные возможности для интеграции с облаком Azure, изменения для усиления безопасности. Система сборки Azure Linux позволяет генерировать как установочные окружения с RPM-пакетами, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа.

Из применяемых в Azure Linux мер по повышению безопасности:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
• Поставка минимально необходимых пакетов, без активации лишних сервисов.

1. Главная ссылка к новости
2. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506
3. OpenNews: Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora
4. OpenNews: Microsoft переименовал дистрибутив CBL-Mariner в Azure Linux и опубликовал Azure Sphere OS 24.03
5. OpenNews: Microsoft представил IoT-платформу Azure Sphere на базе ядра Linux
6. OpenNews: Компания Microsoft продемонстрировала собственный Linux-дистрибутив для коммутаторов

Основные изменения:

• Прокладка дорог и рек теперь поддерживает рисование кистью с зажатой левой кнопкой мыши.
• Добавлена возможность передвигать и копировать мышью объекты на карте.
• В настройках объекта "Великий Артефакт" можно выбрать, какие именно артефакты может получить герой при раскопках.
• Неинтерактивные объекты можно размещать частично за пределами границ карты.
• Исправлена анимация разворота героя на карте приключений.
• Закрыто свыше 20 уведомлений об ошибках и предложений по улучшению проекта.
  1. Главная ссылка к новости
  2. OpenNews: Выпуск fheroes2 1.1.15, открытого движка Heroes of Might and Magic 2
  3. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III
  4. OpenNews: Предварительный выпуск дистрибутива для игровых консолей SteamOS 3.8.0
  5. OpenNews: Реализация игры DOOM, использующая для отрисовки только CSS
  6. OpenNews: Выпуск Bazzite 44, дистрибутива для любителей компьютерных игр

Уязвимость присутствует в реализации сетевого протокола RDS (Reliable Datagram Sockets), предназначенного для высокоскоростного обмена сообщениями между узлами в кластере, с минимальной задержкой и гарантированной доставкой. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0) и ядром, собранным с опциями CONFIG_RDS, CONFIG_RDS_TCP и CONFIG_IO_URING. Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root.

Для автоматической загрузки модуля ядра rds_tcp эксплоит запрашивает отправку данных через RDS с использованием транспорта SO_RDS_TRANSPORT=2. Отмечается, что среди протестированных дистрибутивов Linux в конфигурации по умолчанию модуль ядра rds предоставляется только в Arch Linux. Для блокирования уязвимости обходным путём можно заблокировать автозагрузку модулей ядра rds и rds_tcp:

   rmmod rds_tcp rds
   printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции rds_message_zcopy_from_user(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. В случае сбоя не производилась очистка поля rm->data.op_nents, из-за чего выполнялось двойное освобождение буфера (double-free). Появление некорректного значения в счётчике ссылок удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на фиксированный буфер io_uring.

В остальном механизм эксплуатации типичен для всех уязвимостей данного класса - атакующий добивается оседания файла программы с флагом suid root в страничном кэше, после чего подставляет в ELF-заголовок код для запуска /usr/bin/sh. После данной манипуляции запуск программы приводит к загрузке в память не оригинального исполняемого файла с накопителя, а изменённой копии из страничного кэша. В отличие от прошлых эксплоитов, новый вариант адаптирован не только для атаки на утилиту "su", но и может применяться при наличии в системе таких suid-программ, как mount, passwd, chsh, newgrp, umount и pkexec.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в сетевом стеке ядра Linux
3. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
4. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
5. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
6. OpenNews: Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы

IncidentRelay принимает события из систем мониторинга, сопоставляет их с правилами маршрутизации и доставляет уведомления ответственным дежурным или командам. В системе реализованы расписания дежурств, ротации, переопределения смен, подтверждение получения инцидента, перевод инцидента в resolved, напоминания, эскалации и silences для подавления известных или плановых срабатываний.

Поддерживается приём событий из Prometheus Alertmanager, Zabbix и произвольных webhook-ов. Для отправки уведомлений предусмотрены каналы Mattermost, Telegram, email, webhook и голосовые провайдеры. В Mattermost и Telegram уведомления могут содержать действия для подтверждения и решения проблемы, что позволяет обрабатывать инцидент без перехода в отдельный интерфейс.

В IncidentRelay предусмотрена модель разделения доступа по группам и командам. Это позволяет разграничить видимость расписаний, маршрутов, каналов уведомлений и алертов между различными командами. Для автоматизации доступен HTTP API, а для интеграций используются bearer-токены и route-токены.

Проект может применяться как промежуточный слой между системами мониторинга и каналами уведомлений: Alertmanager или Zabbix отправляет событие в IncidentRelay, после чего система определяет команду, текущего дежурного, применяет правила маршрутизации и отправляет уведомление в нужный канал. Для неподтверждённых инцидентов могут выполняться повторные напоминания и эскалация на следующего участника ротации.

1. Главная ссылка к новости
2. OpenNews: Выпуск системы мониторинга Zabbix 7.0, поменявшей лицензию на AGPL
3. OpenNews: Новая версия системы мониторинга Monitorix 3.14.0
4. OpenNews: В рамках проекта Glaber создан форк системы мониторинга Zabbix
5. OpenNews: Выпуск системы мониторинга Cacti 1.2.0

ForgeZero определяет тип файла и автоматически выбирает необходимый бэкенд. Каждый файл с кодом собирается в объектный файл, после чего выполняется проверка дублирующихся глобальных символов во всех объектах и осуществляется компоновка в единых исполняемый файл. Скомпилированные файлы кэшируются и повторно пересобираются только после внесения изменений в связанные с ними файлы с кодом. Возможно опциональное отслеживание изменений в ФС и пересборка после обновления файлов с кодом.

Поддерживаются компиляторы GCC, Clang, G++, Clang++; ассемблеры NASM, GAS, FASM; компоновщики LD, GCC, Clang; архиватор AR. Обязательные предупреждения для C и C++: "-Wall -Wextra -Werror -Wpedantic -Wshadow -Wconversion". По умолчанию включены санитайзеры AddressSanitizer и UndefinedBehaviorSanitizer (отключаются флагом -sanitize=false). Поддерживаются платформы Linux, macOS, Windows (WSL2 и экспериментально нативно).

Основные изменения в версии 1.9.0:

• Добавлен флаг "-target" <triple>, позволяющий выполнять кросс-компиляцию для произвольной архитектуры при наличии соответствующего префиксного инструментария. fz самостоятельно определяет имена компилятора, компоновщика и архиватора по указанному идентификатору (например, "arm-linux-gnueabihf-gcc"). Поддерживаются любые стандартные целевые платформы GNU, в том числе arm-linux-gnueabihf, aarch64-linux-gnu и riscv64-linux-gnu.
• Реализована поддержка поддержка протокола LSP (Language Server Protocol). Флаг "-compile-commands" генерирует файл compile_commands.json (Compilation Database) в корне проекта. Файл считывается языковыми серверами clangd и ccls, обеспечивая работу автодополнения, навигации по коду и диагностики в редакторах с поддержкой LSP (Neovim, VSCode, CLion, Emacs и др.).
• Команда fz "-update" перед установкой новой версии теперь сохраняет текущий бинарный файл в /usr/local/bin/fz.old, что позволяет откатиться к предыдущей версии без переустановки.
• Устранена ошибка, при которой в мультидиректорных проектах файлы с одинаковыми базовыми именами из разных подкаталогов перезаписывали объектные файлы друг друга. Имена объектных файлов теперь формируются на основе полного относительного пути к исходному файлу.
• Реализован интерактивный режим "fz -shell" для сборки одиночных файлов.
• Добавлено тестовое покрытие для команд SplitCommand, CmdSet и CmdBuild. Покрытие тестами пакета компоновщика увеличено с 17% до 60%, а покрытие всех пакетов превысило 40%.
• Добавлен механизм подмены CheckTool для тестирования сценариев с отсутствующими компонентами тулчейна.

Изменения предыдущих выпусков:

• В версии 1.8.0 реализована сборка статических библиотек (-type static / -lib), обеспечена уникальность имён объектных файлов в мультидиректорных проектах, исправлены ошибки в подсистеме сборки, связанные с обходом пути "..".
• В версии 1.7.0 добавлена параллельная компиляция (-j N, 0 — автоопределение числа ядер), поддержка линкер-скриптов (-T) и адреса точки входа (-Ttext), интерактивный режим (fz -shell), явный выбор формата вывода (elf32, elf64, bin), компиляция файлов C++ (.cpp, .cc, .cxx) с теми же строгими флагами предупреждений, что и для C.
• В версии 1.6.0 добавлены инициализация проекта (fz -init, создаёт .fz.yaml, .fzignore, README.md), поддержка формата bin (-format bin) для загрузчиков и прошивок, конфигурационные поля libs, flags.cc, flags.asm, flags.ld.
• В версии 1.5.0 реализованы множественные директории источников (source_dirs), явные списки файлов (source_files), шаблоны include/exclude, поле libs для библиотек компоновщика, файл .fzignore, многоуровневое слияние конфигурационных файлов.

Дополнение: По результатам обсуждения сформирован выпуск ForgeZero 2.0, в котором добавлен пакетный менеджер, значительно ускорен кэш и расширены возможности кросс-компиляции:

• Хеширование переведено с SHA256 на BLAKE3 - скорость кэша выросла в 7 раз. Файл 10 МБ: 58 мс → 8.7 мс. Верификация пакетов из каталога также использует BLAKE3.
• Добавлен пакетный менеджер fz pm. Управление зависимостями для C/ASM проектов:

  
      fz pm add <репозиторий>
      fz pm remove <пакет>
      fz pm update
      fz pm list
      fz pm search <запрос>
      fz pm install
      fz pm catalog
  

  Зависимости описываются в .fz.yaml. Удаление очищает пустые родительские директории. Поддерживается community-driven JSON-каталог пакетов.

• Появилась поддержка динамических библиотек: флаги -shared, -cc-flag, -ld-flag. Кросс-компиляция через -target <triple> - ARM, RISC-V, x86_64, i386, инструментарий подбирается автоматически. Статические библиотеки: -type static / -lib, сборка .a-архивов через ar. Флаг -compile-commands генерирует compile_commands.json для clangd и совместимых LSP-клиентов.
• Параллельная сборка "-j N".
• Поддержка линкер-скриптов и адреса секции (-T, -Ttext).
• Устранены коллизии имён объектных файлов.
• Исправлены все предупреждения golangci-lint (errcheck, govet, ineffassign), таймауты и контекст для сетевых и git-операций. Покрытие тестами: utils 84%, linker 60%, assembler 60%, builder 56%.

1. Главная ссылка к новости
2. OpenNews: Обновление операционной системы MenuetOS 1.57.70, написанной на ассемблере
3. OpenNews: Обновление ОС KolibriN 10.1 и MenuetOS 1.34, написанных на ассемблере
4. OpenNews: Ассемблер занял десятое место в рейтинге популярности языков программирования
5. OpenNews: asmttpd - http-сервер на ассемблере

CVE-идентификатор в примечании к эксплоиту не упоминается, указано лишь, что исследователи выявили проблему 9 мая, после чего сообщили об этом разработчикам ядра, которые ответили, что их находка дублирует другой отчёт об уже исправленной уязвимости. Так как патч с исправлением уже включён в ядро исследователи решили опубликовать разработанный ими эксплоит. Судя по описанию внутри эксплоита, в нём используется уязвимость CVE-2026-31635, исправление для которой было принято в ядро в апреле и вошло в состав ветки 7.0.0 и сформированного 18 апреля выпуска 6.18.23. Проблема проявляется начиная с ядра 6.16.

Как и в случае с серией уязвимостей Dirty Frag новая уязвимость присутствует в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Проблема вызвана ошибкой при проверке размера данных в функции rxgk_verify_response() - вместо проверки "if (auth_len > len)" в коде было указано "if (auth_len < len)", что приводило к передаче в функцию rxgk_decrypt_skb() данных с размером, больше допустимого. При выполнении функции rxgk_decrypt_skb() расшифровка данных осуществлялась с подстановкой изменений напрямую в страничный кэш для исключения лишней буферизации. Из-за неверной проверки размера возникала возможность перезаписи данных в страничном кэше по выбранному смещению.

Эксплуатация уязвимости сводится к чтению файла программы с флагом suid root (для его оседании в страничном кэше) и замене в страничном кэше части кода программы кодом для запуска /usr/bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша. В качестве suid-программ в эксплоите предусмотрена возможность использования "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" и "/usr/bin/chsh".

Для эксплуатации уязвимости при сборке ядра должна быть активна опция CONFIG_RXGK (проверить можно командой "grep CONFIG_RXGK /boot/config-$(uname -r)"), а для автозагрузки доступен модуль ядра rxrpc.ko (в некоторых системах он не собирается). Работа экплоита проверена в Fedora, и предполагается, что уязвимость также проявляется в ядрах из Arch Linux и openSUSE Tumbleweed. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модуля ядра rxrpc:

   sh -c "printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"

Дополнительно можно отметить публикацию в списке рассылки разработчиков ядра Linux патчей, полностью отключающих в crypto API (AF_ALG) оптимизации, использующие прямое обращение к страничному кэшу при расшифровке с использованием алгоритмов "skcipher" и "aead". Оптимизации исключают лишнюю буферизацию данных, но создают риски возникновения серьёзных уязвимостей. Предполагается, что их отключение приведёт лишь к незначительному снижению производительности из-за появления дополнительной операции копирования в отдельный буфер. Патчи приняты сопровождающим подсистему crypto API и включены в ветку "cryptodev", в которой развиваются возможности для передачи в основной состав будущих выпусков ядра Linux.

1. Главная ссылка к новости
2. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
3. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
4. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
5. OpenNews: Уязвимость в Linux-подсистеме pidfd, позволяющая прочитать недоступные пользователю файлы
6. OpenNews: QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы

Основные изменения:

• В производственном модуле появилась система управления рабочими центрами и рабочими заданиями. Рабочие центры описывают производственные участки, а рабочие задания привязываются к производственным заказам и хранят назначенный рабочий центр, плановые дату и время начала и длительность. Добавлен интерактивный дашборд загрузки рабочих центров, на котором планировщик видит загрузку по дням и участкам и может корректировать длительность заданий. Для рабочих заданий реализован цикл статусов «Готово» -> «В работе» -> «Выполнено» с действиями перехода (в том числе массовыми), цветовой подсветкой, фильтрами по статусу, дате, рабочему центру и товару, мультивыбором, историей и комментариями.
• В спецификациях (BoM) появились производственные операции с указанием рабочего центра, времени начала и длительности. Рабочие задания теперь автоматически формируются из операций спецификации при пересчёте строк производственного заказа, включая операции вложенных промежуточных спецификаций, с сохранением связи с исходной спецификацией. Операции и рабочие задания копируются вместе со спецификациями и производственными заказами, а операции можно копировать из других спецификаций прямо на вкладке «Операции». Для компонентов спецификации добавлен поиск по товару и штрихкоду.
• Автозаполнение заказа на закупку теперь учитывает не только потребность отгрузок, но и потребность в материалах для производства. Заказы на закупку можно создавать сразу из выбранных производственных заказов — по ещё не закупленным материалам, с группировкой по поставщику. Служебные затраты из счетов поставщиков можно распределять не только между строками счёта, но и на производственные заказы (по сумме, весу, объёму, количеству и т.п.). В производственном заказе можно вручную указать строку заказа на продажу, а в типе производственного заказа появилась опция увеличения доступного остатка за счёт планового выпуска для заказов в статусах «Ожидание», «Готово» и «В работе». Для типов заказов на продажу и закупку добавлены настраиваемые ограничения на закрытие — пока заказ не полностью отгружён/получен или не оплачен.
• В расчётные листки добавлены типы (например, обычный, премия, аванс) с собственной нумерацией для каждого типа. При формировании пакета расчётных листков выполняется проверка того, что все сотрудники принадлежат компании пакета. Реализована история часовых ставок сотрудников с датами вступления в силу: расчёты за прошлые периоды используют корректные исторические ставки, а ставка для записей времени выбирается по приоритету (назначение на проект -> команда -> историческая ставка сотрудника -> базовая ставка). В карточку сотрудника добавлен блок вложенных файлов (договоры, сканы, сертификаты) и отдельное действие смены пароля вместо встроенного поля.
• В табеле руководителя список сотрудников ограничен активными сотрудниками выбранного проекта; сотрудники с записями времени за период отображаются всегда. В детализации по сотруднику и дате можно скопировать существующую запись времени и создать на её основе новую.
• Реализована поддержка корректировок счетов поставщиков двух типов: «замена» — счёт отражает итоговое исправленное состояние документа, и «разница» — счёт отражает только отклонение от исходного. Добавлен отчёт «Платёжный календарь» с динамикой задолженности по дням, прогнозом остатка денежных средств, разбивкой по типу и партнёру, drill-down к задолженностям и графиком прогноза. Реализован импорт платежей (EnterpriseData). При изменении общей суммы счёта поставщика или счёта на оплату цены строк автоматически пересчитываются. Для заказов и счетов добавлен явный признак включения налога в цену. В тип счёта поставщика добавлен товар по умолчанию, который подставляется в новые строки. Для типа счёта-фактуры добавлена опция, управляющая созданием плановой или фактической отгрузки.
• В CRM добавлен модуль маркетинга для отслеживания источников лидов по измерениям «Кампания», «Канал» и «Источник» — новые поля доступны в карточке и списке лидов, а отчёты по лидам расширены маркетинговыми разрезами; часть значений каналов и источников заполняется по умолчанию. В лид добавлено поле «Товар»: при создании заказа на продажу из такого лида автоматически создаётся строка заказа с указанным товаром и суммой, равной ожидаемой выручке.
• Добавлен отчёт по ценам с возможностью сравнения цен на две даты, цветовой индикацией изменений, фильтром по типам цен и отображением остатков на выбранном складе. В форму автопарка по каждому транспортному средству выведены последние договоры и данные о техобслуживании в разрезе типов. В систему встроен просмотрщик документации в формате Markdown с историей навигации и автоматическим выбором языка. В формы отгрузок, приходов, счетов поставщиков, счетов и заказов добавлены поле и фильтры по коду партнёра, а к счетам партнёров — поле ответственного сотрудника.

1. Главная ссылка к новости
2. OpenNews: Релиз платформы разработки информационных систем lsFusion 6.2
3. OpenNews: Релиз MyCompany 6.1, открытой платформы для автоматизации малого бизнеса

1. Главная ссылка к новости
2. OpenNews: Компания Grafana открыла код системы реагирования на инциденты OnCall
3. OpenNews: Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
4. OpenNews: Grafana меняет лицензию с Apache 2.0 на AGPLv3
5. OpenNews: Сотрудник Wikimedia случайно запустил вредоносный JavaScript-червь, поразивший Meta-Wiki
6. OpenNews: В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

К обсуждению проекта подключился энтузиаст, который заявил, что создание моделей для САПР может осуществляться без специализированных моделей машинного обучения, используя обычные AI-ассистенты, такие как Aider, OpenClaw и QwenCode, с типовыми AI-сервисами. В качестве примера опубликована коллекция промптов, позволяющих на основе описания, перечня желаемых характеристик и изображений с визуальными примерами генерировать программы для платформы OpenSCAD, формирующие CAD-модели в формате STL или OFF с параметризованной конфигурацией.

1. Главная ссылка к новости
2. OpenNews: Valve опубликовала CAD-файлы корпуса Steam Controller
3. OpenNews: Выпуск свободных САПР FreeCAD 1.1 и SolveSpace 3.2
4. OpenNews: Bambu Lab добилась удаления альтернативного проекта для отправки команд на свои 3D-принтеры